Wędka na nieostrożnych

Phishing stał się ostatnio jednym z poważniejszych zagrożeń, z powodu potencjalnych możliwości podważenia zaufania do biznesowej komunikacji online.

Phishing stał się ostatnio jednym z poważniejszych zagrożeń, z powodu potencjalnych możliwości podważenia zaufania do biznesowej komunikacji online.

"Wędkarze" używają spamu do kierowania swoich ofiar na strony webowe przygotowane na wzór znanych, legalnych stron ośrodków. Scam, czyli pilne przesyłki poczty elektronicznej od phishera podszywającego się pod reprezentanta banku lub innej instytucji, zawierające link do fałszywej strony logowania lub proszące o podanie poufnych informacji osobistych, jest dzisiaj codziennością.

Według danych Anti-Phishing Working Group, prawie 5% odbiorców takich przesyłek odpowiada na nie, co jest wynikiem dość wysokim, zważywszy że na spam odpowiada 1% odbiorców.

Phisher wykorzystuje coraz bardziej wymyślne techniki, takie jak kod zawarty w obrazkach, aplikacje śledzące klawiatury, które ładują się do komputera z chwilą otwarcia przesyłki pocztowej, oraz fałszywe ośrodki webowe, wyglądające identycznie jak ich legalne odpowiedniki.

Wędka na nieostrożnych

Phishing: atak na centrum danych

Eksperci od spraw bezpieczeństwa ostrzegają, że phishing może szybko skupić się na kradzieżach tożsamości dużej skali - z baz danych sieci przedsiębiorstw. Skradziona informacja może być wtedy używana jako przynęta dla ukierunkowanych schematów phishingu. Na przykład scam wysyłany do osób, o których wiadomo, z których banków korzystają, jest bardziej efektywny, niż wysyłany losowo.

Podobnie jak wirusy komputerowe, phishing był uprawiany początkowo przez hakerów z motywów czysto prestiżowych. Nie wyrządzali oni większych szkód. Jednak szybko uległo to zmianie i do "interesu" dołączyły grupy przestępcze, używające fałszywych ogłoszeń i spamu do instalowania trojanów, które przechwytują hasła i inne detale związane z uwierzytelnianiem bankowym. Dzisiejsi przestępcy w większości nie są już zainteresowani całkowitym opróżnianiem kont bankowych - takie przestępstwo może być szybko zauważone - interesuje ich natomiast wyprowadzanie z baz danych identyfikatorów logowania, haseł i innych istotnych informacji w celu użycia ich w kolejnych przestępstwach. Scam z prymitywnymi tekstami jest zastępowany technologicznymi trikami, które często nawet nie wymagają od użytkownika kliknięcia na URL.

Phishing wykorzystuje także złe nawyki użytkowników. Użytkownicy mający możliwość wyboru swoich nazw logowania i haseł, zazwyczaj używają ich w takiej samej postaci w wielu sieciach. Jeżeli "wędkarz" wie, jakiego identyfikatora logowania i hasła używa Jan Kowalski w ośrodku A, to jeżeli odkryje, że korzysta on z ośrodka B, może próbować dostępu, wykorzystując znany identyfikator i hasło.

Walka z phishingiem

Na pytanie, jak najlepiej walczyć z phishingiem, eksperci zazwyczaj na pierwszym miejscu wymieniają edukację użytkowników - człowiek zawsze był najsłabszym ogniwem w łańcuchu bezpieczeństwa.

Jednak samo ostrzeganie o zagrożeniu nie jest wystarczające. Eksperci od spraw bezpieczeństwa namawiają instytucje biznesowe, aby nie zamieszczały klikalnych URL w poczcie elektronicznej wysyłanej do swoich klientów.

Proponowane jest także uwierzytelnianie przesyłek pocztowych. Zaufany certyfikat nadawcy może upewniać odbiorców, że poczta elektroniczna, którą odbierają, jest legalna i uwiarygodniona przez niezależne ciało certyfikujące.

Według ekspertów konieczny jest globalny standard uwierzytelniania, który weryfikuje, czy wiadomość pocztowa rzeczywiście została wysłana z deklarowanej domeny. Taki identyfikator nadawcy poczty elektronicznej połączony z silnymi narzędziami uwierzytelniania, zintegrowanymi z przeglądarką webową, zaalarmuje użytkownika, gdy podejmie próbę wejścia na sfałszowaną stronę webową.

Na razie powinno się monitorować próby rejestrowania nazw domen, które przypominają legalne korporacyjne URL-e. Powszechnie stosowanym trikiem jest ustawianie domen, takich jak paypaI.com ("l" to w rzeczywistości duża litera "i", a nie mała "l"!).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200