Phishing - haczyk na internautę

Może być masowy albo bardzo precyzyjny. Wysublimowany albo zaskakująco prymitywny. Pozornie nieszkodliwy lub dewastujący dla zawartości naszych kont czy portfeli. Może być e-mailowy, VoIP-owy, komunikatorowy… albo może wcale nie być związany z internetem. Oto phishing – jedna z ulubionych metod cyberprzestępców polujących na nasze dane osobowe, pliki, cenne dokumenty lub po prostu pieniądze.


„Dzień dobry. Szanowny Kliencie banku XXXX, informujemy, że w związku z modernizacją naszego systemu informatycznego niezbędne jest potwierdzenie aktualności danych niezbędnych do zalogowania się do serwisu transakcyjnego. W związku z tym prosimy o odwiedzenie strony internetowej www.NAZWA_BARDZO_PODOBNA_DO_XXX.pl i zalogowanie się do systemu. W razie niezastosowania się do powyższej instrukcji dostęp do konta zostanie zablokowany w ciągu 24 godzin. Pozdrawiamy, z poważaniem itp., itd…”.

Jesteśmy gotowi założyć się o duże pieniądze, że większość naszych czytelników (i szerzej: polskich internautów) dostaje takie e-maile całkiem regularnie. Wiele osób już na szczęście wie, co z nimi robić – ignorować, kasować, a najlepiej zgłaszać do odpowiedniego banku, na policję lub do polskiego CERT-u (zespołu odpowiedzialnego za bezpieczeństwo w polskim internecie). Jest to bowiem klasyczny phishing, czyli operacja przestępcza, polegająca na podszywaniu się pod kogoś innego w celu wyłudzenia od użytkownika cennych danych. Może to być np. zasygnalizowane powyżej podszywanie się pod bank po to, by „wyciągnąć” od internauty jego login i hasło do systemu transakcyjnego, ale podobne ataki bywają wymierzone w użytkowników najróżniejszych serwisów i usług internetowych (Facebook, Allegro, PayPal itp.).

Klasyczny atak phishingowy, wymierzony w użytkowników systemu płatności Paypal. Fot. Hotforsecurity.com

Klasyczny atak phishingowy, wymierzony w użytkowników systemu płatności Paypal. Fot. Hotforsecurity.com

Historia zbrodni

Termin phishing (słowo to wymawia się tak samo fishing, czyli po angielsku łowienie na wędkę) pojawił się w USA w połowie lat 90. XX wieku – posługiwali się nim włamywacze „polujący” na użytkowników ówczesnego giganta internetowego, czyli serwisu America Online (AOL). Sposób działania przestępców sprzed dwóch dekad był dość zbliżony do dzisiejszych technik – do użytkowników AOL wysyłano e-mailem informację o problemie z ich kontem oraz odnośnik do formularza, który miał pomóc w zweryfikowaniu danych dostępowych. Jeśli ktoś wykonał polecenie przestępców, natychmiast tracił dostęp do swojego konta (przestępca przechwytywał hasło, a potem błyskawicznie je zmieniał). Później takie przejęte konta były wykorzystywane głównie do rozsyłania spamu.

Pochodzenie samego terminu jest nie do końca jasne – są na ten temat dwie teorie. Według jednej jest to skrót od password harvesting fishing, czyli łowienie haseł; inna mówi, że ukuto go od nazwiska mitycznego złodzieja kart kredytowych, Briana Phisha. Bardziej prawdopodobna wydaje się jednak wersja, w myśl której termin powstał na zasadzie skojarzenia z tagiem „<><”, który faktycznie wygląda nieco jak ryba (fish) i który był używany przez przestępców na chatach internetowych jako symbol/synonim niektórych przestępczych działań (przestępcy wykorzystywali fakt, że jest on powszechnie używany i w związku z tym żaden system monitorujący nie uznawał go za podejrzany).