Selektywny phishing

Chyba każdy choć raz znalazł w skrzynce e-mail, w którym nadawca, podszywający się pod dział obsługi konta w banku internetowym albo serwisie aukcyjnym, ze względu na awarię bądź próby nieautoryzowanego dostępu prosi o zalogowanie się na stronie, do której prowadzi zamieszczone w liście łącze. Oczywiście zarówno wiadomość, jak i wskazana strona są falsyfikatami, które mają na celu wyłudzenie informacji od nieostrożnego użytkownika.

Chyba każdy choć raz znalazł w skrzynce e-mail, w którym nadawca, podszywający się pod dział obsługi konta w banku internetowym albo serwisie aukcyjnym, ze względu na awarię bądź próby nieautoryzowanego dostępu prosi o zalogowanie się na stronie, do której prowadzi zamieszczone w liście łącze. Oczywiście zarówno wiadomość, jak i wskazana strona są falsyfikatami, które mają na celu wyłudzenie informacji od nieostrożnego użytkownika.

Selektywny phishing

Jak to działa

Ale gdyby taki e-mail sprawiał wrażenie, że jego nadawcą jest szef działu informatycznego twojej firmy, a sprawa dotyczy konta służbowego? Czy kliknąłbyś łącze?

Taką nadzieję mają dzisiejsi oszuści zwani "phishers". Ich celem nie są już trafiani na ślepo użytkownicy najpopularniejszych serwisów internetowych, lecz określone, precyzyjnie wybrane grupy potencjalnych ofiar. Wysłanie przynęty do specyficznego, niewielkiego grona odbiorców uwiarygodnia przekaz i zwiększa szansę na powodzenie ataku. Dzięki tej technice można zyskać dostęp np. do poufnych danych firmy i prowadzić szpiegostwo przemysłowe (jedna z izraelskich firm posłużyła się selektywnym phishingiem do zainstalowania spyware'u w pecetach konkurencji). Selektywny phishing do złudzenia przypomina marketing: właściwy przekaz skierowany do właściwych ludzi. Lepiej wykorzystując socjotechnikę, można oszukać tych, którzy bez trudu wyłapują typowe ataki phishingowe, ale nie spodziewają się, że za cel ktoś może obrać wyłącznie ich małą firmę czy instytucję.

Jest się czego obawiać: według raportu Globar Security Index, sporządzonego przez IBM, liczba ujawnionych przypadków selektywnego phishingu wzrosła z 56 w styczniu do ponad 600 tys. w czerwcu tego roku.

Jak się chronić

Bądź sceptyczny. Nieważne, od kogo pochodzi e-mail - jeśli dotyczy informacji o koncie, od razu wzmóż czujność.

Zadzwoń. Jeśli dostaniesz wiadomość, która wydaje ci się podejrzana, zadzwoń do domniemanego nadawcy.

Nie klikaj podejrzanych łączy. Po prostu odwiedź stronę główną firmy albo ręcznie wpisz znany ci adres.

Wypróbuj pasek narzędzi NetCraft (http://toolbar.netcraft.com ). To narzędzie może ostrzec o podejrzanym charakterze witryny.