Phishing to oszustwo internetowe, które ma na celu kradzież danych użytkownika, takich jak hasła, loginy, numery kart debetowych i kredytowych, jak również innych poufnych informacji.
Phishing funkcjonuje w Internecie dzięki wykorzystaniu narzędzi komunikacyjnych, m.in. poczty elektronicznej, komunikatorów internetowych oraz niektórych portali społecznościowych. Jedną z metod phishingu jest wysyłanie fałszywych powiadomień z banków, dostawców płatności internetowych lub innych budzących zaufanie instytucji. Przesyłane informacje mają na celu zachęcić lub wręcz przestraszyć odbiorcę tak, aby postępował zgodnie z instrukcjami zawartymi w wiadomości. W rezultacie, nieświadomy oszustwa odbiorca udostępnia swoje dane osobowe. Przykładem takiego działania może być wysłanie za pośrednictwem poczty elektronicznej wiadomości do użytkownika, w której zostanie on poproszony o pilne zalogowanie się na swoje konto bankowe, aby zaktualizować dane, z zastrzeżeniem, iż jeśli tego nie uczyni, straci możliwość logowania na swoje konto bankowe i posługiwania się kartami płatniczymi. Wiadomość, którą otrzyma odbiorca, zawiera link przekierowujący do fałszywej strony banku, której wygląd odpowiada oryginałowi. Następnie użytkownik wpisuje swoje dane do logowania na stronę banku i otrzymuje informację z podziękowaniem za zalogowanie, a także aktualizację danych, oraz dostaje możliwość wylogowania się z serwisu. Czasem takie strony są tak zaprogramowane, aby wyświetlić użytkownikowi stronę uaktualniającą numer PIN do karty płatniczej. Wiadomość zawiera instrukcję o wprowadzeniu do formularza aktualizacji naszego numeru karty oraz aktualny numer PIN. Dzięki takiemu działaniu sprawca otrzyma dane logowania na konto bankowe oraz karty płatniczej wraz z numerem PIN.
Strony internetowe podszywające się pod bank lub inne instytucję zazwyczaj są wykrywane i usuwane przez administratorów po około 5 dniach. W tym czasie filtry antyphishingowe odnajdują taką stronę i dodają ją do stron zagrożonych, dlatego też oszuści muszą stale tworzyć i konfigurować nowe strony, aby zachować ciągłość swojego procederu.
Sprawcy po uzyskaniu naszych danych poufnych mogą użyć ich np. do wycofywania pieniędzy z kont bankowych, jak również do podrabiania kart płatniczych czy nadawania im numerów identyfikacyjnych odpowiadających oryginalnym kartom i za ich pośrednictwem wypłacać pieniądze.
Wypłata i logowanie na konta bankowe oszukanych użytkowników odbywają sie zazwyczaj w krajach słabo rozwiniętych, jak na przykład Nigeria. Osoby trudniące się phishingiem, które weszły w posiadanie danych użytkowników, aby ograniczyć do minimum identyfikację oraz wykrycie przez organy ścigania, zazwyczaj sprzedają uzyskane dane innym osobom lub organizacjom przestępczym.
Jednym z głównych celów phisherów jest uzyskiwanie danych, dzięki którym otrzymają dostęp do środków finansowych swoich ofiar, ale nie tylko. Bardzo popularna jest również kradzież poświadczeń pocztowych, dzięki którym sprawcy uwierzytelniają swoje działania i mają możliwość rozpowszechniania wirusów lub innych aplikacji, a także tworzenia zainfekowanej sieci informatycznej zwanej botnetem.
Sprawcy chcą za każdym razem dowieść swojej wiarygodności podczas tworzenia fałszywych stron internetowych banków lub też innych organizacji, stale więc aktualizują szablony, szaty graficzne, sposób funkcjonowania stron, aby rozwiać jakiekolwiek wątpliwości logującego się użytkownika co do ich autentyczności.
Działania osób dokonujących oszustw w sieci nie ograniczają się jedynie do uzyskania wiarygodności wizualnej stron, ale również linków i innych odnośników do stron oraz domen internetowych powiązanych z instytucjami lub organizacjami. Sprawcy najczęściej tworzą domeny oraz adresy poczty elektronicznej, które są bardzo podobne do oryginalnych. Na pierwszy rzut oka takie adresy łudząco przypominają te rzeczywiste, jednakże po bliższym prześledzeniu okazuje się, że są to zupełnie inne adresy. Za przykład niech posłuży strona banku ING „www.ingbank.pl” i ich poczta „noreply@ingbank.pl”. Fałszywy sposób kodowania to „WWW.lNGBANK.PL” i poczta „NOREPLY@lNGBANK.PL”. Różnica między tymi adresami na pierwszy rzut oka jest niewidoczna, jednak po głębszej analizie okazuje się, że w fałszywym sposobie zapisu adresu zamiast dużej litery „I” występuje mała litera „L”. Sprawcy mogą w ten sposób zmanipulować użytkownika, który uzna ten adres za zaufany i oryginalny, bo przecież loguje się codziennie na stronę swojego banku i adres ten jest dla niego wiarygodny.
W swych działaniach sprawcy mogą również rozsyłać za pośrednictwem komunikatorów oprogramowanie szpiegowskie lub keyloggery, które na bieżąco wychwytują i przesyłają do użytkowników końcowych wszystkie informacje zapisywane na danym komputerze. Nie tylko dane do logowania mogą więc być narażone na kradzież, ale również dane osobowe, treści komunikatów do innych użytkowników lub też inne dane, które zapisujemy na komputerze.
Jedną z bardziej popularnych metod phishingu w Polsce stała się kradzież danych personalnych osób w celu ich sprzedaży organizacjom przestępczym, a następnie wykorzystania ich do uzyskania środków finansowych.
Przykładem takiego działania jest wystawienie przez sprawców ogłoszenia dotyczącego możliwości podjęcia bardzo dochodowej pracy za pośrednictwem Internetu, polegającej na wypełnianiu ankiet lub też sieciowego call-center. Osoba, wchodząc na stronę z takim ogłoszeniem, które w jej opinii nie budzi żadnej wątpliwości, wysyła kwestionariusz lub też wiadomość za pośrednictwem poczty elektronicznej z informacją, iż chce podjąć taką pracę. Następnie w informacji zwrotnej otrzymuje do wypełnienia formularz rejestracyjny osoby ubiegającej się o pracę, w którym podaje swoje dane osobowe, jak również proszona jest o wysłanie skanu dowodu osobistego lub innego dokumentu potwierdzającego jej tożsamość. Następnie zostaje poinformowana o procesie weryfikacyjnym i konieczności oczekiwania na kontakt ze strony firmy. W tym momencie osoba została już oszukana. Sprawcy, posiadając jej dane oraz skan dokumentu, uzyskują środki finansowe za pośrednictwem firm udzielających kredyty. Po upływie określonego czasu osoba, która została oszukana, próbuje skontaktować się z niedoszłym pracodawcą, jednakże bezskutecznie. Po pewnym czasie otrzymuje informację od firm lub banków o nieterminowej spłacie należności.
Sukces opisanych działań jest możliwy dzięki słabej lub bardzo znikomej wiedzy użytkowników na temat sposobów dokonywania oszustw przez sprawców, jak również dzięki wykorzystaniu ludzkiej ciekawości albo przez zastraszenie. Użytkownicy Internetu nie mają świadomości, że żadna wiarygodna firma, jak bank czy inna instytucja, nie będzie chciała uzyskać od nich danych do logowania, haseł ani innych kodów w zakresie swojej działalności. Należy zatem rozpowszechniać wiedzę o tym, iż bezpieczeństwo naszych danych to w dzisiejszych czasach sprawa priorytetowa i nie należy udostępniać ich osobom postronnym.
asp. szt. Artur Rogowski
instruktor Zakładu Służby Kryminalnej CSP