Na Internetu se vyskytuje mnoho nebezpečí a čím dál více ohrožují běžné uživatele. Phishing se stává jedním z největších nebezpečí pro získávání hesel do internetových obchodů, do aplikací pro bankovní převody přes Internet, získávání hesel z e-mailu apod. Pomocí phishingu lze získat informace s mizivými znalostmi.
Phishing je zkomolenina anglického slova fishing, což je v překladu rybaření. Ve skutečnosti jde ve phishingu o to samé – získat někoho neznalého, důvěřivého, který by bez jakýchkoliv pochybností zaslal své osobní informace na e-mail nebo pomocí webového formuláře apod. Samozřejmě pokud by tyto maily posílali po jednotlivých kouscích, trvalo by to strašně moc dlouho. Proto prohledávají internetová fóra, různé weby, chaty apod., kde si nechávají automatickými boty zaznamenávat vše, co je ve tvaru xxx@yyy.zz tzn. e-mailové adresy. Co proti tomu můžeme dělat, abychom se nedostali na takovýto seznam?
› Nejlépe Váš e-mail vůbec nikde vystavovat.
› Váš e-mail napsat do podoby, ve které to inteligentní tvor pochopí, ale bot ne, například muj.mail[zavinac]web.cz apod.
› Udělat si 2 e-maily a jeden z nich využívat k soukromé komunikaci a druhý k veřejné (fóra…).
Příklad phishingu
Vážený uživateli,
Velmi se Vám omlouváme, ale došlo k bezpečnostním
problémům a z toho důvodu je nutné, aby nám na
adresu seznam_info@seznam.cz každý uživatel zaslal heslo,
abychom mohli ověřit, že je to skutečně onen uživatel
a ne zločinec, který narušil náš bezpečnostní systém.
Na adresu seznam_info@seznam.cz zašlete e-mail ve tvaru:
name: "uzivazelske jmeno"
passwd: "heslo"
Tedy např.:
name: "petr"
passwd: "radio"
Odpověď nám musí být doručena do 24 hodin od obdržení toho e-mailu.
Děkujeme za pochopení.
Váš Seznam
Toto přišlo asi před měsícem mému známému. Přijde vám to asi směšné a hned byste to smazali. Vám ano – zajímáte se o počítače, možná jste i zaměřeni na bezpečnost. Ale pokud to přijde někomu, kdo používá počítače pouze k práci a jinak se v nich vůbec neorientuje, začne mít strach, aby mu všechny jeho e-maily nebyly smazány a okamžitě vše pečlivě vyplní, odešle a už se více nad tímto e-mailem nezdržuje. Phishing má ale o hodně podob více. Může to být například i poukaz na slevu v internetovém obchodě. Phishing může být ale ohodně „rafinovanější“, například vám může přijít e-mail s upozorněním na změnu údajů ve vaší bance. Oficiální web se nachází na www.lidovabanka.cz, ale v e-mailu vám příjde www.1idovabanka.cz nebo www.lidova-banka.cz apod., což lehce přehlédnete. Pod tímto odkazem se skrývá přesná kopie pravého webu, takže oběť nemá žádné podezření. Bez jakéhokoliv podezření vyplní uživatelské jméno a heslo, dále pak všechny osobní údaje a odejde. Heslo bude s největší pravděpodobností stejné, jako na všech jiných místech, kde je oběť zaregistrována. Tím může útočník bez velkých problému zjišťovat velký počet citlivých údajů. Takového webu si ale někdo brzo všimne, upozorní na něj a web bude zase zrušen. I za tuto krátkou dobu se ale phisher dostane k tolika údajům, které by trvaly získat při použití jiné techniky měsíce.
Anti-Phishing Worknig Group
V rámci boje proti phishingu byla založena organizace Anti-Phishing Working Group [ http://antiphishing.org ]. Organizace v současné době sdružuje 8 z 10 největších amerických obchodních domů, 4 z 5 největších poskytovatelů připojení k Internetu apod. Cílem Anti-Phishing Working Group je potírání phishingu všemi možnými způsoby: seznámením veřejnosti s problémy, zaváděmi ochranného SW, shromažďováním informací o phishingu, spoluprácí s FBI na vyšetřování těchto nelegálních aktivit apod.
V České republice jsou zatím případy phishingu jen výjimečné (teda aspoň ty, o kterých se ví veřejně). Je to způsobené hlavně tím, že čeština není zase tolik rozšířený jazyk a většina lidí neumí světový jazyk a není zde ještě v takové míře rozšířený elektronický obchod. Aby se zde phishing ani nerozšířil, musela by veřejnost vědět, že je nebezpečné odpovídat na takové e-maily a že by je měli ihned mazat, popř. v lepším případě na ně upozornit patřičné lidi (administrátory, firmy apod.).
Nakonec malé shrnutí:
› Phishingem získavají útočníci osobní údaje, hesla, PIINy…› Aby Vám nechodily phishingové maily, měli byste psát svůj e-mail do podoby podobné xxx[at]yyy.zz ([at] nebo něco podobného napsat namísto @).
› Svůj mail pokud možno nikde zbytečně nezveřejňovat.
› Nebo si udělat 2 maily – jeden veřejný a jeden osobní.
› Anti-Phishing Working Group je organizace bojující proti phishingu.
Toto by měly být nejdůležitější informace o phishingu, pokud něco chybí, napište a rád něco doplním či opravím.