Co to jest oszustwo typu phishing?
Wyłudzanie informacji to oszustwo polegające na kradzieży tożsamości, które dociera pocztą elektroniczną. Wiadomość e-mail wydaje się pochodzić z legalnego źródła, takiego jak zaufana firma lub instytucja finansowa, i zawiera pilną prośbę o podanie danych osobowych, która zwykle wywołuje krytyczną potrzebę natychmiastowej aktualizacji konta. Kliknięcie linku podanego w wiadomości e-mail prowadzi do oficjalnej strony internetowej. Dane osobowe podane na tej stronie są jednak przekazywane bezpośrednio oszustowi.
Oszustwa stanowią coraz większy problem w Internecie, ponieważ ludzie są podstępni w podawaniu danych osobowych, w tym numerów kart kredytowych, haseł, panieńskiego nazwiska matki, numerów kont bankowych, kodów kart bankomatowych i numerów ubezpieczenia społecznego. Zabezpieczenia antywirusowe i zapory ogniowe nie przechwytują większości oszustw związanych z wyłudzaniem informacji, ponieważ nie zawierają podejrzanego kodu, a filtry antyspamowe pozwalają im przejść, ponieważ wydają się pochodzić z legalnych źródeł.
Linki zawarte w oszustwach typu phishing prowadzą do niczego nieświadomej osoby na fałszywej stronie internetowej zaprojektowanej tak, aby naśladować rzeczywistość, często nawet w najdrobniejszych szczegółach, w tym informacje o prawach autorskich, tytuły podmenu i tak dalej. Prawie niemożliwe jest, aby większość ludzi powiedziała, że są celem phishera, patrząc na samą stronę. Wskazówki w adresie mogą jednak czasami ujawnić oszustwo.
Podobnie wyglądające znaki mogą być zastąpione pisownią łącza dla prawdziwej postaci, tak aby zamiast „L.” użyto „1” (cyfra). Na przykład phisherzy używali paypa1.com zamiast paypal.com. Innym razem adres IP - adres numeryczny - służy do ukrycia faktu, że link nie prowadzi ofiary do prawdziwej witryny. Oszustwa związane z wyłudzaniem informacji stały się jednak tak wyrafinowane, że phisherzy mogą również wydawać się używać legalnych linków, aż do prawdziwego certyfikatu bezpieczeństwa witryny.
Najlepszym sposobem, aby ktoś mógł uchronić się przed oszustwami typu phishing, jest unikanie podawania danych osobowych na żądanie e-mail. Jeśli żądanie może być uzasadnione, należy skontaktować się z działem obsługi klienta firmy, aby zweryfikować żądanie przed podaniem jakichkolwiek informacji; nie należy używać żadnych numerów telefonu zawartych w wiadomości e-mail, jeśli są one zawarte. Nawet jeśli żądanie jest uzasadnione, należy ręcznie wprowadzić wymagany adres w przeglądarce, a nie klikać łącze, ponieważ oszustwo typu phisher może przebiegać równolegle z legalnym biznesem.
Na przykład na początku kwietnia 2005 r. Masowe wiadomości e-mail, które prawdopodobnie pochodziły od Microsoft Corporation, zachęcały odbiorców do pobrania bardzo oczekiwanej aktualizacji zabezpieczeń. Ci, którzy kliknęli link w wiadomości e-mail, zostali przeniesieni do witryny, która wyglądała jak legalna witryna z aktualizacjami firmy Microsoft. Zamiast aktualizować oprogramowanie, faktycznie pobierali konia trojańskiego - program zdalnego dostępu, który może kraść dane osobowe. Microsoft nie używa powiadomienia e-mail w ten sposób, ale wielu użytkowników zostało przyłapanych na nieświadomości.
Słynny „list z Nigerii” był kolejnym rodzajem oszustwa phishingowego. Ten rodzaj oszustwa jest tak rozpowszechniony, że ma swoją własną nazwę: 419 oszustwa. Phisher udaje, że jest nigeryjskim urzędnikiem w niebezpieczeństwie, wymagającym od amerykańskiego konta bankowego wyładunku pieniędzy. Osoba, która zezwoliła na tymczasowe korzystanie z konta, otrzyma piękną nagrodę. Zamiast tego ci, którzy podali informacje bankowe, stają się ofiarami kradzieży.
W Stanach Zjednoczonych Federalna Komisja Handlu (FTC) i inni skoncentrowali się na edukacji publicznej w celu zwalczania oszustw związanych z wyłudzaniem informacji, ponieważ łapanie phisherów jest trudne. Oszukańcze witryny działają przez bardzo krótki czas, a oszustwa są często prowadzone z innych krajów. W marcu 2005 r. Microsoft złożył 117 pozwów dotyczących phishingu w zachodniej dzielnicy Waszyngtonu z nienazwanymi pozwanymi.
Anti-Phishing Working Group (APWG) to międzynarodowa organizacja zrzeszająca wolontariuszy zajmujących się śledzeniem oszustw związanych z wyłudzaniem informacji. Ich strona internetowa prowadzi internetową bazę danych fałszywych wiadomości e-mail, które zostały im przesłane. Możesz sprawdzić tę witrynę pod kątem nowych oszustw lub wysłać im e-mail phisher. APWG jest w dużej mierze centrum informacji, ale zapewniają linki do zasobów konsumenckich. FTC ma również porady dla konsumentów, adres e-mail do zgłaszania phishingu, na ich stronie internetowej.