Στην επιστήμη των υπολογιστών, phishing είναι μια εγκληματική δραστηριότητα που χρησιμοποιεί τεχνικές social engineering. Είναι η προσπάθεια των phishers να αποκτηθούν οι ευαίσθητες πληροφορίες, όπως οι κωδικοί πρόσβασης και λεπτομέρειες πιστωτικών καρτών. Ο επιτήδειος συμπεριφέρεται ως αξιόπιστο πρόσωπο ή επιχείρηση σε μια ηλεκτρονική επικοινωνία. Το phishing συνήθως πραγματοποιείται με ηλεκτρονικό ταχυδρομείο ή ένα στιγμιαίο μήνυμα.
Πώς γίνεται το Phishing ;
Οι περισσότερες μέθοδοι Phishing χρησιμοποιούν κάποια μορφή τεχνικής εξαπάτησης. Ορθογραφικά λάθη URLs ή η χρήση subdomains, είναι κοινά τεχνάσματα που χρησιμοποιούνται από φορείς ηλεκτρονικού “ψαρέματος”. Ένας εισβολέας θα επιλέξει κατά κανόνα μία τράπεζα, την υπηρεσία πληρωμών ή το site δημοπρασίας με στόχο τους πελάτες τους. Όπως αυτό το παράδειγμα URL,
Το επόμενο πράγμα που ο εισβολέας θα πρέπει να κάνει είναι να στείλει μαζικά mails προς τη βάση χρηστών του επιλεγμένου “στόχο” site και να ενημερώνει τους χρήστες ότι πρέπει να συνδεθούν στο λογαριασμό τους και να αλλάξουν τον κωδικό τους λόγω του κινδύνου για την ασφάλεια ή την αναβάθμιση του συστήματος και θα πρέπει να ανατρέξουν σε URL ψεύτικης ιστοσελίδας.
αλλά στο e-mail αυτό θα πει:
Επειδή το email είναι HTML τότε ο χρήστης θα σκεφτεί ότι το email είναι έγκυρη πηγή και θα επισκεφθεί το ψεύτικο site, δίνοντας προσωπικά στοιχεία. Κατευθύνουν το χρήστη να υπογράψει εντός τράπεζας της χώρας τους ή τη δική του ιστοσελίδα υπηρεσίας, όπου και η ηλεκτρονική διεύθυνση αλλά και τα πιστοποιητικά ασφαλείας φαίνονται “έμπιστα”. Στην πραγματικότητα, το URL της ιστοσελίδας είναι σχεδιασμένο για να πραγματοποιήσει την επίθεση. Ακριβώς ένα τέτοιο ελάττωμα είναι αυτό που χρησιμοποιήθηκε το 2006 εναντίον του PayPal.
Τι μπορεί να κάνει ο χρήστης κάνει για να μην εξαπατηθεί;
Συμβουλή # 1: Μην κάνετε κλικ σε συνδέσμους σε e-mail σας.
Εάν λάβετε μήνυμα από την τράπεζά σας για να σας ζητήσει να κάνετε κάτι, μην κάνετε κλικ στις συνδέσεις του email. Αντ’ αυτού, ανοίξτε τον περιηγητή σας, πηγαίνετε κατευθείαν στον ιστότοπο της τράπεζάς σας, συνδεθείτε και συνεχίστε εκεί. Ακόμη και αν το μήνυμα είναι από κάποιον γνωστό, μην κάνετε κλικ στον σύνδεσμο.
Συμβουλή # 2: Άκυρα διαπιστευτήρια συνήθως δεν λειτουργούν για ψεύτικες ιστοσελίδες.
Εάν αισθάνεστε ότι υπάρχει κάτι λάθος με έναν ιστότοπο, χρησιμοποιήστε ένα άκυρο όνομα χρήστη και κωδικό πρόσβασης για να δοκιμάσετε να συνδεθείτε. Αν η ιστοσελίδα σας εμφανίσει στη συνέχεια τη σελίδα “Αποτυχία σύνδεσης”, είναι πιθανόν ότι βρίσκεστε σε μια νόμιμη ιστοσελίδα. Μπορεί να μην λειτουργεί πάντα, καθώς μερικές φορές οι απατεώνες προσομοιώνουν αποτυχημένες προσπάθειες σύνδεσης για να προσπαθήσουν να αποσπάσουν τα διαπιστευτήρια. Ωστόσο, αν εντοπίσετε έγκυρες πιστοποιητικές πληροφορίες, τότε πρόκειται σίγουρα για μια προσπάθεια ψαρέματος.
Συμβουλή # 3: Αναφέρετε το μήνυμα στην εταιρεία που προσποιείται στο ηλεκτρονικό ταχυδρομείο.
Οι περισσότεροι χρηματοπιστωτικοί οργανισμοί έχουν αναφερόμενες διευθύνσεις ηλεκτρονικού ταχυδρομείου όπου μπορείτε να αναφέρετε θέματα ασφαλείας. Αν υποψιάζεστε ότι ένα μήνυμα αποτελεί προσπάθεια ψαρέματος, αναφέρετε το στον οργανισμό. Θα πρέπει να περιλαμβάνετε όλα τα κεφαλίδες του ηλεκτρονικού ταχυδρομείου. Μην αναμένετε απάντηση από τον οργανισμό, καθώς λαμβάνουν χιλιάδες αναφορές τέτοιου είδους.