Phishingom nazivamo sve pokušaje krađe identiteta putem lažnih poruka elektroničke pošte, instant messengera i web stranica. Uglavnom se otimaju korisnički računi na instant messenger servisima i e-mail računi radi (najčešće bezopasnog) oglašavanja i daljnjeg viralnog širenja lažnih poruka, no phishing vam može napraviti i ogromnu materijalnu štetu ako ste povjerili svoje PIN-ove, brojeve kreditnih kartica i slične važne osobne podatke. Iako ne postoji način da se predvide sve metode na koje netko može pokušati ukrasti podatke, ovim tekstom pokušat ćemo vam raskrinkati one najčešće te opisati načine kako ih je lako identificirati i izbjeći.
Glavni savjet koji vam možemo dati, ma koliko paranoično izgledao, jest: sumnjajte u sve!
Instant messengeri i e-mail
Phishing se instant messengerima širi prilično brzo jer igra na ljudsku najveću slabost – znatiželju. Phishing e-mailom malo je rjeđi jer većina e-mail servisa automatski filtrira većinu takvih poruka. Najučestaliji pokušaj phishinga putem e-maila je poruka u kojoj se od vas zahtijevaju pristupni podaci jer će vam račun u protivnom biti isključen ili obrisan. Naravno, autori poruke predstavit će se kao administratori, direktori i tome slično. Ovu prijevaru možete lako prepoznati – nikad vas niti jedan servis neće tražiti vaše osobne podatke. To ste već ionako mogli provjeriti pri registraciji, pa se smatrajte upozorenim.
IM phishing poruke najčešće se sastoje od hiperveze do neke stranice koja će, kako bi vas uvjerila u vlastitu vjerodostojnost, sadržavati e-mail ili ime osobe s čijeg ste računa dobili poruku, uz tekst koji će vas pokušati nagovoriti da stranicu i otvorite. Poruke su tipa “Pogledaj, na ovoj stranici netko objavljuje tvoje slike” i u 99 posto slučajeva na engleskom su jeziku, što vam odmah može biti sumnjivo ako se radi o nekome s kime inače ne komunicirate na stranim jezicima. Nadalje, te su poruke rijetko ispravno napisane, pa obratite pozornost na spelling i gramatiku.
Pazite gdje ostavljate brojeve kreditnih kartica
Bitno je spomenuti da sam klik na hipervezu nije opasan. Klasična je phishing stranica zapravo dosljedna kopija neke prave stranice za prijavu. MSN phishing odvest će vas na stranicu koja je kopija službenih MSN stranica, ili će izgledati poput Live Messengera, a sve su češće i lažne Gmail stranice za prijavu. Tamo ćete biti obaviješteni da, ako želite vidjeti obećane slike, morate unijeti svoj e-mail i lozinku. Ako ih unesete, nećete dobiti svoje slike, već će vam stranica javiti neku grešku (npr. da ste krivo upisali svoje podatke), a ti će podaci biti poslani zlonamjernom tvorcu stranice koji s njima može raditi što god želi. Ako slučajno nasjednete na ovaj način phishinga, najbolje što možete napraviti jest da promijenite lozinku čim shvatite da je u pitanju prijevara jer će tako podaci koje ste dali biti netočni i beskorisni. Naravno, pristupne lozinke uvijek treba redovito mijenjati, barem za stranice koje su važnije i sadrže neke osobne podatke. Također, kada vam od nekoga stigne phishing poruka, što prije obavijestite tu osobu da je žrtva phishinga i savjetujte joj da odmah promijeni svoju pristupnu lozinku za taj servis.
Phishing na Webu
Šansa da će vas phishing web stranica zavarati mnogo je veća ako na nju naiđete sami, bez da vas je itko “pozvao”. Provjera adrese (u polju address vašeg omiljenog web preglednika) najlakši je i najsigurniji način provjere jeste li uistinu na stranici na kojoj mislite da jeste. Bilo bi dobro da se upoznate s adresama stranica (npr. vaše banke) koje zahtijevaju prijavu i prije samog prijavljivanja bacite pogled na address bar, kao i na ostatak stranice. Jedna je lažna Gmail stranica, na primjer, u naslovu imala krivi spelling – “Gmial”.
Naravno da se Googleu to ne bi dogodilo. Neki provideri dosjetili su se dodatnih mjera zaštite, pa je tako na Yahoo! Mailu moguće napraviti tzv. “seal” ili “pečat”. Pečat nije vezan uz vaš račun, već uz računalo, a bit će vam prikazan na stranici za prijavu. Ako ga nema, provjerite je li stranica uistinu Yahoo! Mail ili je riječ o phishingu. Izrada Yahooova pečata jednostavna je i neće vam oduzeti više od nekoliko minuta, a dodatna zaštita koju vam nudi nije za odbaciti.
Tko pod drugim jamu kopa…
Dok se gore navedeni primjeri phishinga temelje na znatiželji i brzopletosti korisnika, postoji još jedna ciljna skupina phishinga – ljudi koji i sami žele raditi štetu. Neprebrojiva je količina web stranica koje će vas uvjeravati da se baš uz njihovu pomoć možete probiti do prijateljeva računa na Facebooku, MySpaceu, Twitteru i slično. Za izradu phishing stranice ne treba skoro nikakvo predznanje – uz malo proučavanja JavaScripta i PHP-a vjerojatno je u jednom danu moguće složiti uvjerljivu stranicu, a uz dobru priču nekome je i “prodati”.
Zato budite oprezni i ne vjerujte tim stranicama jer stvari nisu tako jednostavne. Sve te stranice imaju zajedničko obilježje – tražit će vaš e-mail i lozinku te, kako bi vas uvjerili da će stvarno pokušati probiti lozinku vašeg prijatelja, njegov jezin e-mail ili korisničko ime. Vaš prijatelj možda bi mogao dobiti e-mail koji će i njega probati navući na odavanje svojih podataka, ali ono što je sigurno jest da ste vi svoje podatke već nekome odali. Stoga, dobro promislite isplati li se drugima raditi štetu – neke se narodne izreke savršeno preslikavaju na cyber prostor.