Dorin Sîrbu -

Combatere phishing

Securitate

Pentru o persoana simpla, cu un nivel scazut de cunostinte de procedura, tehnologie, echipamente si Internet, sa se protejeze de atacurile de tip phishing, este destul de complicat. De multe ori aceste metode de atac sunt foarte bine gandite, dar sunt cateva sfaturi, care daca sunt urmate, pot scadea dramatic rata de succes a acestor atacuri de furt a datelor personale importante si care pot face sa fiti mai in siguranta. Cateva sfaturi importante de combatere phishing sunt:

  • Niciodata nu dati nimanui, prin nici o cale, sub nici o forma, codul PIN de la card-ul vostru bancar. Nici macar personalul de la banca nu-l stie, pentru ca acordarea pin-ului este o procedura complet automatizata si nu-l stie nici operatorul de la banca.
  • Tot timpul sa aveti undeva in portofel notate numerele de telefon oficiale si adresa oficiala de site a institutiilor financiare cu care colaborati. Daca nimeriti intr-o situatie, cum ar fi blocarea cardului de catre bancomat, sa puteti suna unde trebuie si sa aveti raspunsul corect (atentie iarasi, un angajat de la banca nu va va cere PIN-ul sau parola niciodata).
  • Niciodata nu exista “proceduri rapide” la o institutie bancara. Chiar si daca sunteti intr-un astfel de caz si vi se pare ca ar trebuie sa reactionati rapid, mai intai se recomanda sa confirmati acea procedura pe numarul OFICIAL de telefon, pe care l-ati notat anterior si il pastrati in portofel.
  • Niciodata nu completati formulare, care sa includa date personale, pe site-uri care nu ati auzit de ele sau au denimiri suspecte.
  • Parolele pe care le aveti la diverse conturi (oricare), este foarte recomandat sa nu le stie nimeni, deoarece in majoritatea cazurilor sunt criptate in baza de date si nici macar furnizorii de servicii, care v-au oferit acel cont nu le cunosc in clar, lucru pentru care nu exista sa vi se spuna parola pe care o aveati ci vi se da o alta parola in cazul in care ati uitat-o pe cea veche. Atentie la denumirea site-ului cand va autentificati cu utilizator si parola!
  • Niciodata nu transmiteti prin telefon, catre persoane necunoscute, datele voastre personale importante, deoarece institutiile cu care colaborati le au deja si nu mai au nevoie de ele. Sunt sanse mari sa fie un atacator. De obicei, o institutie financiara, daca are nevoie de o confirmare sau o modificare de date personale, va cheama la ei, cu acte fizice si va pun sa semnati suplimentar si un document.
  • Daca aveti indoieli de vizita “neprogramata” a unui reprezentant, care va cere mai multe date personale decat “ar trebui”, este recomandat sa faceti o verificare telefonica pe numarul OFICIAL, daca intr-adevar acea persoana reprezinta institutia respectiva si trebuia sa efectueze acea vizita.
  • Niciodata nu utilizati “aparate suspecte” sau aparate care au “echipamente suspecte” sau “artizanale” montate pe ele. Aceste echipamente pot fi montate ca sa va fure datele personale.
  • Niciodata nu efectuati operatiuni financiare la aparatele publice (bancomate, POS, autoservire, etc.), daca nu puteti introduce datele sensibile in siguranta, intimitatea si distanta minima nu trebuie sa fie incalcata. Orice persoana “prea aproape” si “prea ajutatoare”, poate fi un “atacator suspect”.
  • Nu ezitati sa cereti explicatii pentru “operatiunile” nereusite in cazul unei tranzactii la POS. Lucru util in special in locurile “noi in care nu ati mai fost niciodata”.
  • Cand aveti o problema cu un echipament financiar (bancomat, aparate de reincarcare, aparate de autoservire s.a. aparate care implica “bani”), evitati pe cat posibil persoanele “suspect de saritoare la nevoie” si comunicati cu suportul OFICIAL, prin caile OFICIALE, ei sunt cei mai in masura sa va ajute.

Phishing prin e-mail

Securitate

Phishing prin e-mail, inseamna trimiterea unui e-mail fals, despre care am discutat deja intr-un articol anterior, din numele unei banci sau alte institutii financiare, care de obicei sub pretextul unei probleme foarte grave, cere “urgent” in numele institutiei completarea datelor voastre pentru a nu pierde “contul”, “o parte din bani”, etc.

Un exemplu de e-mail fals de tip phishing va prezint mai jos (mentionez iarasi ca banca prezentata mai jos este si ea victima si nu a trimis acest mesaj).

phishing Phishing prin e-mail

Pe langa tenta “serioasa”, “urgenta”, “dramatizanta” si “mobilizatoare” a mesajului,  se observa foarte usor un link in acest mesaj care duce catre un cu totul alt site (care nu va mai exista in cateva zile), unde vi se va propune sa introduceti toate datele cardului, inclusiv numarul, numele, PIN-ul, data de expirare, etc.

Cu parere de rau, pot fi mesaje de phishing si mai “amagitoare” decat cel prezentat mai sus, prin trimiterea unui e-mail, care contine logo-ul institutiei, link-uri catre site-ul original al institutiei si doar un link “important” acolo undeva unde iarasi sunteti redirectionati catre un site clona in ideea completarii datelor personale.

Ca o regula simpla de protectie impotriva mecanismelor de phishing: O banca, din motive de securitate, niciodata  nu o sa va ceara datele confidentiale prin intermediul Internet-ului. Nici un angajat de la banca (chiar banca originala) nu are voie se ceara PIN-ul si nu stie PIN-ul de la card-ul vostru. De obicei toate procedurile legate de schimbarea datelor sensibile se intampla prin prezentarea in persoana cu actele de identificare personala la sediul bancii.

Phishing

Definitii, Securitate

Phishing, este o forma de activitate infractionala, executata asupra uneia sau mai multor “victime” de catre un “atacator”, care foloseste numele unei institutii cunoscute, in scopul de a induce in eroare victimele, referitor la relatia atacatorului cu institutia si a obtine date confidentiale importante, pentru a le folosi ulterior in scopuri infractionale (furtul de bani din contul victimei, comenzi la produse de pe Internet folosind datele victimei, etc.). Phishing provine de la cuvantul englez “fishing”, care in traducere inseamna “a  pescui” sau mai pe romaneste, “incerci sa-i induci in eroare si vezi ce prinzi”. Atacatorii, de obicei, se folosesc de lipsa de cunostinte complete legate de procedura, tehnologie, calculatoare si Internet ale “victimelor” pentru a le induce in eroare si a le “forta” sa spuna telefonic sau sa introduca datele lor importante intr-un sistem informatic al atacatorului, cu mesaje de tipul “daca nu completezi datele in 10 zile, contul se inchide si pierzi banii”. Printre datele vizate de atacatori se enumera: date de identificare personala, date despre carduri bancare, date de acces la conturi de tip Internet Banking, conturi la site-uri de transfer bani on-line, etc. Un atac de tip phising poate fi efectuat prin urmatoarele cai:

  • cel mai des intalnit este phishing-ul prin e-mail-uri false, trimise din numele unor institutii financiare, care de obicei va invita pe un site fals, care seamana foarte mult cu cel original, unde trebuie sa completati un formular, care o sa va fure datele introduse.
  • phishing prin contact telefonic referitor la o asa zisa “problema” unde este nevoie urgent sa transmiti datele voastre importante pentru a o rezolva.
  • phishing prin mesaje de tip SMS, unde trebuie urgent sa dati un raspuns ca sistemul sa “nu dezactiveze contul” sau alta “inventie”.
  • phishing prin utilizarea de echipamente false, care emuleaza comportamentul echipamentelor originale, doar ca efectueaza operatiuni care de obicei se termina “fara succes”.
  • phishing prin contact direct, prezentatandu-se ca reprezentat al companiei, care vrea sa va ajute.
  • … probabil mai sunt inventate si alte metode, dar o sa le adaug pe masura ce se inventeaza si se decopera :)

Pentru a creste siguranta personala si a scadea sansele de succes ale atacului de tip phishing, am scris un articol cu un set de sfaturi generale Combatere phishing, care o sa va ajute foarte mult sa evitati astfel de cazuri.