e-PŁATNOŚCI - Bezpieczeństwo transakcji

Wstęp

Phishing na eBay

Ciekawa propozycja od sprzedawcy

Western Union Money Transfer i oszuści

Zweryfikowany agent eBay'a

Polecany escrow.com ?

Uwaga na BidPay

Inne scenariusze oszustw

Bezpieczeństwo transakcji internetowych

Phishing ma na celu wyłudzenie od nieświadomego internauty jego danych osobowych, numeru karty kredytowej lub nazw użytkownika i haseł dostępowych do serwisów, z których korzysta (np. banku internetowego, serwisu do wirtualnych płatności czy systemu aukcyjnego). Polega na tworzeniu przez oszustów wiadomości e-mail i/lub witryn podszywających się pod prawdziwe serwisy.

Mechanizm oszustwa jest banalny. Internauta otrzymuje maila ze spreparowaną wiadomością. Najczęściej chodzi o zweryfikowanie lub uzupełnienie jego danych. Po kliknięciu na link w mailu użytkownik jest przenoszony na stronę łudząco podobną do serwisu, z którego korzysta. Nieświadomy zagrożenia wprowadza poufne dane, które następnie trafiają do oszustów. Skutkiem ich ujawnienia może być oczyszczenie konta bankowego użytkownika lub dokonanie oszustw na jego rachunek. Sprawa dotyczy również polskich internautów, o czym świadczą pierwsze "sukcesy" rodzimych oszustów. Czytaj więcej....

Dla niedoświadczonego użytkownika takie wiadomości wyglądają na autentyczne. Napisane najczęściej w HTML'u zawierają logo i grafiki znane z serwisu, a także linki do oryginalnej strony. Również adres nadawcy i adres zwrotny są zazwyczaj prawdziwe lub łudząco do nich podobne. Najczęściej tylko jeden odnośnik w mailu prowadzi do podrobionej witryny. Dodatkowo oszuści wykorzystują luki w programach pocztowych i przeglądarkach, dzięki którym utrudnione jest stwierdzenie na jakiej stronie aktualnie przebywamy. Narażone jest szczególnie oprogramowanie Microsoftu: Outlook Express i Internet Explorer.

Najwięcej wskazówek o pochodzeniu maila znajdziemy w nagłówku wiadomości. Ale to już temat na odrębny tekst. Tymczasem odsyłam do artykułu Anatomia phishingu z Computerworld oraz angielskojęzycznego opracowania Reading Email Headers.

Pamiętaj, że:
1) żaden bank internetowy, eBay, BidPay, PayPal ani inny serwis nie proszą mailowo o zweryfikowanie lub podanie poufnych danych,
2) nigdy nie klikaj linków umieszczonych w wiadomościach opisanych wyżej,
3) przed podaniem poufnych informacji upewnij się, że strona internetowa wykorzystuje protokół bezpiecznej transmisji danych (SSL). Można to rozpoznać po ikonie zamkniętej kłódeczki widocznej na dolnej belce przeglądarki lub po przedrostku poprzedzającym adres internetowy: "https://" zamiast "http://". Po kliknięciu na kłódkę otrzymasz informacje na temat certyfikatu bezpieczeństwa danej witryny. Jeśli masz jakiekolwiek wątpliwości lub pojawi się komunikat z informacją o wygaśnięciu certyfikatu, ewentualni braku możliwości jego weryfikacji, zrezygnuj z połączenia,
4) zadbaj o bezpieczeństwo komputera, z którego korzystasz. Zainstaluj oprogramownie antywirusowe oraz zaporę ogniową (ang. firewall). Regularnie uaktualniaj bazy z definicjami wirusów. Nie zapomnij również o instalowaniu "łat" (ang. patch) usuwających luki w posiadanym systemie operacyjnym i przeglądarce internetowej,

5) jeżeli padłeś ofiarą phishingu, czym prędzej zaloguj się na konto i zmień hasło dostępowe. Powiadom o wszystkim pracowników serwisu.

Czas na przykłady phishingu. Pod lupę wziąłem maile podszywające się pod serwis eBay.

Przykład maila podszywającego się pod eBay

Po kliknięciu linka użytkownik był przenoszony na stronę łudząco podobną do witryny eBay. Nieświadomy zagrożenia wpisywał wymagane dane: nazwę użytkownika i hasło do swojego konta w serwisie lub co gorsza numer karty kredytowej i inne poufne dane. Poniższej inny wariant wiadomości.

Poniżej dwa bardziej wyrafinowane maile. W pierwszym przypadku oszuści informują, że ktoś użył danych użytkownika do oszustwa. Ze względów bezpieczeństwa proszą o zweryfikowanie danych osobowych. Użytkownik ma na to 72 godziny. Jeżeli tego nie dokona jego konto zostanie zablokowane.

Na koniec mój "ulubiony" mail. Szczerze mówiąc, nawet doświadczony internauta może się nabrać. Szczególnie, gdy właśnie licytuje jakieś przedmioty. Ehh....