Phishing - metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji[1] (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem[2] czy też nakłonienia ofiary do określonych działań[3]. Jest to rodzaj ataku opartego na inżynierii społecznej[4]. Phishing jest bardzo prostym rodzajem ataku cybernetycznego. Nie wymaga szukania luk w zabezpieczeniach, ani posiadania zaawansowanej wiedzy technicznej. Phishing bazuje na najsłabszym ogniwie ochrony sieci komputerowej, czyli błędach użytkownika. Twórcy fałszywych informacji podszywają się pod realnie istniejące instytucje, nakłaniając użytkownika do udzielenia osobistych informacji[5].

Pierwsze odnotowane użycie terminu „phishing” miało miejsce w zestawie narzędzi do łamania zabezpieczeń AOHell stworzonym przez Koceilah Rekouche w 1995 roku, jednak możliwe jest, że termin ten był używany wcześniej w drukowanej edycji magazynu hakerskiego „2600”. Słowo to jest małomową odmianą łowienia ryb ( ph jest powszechnym zamiennikiem f ), prawdopodobnie pod wpływem phreakingu i nawiązuje do używania coraz bardziej wyrafinowanych przynęt do "łowu" poufnych informacji użytkowników. Od 2020 roku, phishing jest zdecydowanie najczęstszym atakiem wykonywanym przez cyberprzestępców.

Próby zapobiegania incydentom związanym z wyłudzaniem informacji lub łagodzenia ich skutków obejmują przepisy, szkolenia użytkowników, świadomość społeczną i techniczne środki bezpieczeństwa. Świadomość phishingu staje się niezbędna w domu jak i w miejscu pracy. Na przykład w latach 2017–2020 liczba ataków phishingowych wśród firm wzrosła z 72 do 86% spośród wszystkich ataków.

Phishing w najpopularniejszej formie jest metodą oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu kradzieży środków. Odbywa się to najczęściej poprzez wyłudzenie poufnych informacji (np. kradzież danych logowania, danych karty bankowej), nakłonienia ofiary do określonych działań (np. dokonania przelewu na konto oszusta) lub zainfekowania komputera lub telefonu szkodliwym oprogramowaniem. Jest to rodzaj ataku opartego na inżynierii społecznej i manipulacji ofiarą. Phishing jest bardzo prostym rodzajem ataku cybernetycznego, nie wymaga od atakującego zaawansowanej wiedzy technicznej czy szukania luk w zabezpieczeniach. Najczęściej ogranicza się do wykorzystania przez oszusta gotowych narzędzi z graficznym interfejsem, które dostarczane są przez zorganizowane grupy przestępcze.

Takie grupy działają praktycznie w każdym państwie, często współpracują ze sobą lub operują jednocześnie na terenie kilku naraz. Wykrycie ich jak i identyfikacja państwa z którego pochodzą, jest niezmiernie trudna, ze względu na mnogość zabezpieczeń jakie stosują do ukrywania się. W przypadku np. oszustwa na kupującego OLX, w wiadomościach często można było zobaczyć „))” (popularny na wschodzie emotikon – uśmiech) co sugeruje, że oszust posiada komputer z klawiaturą z cyrylicą. Jednak nawet taka wskazówka nie daje żadnej pewności z jakiego kraju pochodzi oszust.

[B.Biderman]

 

[1] Podvody, zpronevěry, machinace: možnosti prevence, odhalování a ochrany před podvodným jednáním, Armex, 2005, s. 236, ISBN 978-80-86795-12-6 (cz.).

[2] SK-CERT, 10 stycznia 2018 [dostęp 2019-10-23]

[3] Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektronicznąKomisja Nadzoru Finansowego. s. 7.

[4] ESET [dostęp 2019-10-23], Cytat: „Phishing je forma útoku s využitím metód tzv. sociálneho inžinierstva, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie.”

[5] Paulina Kruszewska-Zelman, Phishing czyli kradzież danych osobowych | Profesjonalny Outsourcing IT Warszawa dla firm - Kompania Informatyczna, 15 lipca 2020 [dostęp 2020-08-12] (pol.).