Codziennie odbieramy na swoich skrzynkach email wiadomości zawierające różnego rodzaju oferty, informacje i powiadomienia z serwisów aukcyjnych i społecznościowych, informacje z systemów bankowych czy faktury od dostawców np. wody, gazu lub energii elektrycznej. Wśród takiej poczty zdarza się też korespondencja zawierająca informacje oraz odnośniki mające skłonić do wejścia na spreparowane lub zaatakowane strony internetowe. Przestępcy podszywają się pod określone instytucje celem wyłudzenie informacji, takich jak np. dane do logowania do systemów bankowych. Zjawisko takie określane jest mianem phishingu.
Uwaga na odnośniki
Przykładem phishingu były emaile, których autorzy podszywali się pod jeden z większych banków działających w Polsce i tematem „Weryfikacja konta ...” oraz odpowiednio spreparowaną treścią próbowali nakłonić adresata do kliknięcia w odnośnik „weryfikacja” (lub "logowanie"). Odnośnik ten prowadził do strony która wyglądem przypominała stronę bankową i zawierała pola służące do wprowadzenia danych do logowania oraz danych karty kredytowej. Dysponując loginem i hasłem oraz wykorzystując luki w systemach bankowych przestępcom niejednokrotnie udało się przelać pieniądze z kont klientów Banków.
Przykład: próba wyłudzenia danych do logowania do systemu bankowego
Banki zazwyczaj szybko reagują na tego typu sytuacje i wprowadzają dodatkowe zabezpieczenia i poprawki w swoich systemach onlinowych oraz podejmują dodatkowe działania mające uniemożliwić lub utrudnić działania przestępcom. Warto jednak zachować czujność. Na stronę banku nie należy wchodzić przez odnośnik z przesłanej korespondencji, tylko poprzez wpisanie adresu strony bankowej lub skorzystanie z wyszukiwarki internetowej. Robiąc przelew, weryfikujmy zawsze konto na które przesyłane są pieniądze (nawet w przypadku przelewu do zdefiniowanego wcześniej kontrahenta). Należy pamiętać, że żaden Bank ani instytucja finansowa nigdy nie prosi o podawanie danych do logowania, ani danych kartowych, za pośrednictwem korespondencji mailowej kierowanej do swoich klientów. Jeśli padniemy ofiarą phishingu należy jak najszybciej zmienić dane do logowania do konta bankowego. W przypadku podania danych kartowych należy również zablokować kartę.
Korespondencja z załącznikami
Zdarza się też że przestępcy, którzy podszywają się pod różne instytucje, przesyłają w załącznikach do poczty elektronicznej spreparowane faktury (z podanym innych numerem rachunku bankowego) albo załączają archiwa (najczęściej rar lub zip) zawierające zainfekowane pliki wykonywalne. Przykładem mogą być korespondencja, której nadawca podszywa się pod firmę kurierską lub dostawcę energii elektrycznej. Rozpakowanie i uruchomienie załączonego pliku może w takim przypadku powodować zainfekowanie komputera. Wirus może np. przechwytywać teksty wpisywane przez użytkownika komputera (pozyskując w ten sposób dane do logowania do różnego rodzaju kont), szyfrować dyski czy podmieniać numery rachunków wklejane (poprzez mechanizm kopiuj / wklej) podczas wykonywania przelewów bankowych. Należy więc zachować szczególną czujność w przypadku otrzymania maila z adresu, którego nie znamy, albo w zaskakującym temacie czy treści np. informacji o przesyłce kurierskiej w sytuacji gdy niczego nie zamawialiśmy. Nie należy uruchamiać załączonych do takiej poczty plików, nie przechodzić do linków w nich zawartych, a samą wiadomość od razu usunąć.