XYZ, czyli uważaj na stary nowy phishing

Jak wchodzisz na stronę swojego banku? Jeśli przez wyszukiwarkę Google – uważaj. Złodzieje zdecydowali się odgrzać starą metodę i za pomocą reklam ściągać użytkowników na fałszywe strony. Cel – wyłudzenie danych logowania i wyczyszczenie konta. Jak się bronić przed phishingiem?

Jak rozbić bank cudzym kosztem

Na czym polega oszustwo? Otóż nieuczciwi hakerzy tworzą strony, które do złudzenia przypominają te należące do banków. Dzięki reklamom Google udaje się im umieścić fałszywe witryny na szczycie wyszukiwarki. Wchodzi użytkownik – może w pośpiechu, na pewno przyzwyczajony do tego, że do bankowości internetowej loguje się poprzez link w wyszukiwarce. Robił to tyle razy, że nie zwraca uwagi, że z adresem jest coś nie tak – widnieją w nim literki „XYZ”.

Zamiast na stronie banku, ląduje na łudząco do niej podobnej, spreparowanej przez oszustów. Wpisuje poufne dane, dzieląc się nimi tym samym ze złodziejami. Niebezpiecznik donosi o dwóch zaatakowanych w ten sposób bankach – Getin Bank i Idea Bank. Możliwe jednak, że w podobny sposób podchodzi się klientów innych placówek.

phishing wykradanie danych logowania

Phishing – czyli jak złowić dane

Opisywana tu metoda to jeden ze sposobów phishingu, czyli procederu polegającego na wyłudzaniu od internautów (ale nie tylko) poufnych informacji. Nazwa słusznie kojarzy się z wędkarstwem, bowiem chodzi tu o łowienie – tyle tylko, że rybką są tu nasze loginy, hasła czy numery dowodu albo karty kredytowej. „Wędkarz” może nas obrobić, ale też sprzedać te dane komuś innemu.

Inne z metod phishingu zakładają wysyłanie fałszywych wiadomości, w których bank czy inna instytucja wzywa do podania danych logowania lub przejścia na podany w załączniku portal. Często towarzyszy temu próba przestraszenia użytkownika, by ten działał impulsywnie. Piszący o obecnym zagrożeniu Niebezpiecznik przypomniał o atakach sprzed kilku lat, gdy po wejściu na (fałszywą) stronę Allegro pojawiały się komunikaty o zhakowaniu telefonu. Hakerzy zachęcali w nich do pobraniu rzekomego antywirusa, przez wysłanie kosztownego SMS-a.

Jak się bronić?

Zjawisko nie jest więc nowe, ale warto sobie o nim przypominać. Jak powiedziała nasza biurowa analityczka Natalia, kto zapomina o historii jest wszak skazany na jej powtarzanie (a Piotr – magister w tej szlachetnej dziedzinie – gorliwie przytaknął). Dlatego dobrze jest zachować czujność.

Zwykle wyłudzające wiadomości są pełne błędów ortograficznych czy gramatycznych, w fałszywkach może też pojawić się coś pokroju wspomnianego „XYZ”, które powinno zapalić w naszych umysłach lampkę ostrzegawczą. Czasem lepiej zastanowić się dwa razy i sprawdzić podejrzanie wyglądający adres niż potem żałować. No i nie zapominajmy, by lekkomyślnie nie dzielić się swoimi danymi – i w sieci, i w realu.

Źródło: Niebezpiecznik