Zagadka - rozwiązanie

Pytanie jest dość proste: czym różnią się te dwa obrazki poniżej przedstawiające stronę internetową logowania do internetowej obsługi konta w PKO ? 

 

Od momentu pojawienia się tego artykułu, kilka osób zwróciło uwagę (odpowiedziało na zadane pytanie) na czym polega haczyk w tej zagadce.

Otóż jest to sposób na wyłudzanie danych tzw. phishing (za wikipedia: Phishing – w branży komputerowej, wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.)

Przeważnie tego typu operacja zaczyna się od otrzymania maila:

I już na tym etapie nasza czujność powinna być mocno wzmocniona, ponieważ serwisy nie wysyłają tego typu wiadomości ani próśb. Proszę zwrócić uwagę jaki jest adres nadawcy (odpowiedź-do) - kosmiczny, przypuszczalnie fałszywy. Kolejny ważny element - nie klikamy w żadne linki z takich maili. Może się zdarzyć, że próba otwarcia zlinkowanej strony zainfekuje nasz komputer wirusami.

Gdyby mimo trafilibyśmy na taką stronę, która prosi nas o podanie naszych danych (adresów mail-owych, haseł, peseli itp.) - koniecznie zwracamy uwagę na adres strony (zakreślone na czerwono). Strony, na których podajemy nasze dane zawsze powinny być szyfrowane, czyli przy adresie powinna znajdować się kłódeczka, po kliknięciu w którym pokazuje się nam certyfikat:

Jak się bronić przed phishingiem (wg wikipedia).

Zdecydowana większość wiadomości phishingowych jest dostarczana za pośrednictwem poczty elektronicznej lub portali społecznościowych[1].

  • Zazwyczaj serwisy nie wysyłają e-maili z prośbą o odwiedzenie i zalogowanie się na stronie. Taka prośba powinna wzbudzić czujność, zawsze warto w takim wypadku potwierdzić autentyczność listu poprzez kontakt z administratorami strony. Banki i instytucje finansowe nigdy nie wysyłają listów z prośbą o ujawnienie (wpisanie w formularzu) jakichkolwiek danych (loginu, hasła, numeru karty), próby podszycia się pod nie powinny być zgłaszane do osób odpowiedzialnych za bezpieczeństwo.
  • Nie należy otwierać hiperłączy bezpośrednio z otrzymanego e-maila. Stosunkowo prosto jest zmodyfikować ich treść tak, by pozornie wskazujące na autentyczną witrynę kierowały do nieautoryzowanej, podszywającej się strony.
  • Należy regularnie uaktualniać system i oprogramowanie, w szczególności klienta poczty e-mail i przeglądarkę WWW.
  • Nie wolno przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych itp. Prośby o podanie hasła i loginu w mailu należy zignorować i zgłosić odpowiednim osobom.
  • Banki i instytucje finansowe stosują protokół HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Jeśli strona z logowaniem nie zawiera w adresie nazwy protokołu HTTPS, powinno się zgłosić to osobom z banku i nie podawać na niej żadnych danych.
  • Nie zaleca się używania starszych przeglądarek internetowych (np. Internet Explorer 6), które bywają często podatne na różne błędy. Alternatywnie można korzystać z innych programów, jak Mozilla Firefox czy Opera lub Internet Explorer 9 i 10 (których najnowsze wersje wyposażone są w filtry antyphishingowe) albo też z oprogramowania firm trzecich chroniącego przed phishingiem.
  • Używanie OpenDNS.

Mam nadzieję, że te informacje wzbogacą Waszą wiedzę i uchronią przed konsekwencjami ujawnienia danych. Zwłaszcza, że w ostatnim czasie rosyjscy hakerzy wykradli podobno ponad miliard haseł i loginów.