´╗┐ PYREK.PL - policyjny serwis edukacyjny!

PORADY

AKTUALNOŚCI

AKTUALNOŚCI

PORADY

Skimming i phishing

Rozw├│j technologiczny i - co za tym idzie - wprowadzenie elektronicznych form p┼éatniczych poci─ůgn─Ö┼éy za sob─ů wykszta┼écenie i rozw├│j nowych form przest─Öpczo┼Ťci bankowej. Okradanie kont bankowych to metoda stosowana tak┼╝e przez z┼éodziei w Polsce. Najpopularniejsze i najpowa┼╝niejsze przest─Öpstwa tego typu to "skimming" i "phishing". Co oznaczaj─ů te obco brzmi─ůce nazwy? Sk─ůd si─Ö wzi─Ö┼éy? Jak si─Ö zabezpiecza─ç przed tego typu przest─Öpstwami?

Oba okre┼Ťlenia pochodz─ů z j─Özyka angielskiego. "Skimming" to przest─Öpstwo, kt├│re polega na bezprawnym skopiowaniu zawarto┼Ťci paska magnetycznego karty bankowej (bankomatowej, kredytowej itp.) w celu wytworzenia duplikatu oryginalnej karty. Taka zduplikowana karta dzia┼éa tak samo jak oryginalna, a transakcje ni─ů dokonane obci─ů┼╝aj─ů prawowitego w┼éa┼Ťciciela.

Karty mog─ů by─ç kopiowane w sklepach, restauracjach, na stacjach benzynowych, w zasadzie w ka┼╝dym punkcie, gdzie mo┼╝na dokonywa─ç p┼éatno┼Ťci kartami. Karta jest kopiowana przez sprzedawc─Ö, kt├│ry wsp├│┼épracuje z przest─Öpcami lub sam jest przest─Öpc─ů. Poniewa┼╝ zazwyczaj jest ona w posiadaniu przest─Öpcy kr├│tko, nie zawsze ma on okazj─Ö pozna─ç jej kod PIN. Dlatego najcz─Ö┼Ťciej kopiowane s─ů karty, kt├│re nie wymagaj─ů autoryzacji przy pomocy PIN-u. Do kopiowania s┼éu┼╝y ma┼ée urz─ůdzenie, zawieraj─ůce czytnik kart oraz pami─Ö─ç pozwalaj─ůc─ů na zapisywanie zawarto┼Ťci pask├│w magnetycznych. Urz─ůdzenie to pod┼é─ůcza si─Ö nast─Öpnie do komputera i kopiuje zawarto┼Ť─ç sczytanych pask├│w magnetycznych.

Znacznie gro┼║niejsz─ů odmian─ů "skimmingu" jest "skimming bankomatowy". Przest─Öpcy instaluj─ů specjalistyczne urz─ůdzenia, s┼éu┼╝─ůce do pozyskiwania zar├│wno danych paska magnetycznego kart, jak i kod├│w PIN. Urz─ůdzenia mog─ů by─ç montowane na bankomatach oraz w ich wn─Ötrzu. Zazwyczaj z┼éodzieje instaluj─ů komplet nak┼éadek na bankomat (jedna cz─Ö┼Ť─ç montowana jest w miejscu, gdzie wsuwa si─Ö kart─Ö do bankomatu, druga - z zainstalowan─ů kamer─ů, jako dodatkowy baner ┼Ťwietlny - podwieszana jest w g├│rnej cz─Ö┼Ťci urz─ůdzenia). Taki zestaw rejestruje dane zawarte na pasku magnetycznym naszej karty, a za pomoc─ů kamery odczytuje wprowadzany PIN.

Jak chroni─ç swoj─ů kart─Ö, jak zapobiega─ç skimmingowi? Wystarczy przestrzega─ç kilku wskaz├│wek. Po pierwsze musimy uzmys┼éowi─ç sobie skal─Ö zagro┼╝enia i nabra─ç pewnej nieufno┼Ťci do urz─ůdzenia, jakim jest bankomat. W obecnej sytuacji najcz─Ö┼Ťciej bezrefleksyjnie obdarzamy bankomat ca┼ékowitym zaufaniem, podczas gdy przecie┼╝ mo┼╝e on s┼éu┼╝y─ç przest─Öpcom. Zanim dokonamy transakcji w bankomacie, nale┼╝y sprawdzi─ç, czy:

ÔÇó czytnik kart nie wygl─ůda podejrzanie;
ÔÇó klawiatura bankomatu jest r├│wna lub lekko obni┼╝ona w stosunku do poziomu obudowy;
ÔÇó czy do bankomatu nie s─ů przymocowane podejrzane urz─ůdzenia - odstaj─ůce elementy.

Pami─Ötajmy r├│wnie┼╝, aby na bie┼╝─ůco sprawdza─ç saldo naszego rachunku oraz wyci─ůgi z kart i kont.

Phishing - celowo b┼é─Ödny zapis s┼éowa "fishing" (┼éowienie ryb) - to, najkr├│cej m├│wi─ůc, pozyskanie poufnej informacji osobistej. Phisherzy wykorzystuj─ů w tym celu mechanizmy socjotechniczne. Kr─ů┼╝y kilka teorii na temat tego sk─ůd si─Ö wzie┼éo to okre┼Ťlenie. Jedna z nich m├│wi, ┼╝e zosta┼éo wymy┼Ťlone w latach dziewi─Ö─çdziesi─ůtych przez przez cracker├│w pr├│buj─ůcych wykra┼Ť─ç konta jednego z najwi─Ökszych ameryka┼äskich portali. Druga m├│wi, ┼╝e termin pochodzi od nazwiska Briana Phisha, kt├│ry mia┼é by─ç pierwsz─ů osob─ů stosuj─ůc─ů techniki psychologiczne do wykradania numer├│w kart kredytowych.

Popularnym celem phisher├│w s─ů banki czy aukcje internetowe. Phisher przewa┼╝nie rozpoczyna atak od rozes┼éania poczt─ů elektroniczn─ů odpowiednio przygotowanych wiadomo┼Ťci, kt├│re udaj─ů oficjaln─ů korespondencj─Ö z banku, serwisu aukcyjnego lub innych portali. Zazwyczaj zawieraj─ů one informacj─Ö o rzekomym zdezaktywowaniu konta i konieczno┼Ťci jego ponownego reaktywowania. W mailu znajduje si─Ö odno┼Ťnik do strony, na kt├│rej mo┼╝na dokona─ç ponownej aktywacji konta. Pomimo ┼╝e witryna z wygl─ůdu przypomina stron─Ö prawdziw─ů, w rzeczywisto┼Ťci jest to przygotowana przez przest─Öpc─Ö pu┼éapka. Nieostro┼╝ni i nie┼Ťwiadomi u┼╝ytkownicy ujawniaj─ů swoje dane uwierzytelniaj─ůce (kody pin, identyfikatory i has┼éa). Bywa r├│wnie┼╝, ┼╝e przest─Öpcy pos┼éuguj─ů si─Ö prostszymi metodami, kt├│re polegaj─ů na wys┼éaniu maila z pro┼Ťb─ů, czasem wr─Öcz ┼╝─ůdaniem, podania danych s┼éu┼╝─ůcych do logowania na konto i jego autoryzacji.

Innym sposobem dzia┼éania cyberprzest─Öpc├│w, kt├│ry ma doprowadzi─ç do poznania poufnych danych, jest wykorzystywanie z┼éo┼Ťliwego oprogramowania, zwanego w zale┼╝no┼Ťci od swojej formy: robakami, koniami troja┼äskimi (trojanami) lub wirusami. Takiego "robaka" mo┼╝na ┼Ťci─ůgn─ů─ç korzystaj─ůc z zainfekowanych witryn internetowych.

Bardziej zaawansowan─ů, a co za tym idzie niebezpieczniejsz─ů dla u┼╝ytkownika oraz trudniejsz─ů do wykrycia, form─ů phishingu jest tzw. pharming. Zamiast wysy┼éania fa┼észywych wiadomo┼Ťci e-mail, przest─Öpcy przekierowuj─ů u┼╝ytkownik├│w wpisuj─ůcych prawid┼éowe adresy np. swojego banku na fa┼észywe strony internetowe.

Ka┼╝dy internauta powinien mie─ç ┼Ťwiadomo┼Ť─ç zagro┼╝e┼ä, jakie wi─ů┼╝─ů si─Ö z pobieraniem z sieci oprogramowania z niepewnych serwer├│w czy odpowiadaniem na podejrzan─ů poczt─Ö elektroniczn─ů. Pami─Ötajmy, ┼╝e:

ÔÇó serwisy nie wysy┼éaj─ů e-maili z pro┼Ťb─ů o odwiedzenie i zalogowanie si─Ö na stronie;
ÔÇó nie nale┼╝y otwiera─ç hiper┼é─ůczy bezpo┼Ťrednio z otrzymanego e-maila;
ÔÇó nale┼╝y regularnie uaktualnia─ç system i oprogramowanie;
ÔÇó nie wolno przesy┼éa─ç mailem ┼╝adnych danych osobistych - w ┼╝adnym wypadku nie wype┼éniajmy danymi osobistymi formularzy zawartych w wiadomo┼Ťci e-mail;
ÔÇó zastan├│wmy si─Ö nad napisaniem wiadomo┼Ťci e-mail zwyk┼éym tekstem zamiast HTML;
ÔÇó banki i instytucje finansowe stosuj─ů protok├│┼é HTTPS tam, gdzie konieczne jest zalogowanie do systemu. Adres strony WWW rozpoczyna si─Ö wtedy od wyra┼╝enia 'https://', a nie 'http://'. Je┼Ťli strona z logowaniem nie zawiera w adresie nazwy protoko┼éu HTTPS, powinno si─Ö zg┼éosi─ç to osobom z banku i nie podawa─ç na niej ┼╝adnych danych.

Ka┼╝de podejrzenia co do sfingowanych witryn nale┼╝y jak najszybciej przekaza─ç policjantom lub pracownikom danego banku odpowiedzialnym za jego funkcjonowanie w sieci.

 

źródło policja.pl