PHISHING to nic innego jak wyłudzenie osobistych danych np.: hasła, numery kont, itp. Haker wysyła swojej potencjalnej ofierze komunikat lub wiadomość email łudząco podobny do oryginału. Ofiara nie jest świadoma potencjonalnego zagrożenia i podaje swoje dane i hasła, co skrzętnie wykorzystuje cyber przestępca. Ataki phiserów na świecie są ogromne.
Phishing pierwszy raz opisano w 1987 roku, jednak jego nazwa pojawiła się dziewięć lat później czyli w 1996 roku w magazynie dla hakerów "2600". Samo słowo phishing jest to zbitek słów "fishing" (rybołóstwo) oraz "phreaking"(oszukiwanie systemów pocztowych). Pierwszy atak phishingowy datuje się na drugą połowę 1995 roku. Początkowo cyber przestępcy używali sieci AOL do podrabiania numerów kart kredytowych. Gdy wprowadzono zabezpieczenia, hakerzy zdobywali dane kart od innych użytkowników podając się za pracowników AOL. Wysyłali oni do nich wiadomości poprzez komunikator internetowy z prośbą o podanie hasła do konta. Prośbę tą argumentowali "weryfikacją konta" bądź "potwierdzenie danych na rachunku". Posiadając takie dane hakerzy spisywali dane z kart, które wykorzystywano do własnych celów. Zdarzenia te stały się ogromną plagą, w wyniku czego zaczęto w nowych wersjach komunikatora umieszczać komunikaty typu "Żaden z pracowników AOL nigdy cię nie zapyta o twoje hasło lub dane do opłacenia rachunku". Posunięcie to przyniosło wymierny skutek, gdyż użytkownicy nadal ufali anonimowym wiadomościom. Sieć AOL dopiero pod koniec 1997 roku poradziła sobie z tym problemem. A phishierzy stwierdzili, że jeśli w jednej sieci dali nabrać się na taką sztuczkę to Internet też da się nabrać.
Kolejny atak tego rodzaju został przeprowadzony na klientach firmy E-gold w czerwcu 2001 roku. Wraz z zakończeniem ataków na World Trade Center zgłosili się do klientów z koniecznym potwierdzeniem danych osobowych ponieważ możliwa jest wojna na terenie USA i należy chronić ekonomię państwa. Ludność dała nabrać się na takie ogłoszenie. W 2004 roku phishing został uznany przez firmy i instytucje za ogromną plagę w sieci. Obecnie najbardziej znanym atakiem hakerów są konta na portalach społecznościowych, gdzie przejmowane są profile poprzez, które wysyłane są złośliwe aplikacje.

Phishing to nie tylko obchodzenie zabezpieczeń w komputerach to także zwrócenie uwagi odbiorcy na wiadomość, która ma zachęcić odbiorcę do jej przeczytania, a reszta zależy już tylko od kreatywności phishera.

Metody wykorzystywane przez phishera:

Najłatwiejszą metodą jest maskowanie linków, gdzie nazywa się domenę podobnie do tej, której użytkownik musi zaufać. Drugą metodą jest zastosowanie kodu HTML do modyfikowania linków. Innym sposobem jest użycie symbolu "@", który stosowany jest jako znacznik loginu i hasła. Przykładowo link www.chip.pl@microsoft.com sugeruje nam, że kieruje na pod witrynę CHIP.pl. Aczkolwiek po kliknięciu na niego znajdziemy się na stronie Microsoftu zalogowani jako www.chip.pl. Trudną metodą do zauważenia jest wykorzystywanie luk w już istniejących standardach. IDN jest to nazwa domeny, która posiada znaki spoza ASCII np.: narodowe znaki diakrytyczne(ą,ę,ó,ń,ś,ł,ż,ź,ć,ń). System nazw domen oparty jest na siedmiobitowych znakach standardu ASCII. W wyniku czego adres internetowy podstawiony przez phishera na pierwszy rzut oka nie różni się prawie niczym od prawdziwego. Ponadto jest mechanizm do skracania adresów Internetowych (URL redirection) i kupno dowolnego cyfrowego certyfikatu przez phishera w celu uśpienia naszej uwagi. W wyniku połączenia tych technik nasza spostrzegawczość jest niewystarczająca i należy posiadać odpowiedni program antywirusowy.
Aby bronić się przed phishingiem uważaj na wszystkie strony, pod strony i linki z prośbą o podanie naszych danych osobowych i haseł. Rozważ wszystkie domeny linków. Pamiętaj, że system operacyjny, przeglądarka internetowa, poczta elektroniczna i program antywirusowy były zawsze legalnymi i aktualizowanymi aplikacjami.

Źródło: chip.pl