Darmowa wtyczka może uchronić przed phishingiem

Piotr Błaszczeć

środa, 20 stycznia 2010 07:30

Klienci banku PKO BP, którzy w dniu wczorajszym (poniedziałek) otrzymali e-maile zachęcające do odwiedzenia spreparowanej strony www, mogli w prosty sposób ochronić się przed tym atakiem phishingowym. Jak zapewniają specjaliści z firmy Panda Security, wystarczy wtyczka do przeglądarki internetowej aby zabezpieczyć się przed atakami typu phishing.

Pierwszą barierą ochroną przed zagrożeniami pochodzącymi z internetu jest specjalny filtr witryn WWW. Darmowe narzędzie w postaci specjalnej „wtyczki” do przeglądarki internetowej pozwala na szybie zidentyfikowanie witryny i wykazanie czy jest ona bezpieczna. Organizacja WOT (Web of Trust), blisko współpracująca z firmą Panda Security, udostępnia narzędzie ostrzegające przed otwarciem podejrzanej witryny www. System ten chroni przed oszustwami internetowymi, kradzieżą tożsamości, programami szpiegującymi, spamem, wirusami i podejrzanymi sklepami internetowymi. Bezpłatne narzędzia można pobrać ze stron: http://free.pandasecurity.com/ lub http://www.mywot.com/pl

Atak na bank PKO BP
Klienci banku PKO BO wczoraj rano (poniedziałek 18. stycznia 2010 r.) otrzymali e-maile z tematem: PKO Bank Polski – Bardzo ważne!! W niezbyt starannie przygotowanej treści listu zamieszczone było ostrzeżenie o możliwości zablokowania konta w związku z brakiem odpowiednich danych identyfikacyjnych. Poniżej ostrzeżenia umieszczony był link do spreparowanej strony http://ool-44c3ed12.static.optonline.net/pkobp.pl/ , po wejściu na którą klient był proszony o podanie numeru karty płatniczej, daty jej wygaśnięcia oraz kodu PIN.

pr5_e-mail_do_klientow_banku_proba_phishingu

Klientom banku, którzy mieli zainstalowaną wtyczkę Panda WOT natychmiast pokazywał się komunikat, że strona na którą próbują wejść jest zakwalifikowana jako nadużycie w kategoriach: Zaufanie, Wiarygodność Operatora oraz Bezpieczeństwo.

pr5_narzedzie_Panda_WOT_ostrzega_przed_niebezpieczna_strona

Wtyczka Panda WOT dostępna jest bezpłatnie na stronie http://www.pandasecurity.com/homeusers/downloads/wot/ w dwóch wersjach: dla przeglądarki Firefox i Internet Explorer.

Phishing ciągle „w modzie”
Cechą wyróżniającą atak phishingowy od np. zagrożeń typu spyware jest fakt, iż ofiara dobrowolnie podaje loginy, hasła dostępowe lub numery kart kredytowych. Indywidualne ataki phishingowe mogą być przeprowadzane np. za pośrednictwem komunikatora lub poprzez telefon, jednakże działania zakrojone na szeroką skalę – tak jak to miało miejsce w przypadku banku PKO BP - najczęściej wykorzystują specjalnie spreparowane wiadomości e-mail oraz strony WWW.

Aby skutecznie chronić się przed phishingiem, użytkownicy domowi powinni przede wszystkim zaopatrzyć się w odpowiednią aplikację zabezpieczającą. Zainstalowany program musi posiadać funkcję antyphishing, czyli moduł wykrywający spreparowane wiadomości e-mail lub strony www. Niestety sam program nie wystarczy – niezbędna jest świadomość zagrożenia oraz podstawowa wiedza na temat korzystania w internecie z usług bankowości elektronicznej.

Jak nie dać się złowić - wskazówki

Pamiętaj:
* Banki oraz inne instytucje finansowe nigdy nie przesyłają prośby o ponowne aktywowanie konta, potwierdzenie numeru karty kredytowej lub kodu PIN
* Nigdy nie korzystajmy z linków umieszczonych w wiadomościach e-mail, nie wchodźmy na stronę logowania odnajdując jej adresu w wyszukiwarce
* Zadbajmy aby nasz system posiadał zainstalowane najnowsze łatki
* Zainstalujmy pełen pakiet zabezpieczający (zawierający funkcje antymalware, antyspyware, antyphishing)
* Bądźmy bardzo ostrożni korzystając z komputera w kafejce internetowej lub u znajomego. Jeżeli musimy na obcym komputerze wykonać jakąś operację wymagającą logowania skorzystajmy z dostępnych w sieci skanerów on-line np. na www.activescan.com , które w kilkanaście sekund mogą przeskanować system sprawdzając czy nie jest on zainfekowany.

Przed zalogowaniem się do konta bankowego lub serwisu aukcyjnego:
* Sprawdźmy czy wykorzystywane przez nas oprogramowanie ochronne jest aktywne i posiada zaktualizowane bazy sygnatur
* Zawsze samodzielnie otwierajmy przeglądarkę internetową i wprowadzajmy adres strony w pasku przeglądarki. Jeżeli skorzystaliśmy z odnośnika sprawdźmy cały adres witryny – nie sugerujmy się jedynie początkiem adresu!
* Sprawdźmy wygląd witryny, zwracajmy uwagę na szczegóły (układ menu, kolorystyka, czcionki, błędy językowe)
* Do zalogowania zawsze wykorzystujmy połączenie szyfrowane HTTPS: (literka S oznacza połączenie bezpieczne - Secure)
pasek adresu zmieni kolor, a na początku adresu pojawi się zamiast http oznaczenie HTTPS
* Przed wprowadzeniem danych identyfikacyjnych sprawdźmy certyfikat witryny. W prawym dolnym rogu pojawi się kłódeczka – po kliknięciu na nią pojawi się szczegółowa informacja o certyfikacie (kto i dla kogo, dla jakiej witryny wystawił dany certyfikat)
* Nie wprowadzajmy danych identyfikacyjnych w wyskakujące okienka typu pop-up. Banki lub inne serwisy nigdy nie wykorzystują takich mechanizmów logowania - okienko pop-up nie może być oznaczone certyfikatem. Jednak często są one wykorzystywane przez przestępców
* Jeżeli mamy jakiekolwiek wątpliwości zamknijmy okno przeglądarki i powtórzmy procedurę od początku.

Po zalogowaniu:
* Ponownie zweryfikujmy certyfikat i adres witryny
* Sprawdźmy datę ostatniego logowania zarówno zakończonego powodzeniem jak i niepowodzeniem
* Po wykonaniu transakcji zakończmy sesję poprzez wylogowanie i dopiero po wylogowaniu z systemu zamknijmy przeglądarkę.

[źródło: informacja prasowa]

Tags:

« poprzednia		następna »

Dodaj komentarz

Użytkownicy portalu LOCOS.pl publikują swoje komentarze i opinie wyłącznie na własną odpowiedzialność. Komentarze internautów są ich prywatnymi opiniami i nie odzwierciedlają poglądów wydawcy oraz redakcji portalu. LOCOS.PL nie ponosi tym samym odpowiedzialności za treści zamieszczanych komentarzy i opinii.
Użytkownikom portalu LOCOS.pl zabrania się publikowania treści sprzecznych z prawem, wzywających do nienawiści rasowej, wyznaniowej, etnicznej, czy też propagujących przemoc.
Treści składające się na komentarz lub opinię użytkownika nie mogą zawierać wulgaryzmów ani słów powszechnie uznanych za obelżywe. Nie mogą zawierać również odnośników do innych stron www, a także danych osobowych, teleadresowych lub adresów e-mail.

Imię (obowiązkowe)

E-Mail (obowiązkowe)

Zawiadom mnie o nowych komentarzach

Kod antysapmowy
Odśwież

Wyślij

JComments

Please update your Flash Player to view content.
QUBER - get it free

Video

Aktualności

Luki, błędy, podatności

Najpopularniejsze narzędzia dostępne w sieci

Baza wiedzy

Bezpieczeństwo fizyczne

Porady inne

Organizacje

Reklama

RSS
LOCOS RSS

Popularne tagi
Atak Audyt Chiny Cisa Computerworld Cyberprzestępca Dane EXPLORER Google Ie Kaspersky Luka Malware Mcafee Microsoft Oszustwo Phishing Piractwo Policja Prasa Prawo Raport Spam Sąd Update

REKLAMA

Redaktor naczelny
Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, Lead auditor ISO 27001, BS25999, biegły sądowy z zakresu przestępst przy użyciu sieci komputerowych, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA, ISSA, IIC z tytułem CICA a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej e-mail: pb@locos.pl www.blaszczec.pl

Redaktor naczelny

Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, Lead auditor ISO 27001, BS25999, biegły sądowy z zakresu przestępst przy użyciu sieci komputerowych, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA, ISSA, IIC z tytułem CICA a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej
e-mail: pb@locos.pl
www.blaszczec.pl

Oficjalni partnerzy firmy LOCOS i portalu LOCOS.PL: