Pescarii şi păcălelile lor
Inapoi

Pescarii şi păcălelile lor

Phishing-ul (care se poate traduce în limba română prin "pescuit") reprezintă o formă de criminalitate informatică extrem de răspândită, prin care autorii încearcă să obţină informaţii confidenţiale de la persoane necunoscute, pentru a le utiliza în beneficiu propriu. Mesajele de tip phishing pot fi foarte convingătoare iar tehnicile utilizate sunt variate – fiţi, ca atare, circumspecţi atunci când dezvăluiţi informaţii de natură personală sau financiară în mediul online (dar nu numai) şi respectaţi câteva măsuri de precauţie atunci când folosii Internetul.

Evitarea plaselor întinse de escroci se poate face numai printr-un efort comun, susţinut de bănci, companii de plată şi posesori de carduri. De exemplu, MasterCard vine în sprijinul instituţiilor financiare partenere, pentru contracararea efectelor phishing-ului, cu informaţii care să îi ajute pe posesorii de carduri să evite capcanele persoanelor rău intenţionate.

Imaginaţi-vă că găsiţi în căsuţa dvs. de e-mail mesajul următor, semnat – aparent, cel puţin, de banca la care aveţi deschis contul în care vă încasaţi lunar salariul: "Mesaj urgent! Atenţie – vă număraţi printre clienţii care riscă să fie penalizaţi pentru neactualizarea informaţiilor şi documentelor privind Datele de Identificare ale clienţilor, în conformitate cu cerinţele Legii nr. 675/2002 cu modificările şi completările ulterioare şi cu Regulamentul Băncii Naţionale a României nr. 7/2008 privind cunoaşterea clientelei în scopul prevenirii spălări banilor şi finaţării terorismului, cu modificările ulterioare. Vă anunţăm că termenul legal până la care trebuie finalizată această operaţiune se apropie de sfârşit – mai aveţi la dispoziţie doar două zile pentru a vă conforma cerinţelor legale. În caz contrar, vom fi nevoiţi să vă restricţionăm accesul la conturile proprii, până în momentul în care veţi da curs solicitări de actualizare a datelor personale. Pentru a evita această situaţie neplăcută, completaţi rapid, în mesajul de faţă, următoarele date: (1) numărul contului dvs. curent şi al cardului ataşat; (2) codul numeric personal, adresa de domiciliu, numărul de telefon mobil; (3) parola de identificare aleasă pentru autorizarea operaţiunilor prin telefon. După completarea corectă şi comletă a formularului ataşat, veţi primi în maxim 24 de ore un mesaj de confirmare a actualizării datelor dvs. personale. Vă mulţumim pentru sprijinul acordat şi vă reamintim că mai aveţi la dispoziţie doar două zile pentru a finaliza aceast operaţiune absolut necesară."

Cum procedaţi dacă primiţi un astfel de mesaj – marcat cu elemente grafice specifice băncii dvs., şi foarte similar – ca prezentare – cu alte comunicări primite în trecut? Probabil că, mai ales dacă vă ştiţi "cu musca pe căciulă", pentru că, pur şi simplu, nu aţi mai avut timp să opriţi la bancă pentru a vă actualiza datele personale, nu veţi mai da atenţie intuiţiei dvs. care vă spune că (1) tonul mesajului e un pic prea imperativ, (2) greşelile gramaticale din textul mesajului sunt cam multe pentru a fi de bănuit doar că un angajat al băncii le-a "scăpat" din neatenţie (3) dezvăluirea unor informaţii atât de personale într-un mediu nesecurizat este extrem de riscantă. Să vă mai spunem că regulamentul nr. 7/2008 nu are nicio legătură cu actualizarea datelor personale, ci este o reglementare (abrogată, chiar) privind comisioanele practicate de BNR în relaţia cu instituţiile de credit?

Un astfel de mesaj reprezintă un atac clasic (şi nici măcar cel mai elaborat) de phishing, iar completarea şi transmiterea informaţiilor solicitate permit persoanelor care vi l-au trimis să vă golească lejer conturile sau să efectueze operaţiuni în numele dvs. Dacă primiţi un astfel de mesaj, cel mai corect este să-l ignoraţi şi, eventual, să informaţi banca dvs.; dacă, totuşi, i-aţi dat curs, informaţi cât mai rapid banca (sau compania în raport cu care sa realizat frauda) pentru a nu permite realizarea unor operaţiuni în numele dvs.

Trebuie să ştiţi că atacurile de phishing nu vizează doar instituţiile bancare, ci pot fi atacate şi companii din alte sectoare de activitate. Astfel, conform unui raport realizat de producătorul de soluţii de securitate Symantec ("Global Internet Security Threat Report, Trends for 2009", publicat în aprilie 2010), majoritatea brandurilor utilizate în atacurile de phishing în 2009 au fost din sectorul serviciilor financiare, acestea fiind urmate de mărci din industria ISP (9%), retail (6%), asigurări (3%), comunitatea Internet şi telecom (fiecare cu 2%) şi hardware, guvern, software şi transporturi (cu 1% sau un procent mai mic). În 2009, 36% din totalul site-urilor de phishing erau localizate în Statele Unite, conform aceluiaşi raport, 5% în Coreea de Sud, câte un procent de 4% în Spania, Polonia, România şi Rusia şi 3% în ţări precum Marea Britanie, Germania sau Canada. Reprezentanţii Symantec notează faptul că, faţă de anul precedent, în 2009 s-a înregistrat o creştere de circa opt ori a numărului de URL-uri de phishing originare din România – o evoluţie care trebuie să constituie, şi pentru dvs., un semnal de alarmă.

Pentru a evita să cǎdeţi victimă unor infracţiuni de acest fel, e bine să ştiţi că tehnicile folosite în atacurile de tip phishing şi abordările utilizate diferă şi ele destul de mult. Atacurile de phishing nu se realizează doar prin e-mail, ci la fel de bine pot avea loc şi pe telefonul mobil – cel mai adesea mesajele utilizate au prezentări foarte credibile şi subiecte care anunţă imperativ penalităţi, riscuri, defecţiuni ce trebuie remediate prin reintroducerea datelor personale sau dimpotrivă, câştiguri şi premii; prin intermediul acestor mesaje sunteţi invitat să dezvăluiţi (fie în corpul aceluiaşi mesaj, fie pe o pagină de internet care seamănă foarte mult cu cea a companiei atacate) date financiare şi personale.

Vi s-ar putea solicita, de exemplu, codul numeric personal, adrese de e-mail, numere de telefon, numere de cont, numere de card, informaţii despre contul bancar, coduri PIN sau alte parole etc. Adresa de internet (URL) la care sunteţi direcţionaţi pentru a înscrie informaţiile poate fi extrem de asemănătoare cu cea a companiei reale, sau pagina reală poate fi "mascată" de una creată de infractori (în care vi se solicită să completaţi datele); o altă posibilitate este ca, prin intermediul Internetului, calculatorul dvs. să fie infectat cu un program care să colecteze şi să transmită direct informaţii către hoţii de date sau, într-o formă şi mai elaborată, autorul de phishing reuşeşte să se interpună între calculatorul dvs. şi cel al companiei atacate şi să direcţioneze operaţiunile dvs. către un server fals.

Sună înfricoşător, nu-i aşa? Aşa şi trebuie, pentru că daunele pe care vi le pot produce infractorii dacă le cădeţi în "plasă" şi nu reacţionaţi rapid, pot fi importante şi foarte greu de recuperat. Exitenţa unor astfel de ameninţări nu înseamnă însă, nici pe departe, că trebuie să renunţaţi la beneficiile pe care vi le oferă Internetul; nici vorbă să fiţi nevoit să mergeţi, iar, la bancă pentru a vă achita facturile, când o puteţi face, folosind serviciile bancare online, din faţa calculatorului, de acasă sau de pe telefonul mobil. Nici la cumpărăturile din magazinele online nu e nevoie să renunţaţi, nici vorbă, aşa cum nu e cazul nici să eliminaţi atât de comoda şi rapida comunicare prin e-mail. Trebuie doar să fiţi conştient de faptul că, la fel ca şi în viaţa reală, şi în mediul online există infractori şi infracţionalitate. Ca atare, fiţi circumspecţi cui şi în ce formă dezvăluiţi informaţiile confidenţiale (doar nici pe stradă nu le spuneţi unei persoane necunoscute, chiar dacă este îmbrăcată în costum şi are un ecuson cu numele funcţionarului de la bancă) şi asiguraţi-vă că pe calculatorul dvs. sunt instalate programele necesare pentru a bloca atacurile exterioare (şi la casă aveţi cheie, nu?).

Menţineţi, ca atare, programul antivirus actualizat în permanenţă, folosiţi un firewall şi verificaţi dacă soluţia antivirus pe care o utilizaţi blochează site-urile de phishing. În plus, aveţi grijă atunci când deschideţi documente ataşate mesajelor e-mail, pentru că acestea pot conţine viruşi ce pot compromite siguranţa calculatorului dvs., şi trataţi cu circumspecţie mesajele prin care vi se solicită informaţii personale sau financiare. Este extrem de improbabil ca banca dvs. sau alte companii cu care lucraţi să vă solicite astfel de date prin intermediul e-mailului; dacă, totuşi, aveţi îndoieli, sunaţi la companie şi verificaţi. Când faceţi achiziţii online, nu completaţi informaţii confidenţiale pe o pagină de internet nesecurizată (cele mai multe browsere afişează o iconiţă specială – o cheiţă sau un lăcăţel – pentru a arăta că site-ul este sigur) şi verificaţi întoteauna adresa de internet pe care ajungeţi atunci când daţi click pe un link primit pe e-mail. Cel mai bine este ca, atunci când sunteţi invitat printr-un e-mail să acesaţi o pagină de internet, să o rescrieţi în browserul web, pentru a nu risca să fiţi redirecţionat către un site fals. Nu în ultimul rând, verificaţi cu atenţie extrasele de cont de la bancă, atunci când le primiţi, pentru a vedea dacă au fost efectuate operaţiuni pe care nu le-aţi autorizat. Dacă se întâmplă acest lucru, alertaţi rapid banca.

Urmând toate aceste reguli – până la urmă, deloc complicate - şi păstrând în vedere faptul că şi în mediul online trebuie să aveţi aceeaşi grijă de informaţiile personale ca şi în viaţa „reală" veţi reuşi, fără doar şi poate, să vă feriţi de "pescari" şi păcălelile lor.

Ioana Ursu
Consilier EduCard Ioana Ursu
Pasionată de tematica financiar bancară, am lucrat mai bine de nouă ani în presa economică, la reviste precum Tribuna Economică, eFinance, eWeek, Business Week şi Business Magazin. În urmă cu puţină vreme am decis că a venit momentul să îmi încerc puterile într-o activitate independentă dar, cum prima dragoste nu moare niciodată, nu m-am îndepărtat nici acum prea mult de zona financiară şi nici de cea de jurnalism. Proiectul Educard e, pentru mine, o provocare minunată în care cele două laturi se îmbină perfect şi îmi oferă, în plus, flexibilitatea unui proiect online interactiv. Va astept, asadar, in fiecare saptamana cu articole si interviuri, pe care sper sa le gasiti utile si interesante.
RSS