Zjawisko phishingu po raz pierwszy opisano już w roku 1987. Sama nazwa “phishing” pojawiła się jednak dużo później, w 1996 roku, w hakerskim magazynie “2600”. Phishing to zbitek słów “fishing” (rybołówstwo) i “phreaking” (czyli oszukiwanie systemów telekomunikacyjnych). Pierwszy odnotowany atak phishingowy miał miejsce w drugiej połowie 1995 roku. Społeczności warezowe używające sieci AOL specjalizowały się w podrabianiu numerów kart kredytowych. Kiedy jednak ich provider internetowy wprowadził odpowiednie zabezpieczenia, crackerzy postanowili zdobyć dane kart od innych użytkowników.
Phisherzy udawali pracowników AOL i wysyłali wiadomość do użytkowników poprzez komunikator internetowy, prosząc o ujawnienia hasła do konta. Jako argumentację podawano “weryfikację konta” lub “potwierdzenie danych na rachunku”. Mając już tę informację, włamywacze spisywali dane kart kredytowych i wykorzystywali je do własnych celów. Zjawisko to szybko stało się na tyle dużą plagą, że nowe wersje komunikatora AOL witały użytkowników komunikatem “Żaden z pracowników AOL nigdy cię nie zapyta o twoje hasło lub dane do opłacenia rachunku”. Niestety, to nie pomogło – użytkownicy AOL dalej wierzyli wiadomościom od anonimów na komunikatorach. AOL skutecznie z tym zjawiskiem poradził sobie dopiero pod koniec 1997 roku. Phisherzy wiedzieli jednak, że skoro sztuczka zadziała w jednej Sieci, to i zadziała w całym Internecie.
Kolejnym dużym atakiem tego typu było wyłudzenie danych osobowych od klientów instytucji E-gold w czerwcu 2001 roku. Włamywacze tuż po atakach na World Trade Center zgłosili się do klientów, żądając niezwłocznego potwierdzenia swoich danych personalnych w związku z “możliwą wojną na terenie Stanów Zjednoczonych i potrzebą ochrony ekonomii kraju”. Jak nietrudno się domyślić, przerażeni Amerykanie dali się nabrać. Trzy lata później phishing został uznany przez większość instytucji zwalczających cyberprzestępstwo za plagę i jedno z największych zagrożeń w Sieci. Powszechność tego zjawiska jest ogromna. W Internecie krąży więcej fałszywej korespondencji od tej autentycznej. Phisherzy nie poprzestają na bankach i usługach finansowych – obecnie najpopularniejszym celem ataków phisherów są konta na portalach społecznościowych. Przejęte profile są następnie wykorzystywane do rozsyłania złośliwego oprogramowania.
Metody phishingu
Phishing to nie tylko omijanie komputerowych zabezpieczeń, ale przede wszystkim tych w naszym mózgu. Naszą uwagę od razu przykuwają wiadomości zaczynające się od “Aby przywrócić dostęp do swojego konta bankowego, musisz (…)” – chcemy je przeczytać, bo to przecież nasze pieniądze. Ciąg dalszy zależy już od kreatyności phishera.
Najpopularniejszą metodą wykorzystywaną przez phishera jest maskowanie linku. Najprawdopodobniej dlatego, że jest najłatwiejsza. Przykładowo, chcemy, by użytkownik myślał, że kieruje się na stronę Testy na portalu CHIP.pl. Pierwszą metodą jest nazwanie swojej domeny podobnie do tej, w którą użytkownik ma uwierzyć. Na przykład www.chip.g.pl/testy lub www.chipp.pl/testy. Inną popularną metodą jest wykorzystanie kodu HTML do modyfikowania linków. Zobaczcie, mimo iż link wygląda tak: www.chip.pl/testy jesteście przekierowani na stronę z blogami. Na szczęście większość przeglądarek wyświetla na dole interfejsu faktyczny adres kryjący się pod linkiem jak tylko najedzie się na niego kursorem. Inna sztuczka polega na wykorzystaniu symbolu “@”, który jest wykorzystywany jako znacznik loginu i hasła. Link [email protected] może sugerować, że prowadzi do jakiejś podwitryny CHIP.pl. Tymczasem po kliknięciu na niego trafimy na stronę Microsoftu zalogowani jako www.chip.pl.
O wiele trudniejszą metodą do zauważenia jest wykorzystywanie luk w istniejących już standardach. IDN to nazwy domen zawierające znaki spoza ASCII, m.in. narodowe znaki diakrytyczne (np. używane w języku polskim ą, ę, ó, ś, ł, ż, ź, ć, ń). Ponieważ system nazw domenowych opiera się na siedmiobitowych znakach standardu ASCII, wielojęzyczne nazwy domen internetowych są przekształcane z formy zapisanej w Unikodzie do znaków siedmiobitowych opierając się na sposobie zapisu zwanym Punycode. Przekładając na język bardziej zrozumiały: dla użytkownika adres internetowy może się na pierwszy rzut oka niczym nie różnić od podstawionego przez phishera. Dodajmy jeszcze do tego fakt istnienia mechanizmu skracania adresów internetowych (URL redirection) i możliwość zakupienia dowolnego cyfrowego certyfikatu przez phishera, by uśpić naszą czujność. Połączenie tych technik powoduje, że nasza spostrzegawczość nie wystarczy – tu już potrzebny jest zdrowy rozsądek i dobrze zabezpieczone oprogramowanie (przeglądarka i pakiet Internet Security).
Obecnie trwa wojna między twórcami oprogramowania internetowego a phisherami. Przykładowo, jak tylko wprowadzono pierwsze filtry antyphishingowe, które analizowały treści wysyłanych wiadomości, włamywacze zaczęli przesyłać informacje tekstowe w obrazkach JPG i GIF. Tekst był jak najbardziej wyraźny dla człowieka, natomiast niemożliwy do odczytania dla filtrów. Phisherzy wykorzystują też luki w przeglądarkach. Za pomocą skryptów JavaScript zmieniają treść paska adresowego a nawet atakują oficjalne witryny, po to tylko by umieścić skrypt przekierowujący użytkownika na sfałszowaną stronę.
Jak się bronić?
Phishing jest odporny na wszystkie zabezpieczenia poza rozumem. Należy zdać sobie sprawę, że bank, provider internetowy, sklep internetowy lub jakakolwiek instytucja z którą mieliśmy w przeszłości do czynienia nie będzie nas prosiła o żadne dane osobowe. Zwłaszcza poprzez niezabezpieczone kanały, takie jak poczta internetowa czy komunikator. Co więcej, jeżeli już jesteśmy pewni, że jest konieczność zalogowania się na nasze konto w danym serwisie, uważajmy na to, w co klikamy. Analizujmy domenę każdego linku. Jest ich dużo, ale szybko można dojść do na tyle dużej wprawy, że każdy klik myszki wydłuży się raptem o ułamek sekundy. Pilnujmy też, by nasz system operacyjny, przeglądarka internetowa, klient pocztowy i oprogramowanie Internet Security było zawsze aktualne – te “nudne, czasochłonne i nic nie wnoszące” aktualizacje od tego są.