Ataki typu „phishing”

Terminem „phishing” określa się działania przestępcze, obejmujące stosowanie socjotechnik (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniu dostępu do prywatnych danych, np. numerów kont bankowych, kodów PIN itp.

Dostęp jest zwykle uzyskiwany w wyniku podszycia się pod osobę lub firmę godną zaufania (np. instytucję finansową, towarzystwo ubezpieczeniowe) w spreparowanej wiadomości e-mail. Wiadomość taka jest łudząco podobna do oryginalnej, ponieważ zawiera materiały graficzne i tekstowe mogące pochodzić ze źródła, pod które podszywa się nadawca. W tego typu wiadomości znajduje się prośba o wprowadzenie (pod dowolnym pretekstem, np. weryfikacji danych, operacji finansowych) pewnych danych osobowych — numerów kont bankowych lub nazw użytkownika i haseł. Wszystkie dane tego typu mogą zostać po wysłaniu bez trudu przechwycone i wykorzystane do działań na szkodę użytkownika.

Banki, towarzystwa ubezpieczeniowe i inne wiarygodne firmy nigdy nie proszą o podanie nazwy użytkownika i hasła w wiadomościach e-mail przesyłanych bez uprzedzenia.