Phishing: metody ataków

Przeczytaj także: Świąteczne prezenty: robaki i trojany

Najgroźniejsze w botnetach jest to, że tak naprawdę ciężko jest ustalić głównego sprawcę całego zamieszania. Jeżeli Twój komputer zostałby użyty do ataku DDoS, to Twoje IP zawidnieje w logach atakowanego serwera. Oczywiście małe jest prawdopodobieństwo, że ktoś powiąże atak z Twoim bezpośrednim udziałem, ale sam fakt, że nasza maszyna uczestniczyła w ataku jest nieprzyjemny. Aby uniknąć przyłączenia komputera do botnetu należy postępować podobnie jak w przypadku ochrony przed phishingiem, czyli aktualizować system i posiadać pakiet zabezpieczający.

Na koniec Maciej Ziarka przytoczył pewne dane z raportu Microsoftu dotyczącego phishingu. Są one jak najbardziej optymistyczne, ponieważ dotyczą zysków i strat jakie ponoszą atakujący. Wynika z niego wyraźnie, że proceder ten jest nieopłacalny. Autorzy raportu "A Profitless Endeavor: Phishing as Tragedy of the Commons", Cormac Herley i Dinei Florencio, oparli swoje badania na ekonomii i porównali phishing do prawdziwego rybołówstwa (warto wiedzieć, że słowo phishing pochodzi od fishing - łowić; w środowisku i żargonie internetowym, f często zastępowano ph, stąd phishing). Z badań wynika, że "rynek" ten jest już wypełniony phisherami, co znacznie zmniejsza udany atak. Kolejnym aspektem jest fakt, że phisherem może być każdy, a skoro tak, osoba początkująca z pewnością wykaże brak profesjonalizmu, przez co wzbudzi podejrzenie, a tym samym rzutować będzie na innych phisherów, utrudniając im zadanie bycia autentycznym i przekonywującym. Autorzy raportu odpowiadają sami na pytania, jakie prawdopodobnie nasunęłyby się po przeczytaniu całości treści:

Model ekonomiczny jest zbyt prosty, phishing to nie łowienie ryb

1. Jest to analiza równowagi, a phishing jest zbyt nowym zjawiskiem, aby dostrzec w nim równowagę.
2. Phishing jest nielegalną działalnością, co ma wpływ na wejście i wyjście z pola.
3. Koszty phisherów nie są w stosunku liniowym do włożonego wysiłku.
4. Niektórzy phisherzy wykonują bardzo zaawansowane operacje, które wymagają niewielkiego wysiłku.

Phisherzy nie zajmowaliby się tym procederem, gdyby nie był opłacalny

Należy zauważyć, że phishing może stanowić ciągły problem, ponieważ przez cały czas znajdują się nowe osoby, które chcą spróbować szczęścia. Trzeba pamiętać, że potencjalni nowi gracze w branży phishingowej mają dostęp jedynie do opowieści o "łatwych pieniądzach", jakimi karmi się zwykłych ludzi. Historie o "szybkim wzbogaceniu się" i "łatwych pieniądzach" przyciągają nowych graczy, niezależnie od tego, czy chodzi o gorączkę złota czy phishing.

Autor artykułu Kaspersky Lab podsumowuje, że pozostaje mieć nadzieję, iż dane przedstawione w raporcie pokrywają się z faktami i rzeczywiście phisherzy szybko rezygnują z tego typu praktyk. Należy jednak pamiętać, że to nie raporty nas chronią, ale zdrowy rozsądek. Należy zastanowić się dwa razy, zanim kliknie się link w załączniku czy poda swoje dane w nieznanym formuarzu...