Ostatnie doniesienia o atakach na klientów PKO jasno pokazują, że ani metody, ani chęci cyberprzestępców do włamania się na konta nie wychodzą z “mody”. Ich techniki są znane, a jednak udaje się co jakiś czas, używając sprawdzonych środków, nabrać całe masy. Najpopularniejszymi od lat sposobami na wyłudzenie od nas danych dotyczących dostępu do rachunków bankowych są phishing, pharming i smishing.

Wszystkie trzy metody wykorzystują inżynierię społeczną. Polega ona na wykorzystaniu metod mających na celu pozyskanie poufnych danych, jak numer karty kredytowej, kody PIN i tym podobne. W ramach przestępstw wykorzystujących inżynierię społeczną oszuści podają się za administratorów banków, osoby weryfikujące prawdziwość danych, czy sprawdzające stan bezpieczeństwa.

Phishing to wzorcowy przykład takiej techniki. Przestępca podaje się za osobę godną zaufania, która pilnie potrzebuje sprawdzić nasze dane. Oczywiście podając te informacje trafiają one w ręce złodzieja. Kiedy indziej na naszą skrzynkę może zostać wysłany spam, zachęcający do wejścia na stronę łudząco podobną do witryny logowania banku. Później mechanizm jest ten sam – wpisane dane lądują w bazie oszusta. A ten ma dostęp do naszego konta – czasem jest to bank, innym razem kantor internetowy, w najlepszym razie hasło e-mail używane do rozsyłania spamu. Phishing, mimo częstych kampanii banków, przypominających, że pod żadnym pozorem nie proszą o podawanie poufnych danych, jest cały czas skutecznym narzędziem cyberprzestępców.

Pharming to bardziej niebezpieczna i wyrafinowana forma phishingu. Właściwy atak musi poprzedzić zhackowanie strony docelowej, by nawet po poprawnym wpisaniu strony przekierowano internautę na tę podrobioną. Stąd ten sposób jest jeszcze trudniejszy do odkrycia, szczególnie, że osoba logująca się jest przekonana, że wpisała poprawny adres i trudno ją za to winić.

Smishing to mniej popularna, ale – jak się okazuje – nie mniej skuteczna technika wyłudzania danych. Jak sama nazwa wskazuje (SMS phishing, phishing sms-owy), delikwent otrzymuje SMS o treści zachęcającej do wysłania danych, czy po prostu wejścia na stronę internetową. W tym pierwszym przypadku może to być pokusa zwielokrotnienia stanu konta, przez wysłanie kodu doładowującego na określony numer. W rzeczywistości jedyne konto, któego stan ulegnie zwielokrotnieniu, należy do cyberprzestępcy. W drugim często “wrabia się” użytkownika w odwiedzenie witryny, która instaluje na naszym komputerze trojana gwarantującego dostęp przestępcy do naszych danych.

Specjaliści alarmują, że natężenie ataków wykorzystujących te metody nie spada. Ochroną przeciw wieloma jest po prostu ostrożność. Należy pamiętać, że nikt nie ma prawa żądać od nas poufnych danych przez e-mail. Banki starają się zapewnić bezpieczeństwo naszym rachunkom internetowym wykorzystując podwójną weryfikację: przez podanie kodów na karcie-zdrapce, czy (co wydaje się lepszym pomysłem) jednorazowymi kodami SMS o określonym czasie ważności. Najczęściej jednak to konsument, przez swoją rozwagę, może obronić się przed cyberprzestępcami.