Klienci banku PKO BP, którzy w poniedziałek otrzymali e-maile zachęcające do odwiedzenia spreparowanej strony www, mogli w prosty sposób ochronić się przed tym atakiem phishingowym.

Wystarczyła bowiem wtyczka do przeglądarki internetowej działająca jako filtr witryn WWW. Darmowe narzędzie w postaci „wtyczki” do przeglądarki internetowej pozwala na szybie zidentyfikowanie witryny i wykazanie czy jest ona bezpieczna. Organizacja WOT (Web of Trust), udostępnia narzędzie ostrzegające przed otwarciem podejrzanej witryny www. System ten chroni przed oszustwami internetowymi, kradzieżą tożsamości, programami szpiegującymi, spamem, wirusami i podejrzanymi sklepami internetowymi. Bezpłatne narzędzia można chociażby pobrać ze strony: http://www.mywot.com/pl.

W poniedziałek klienci banku PKO BP otrzymali e-maile z tematem: PKO Bank Polski – Bardzo ważne!! W niezbyt starannie przygotowanej treści listu zamieszczone było ostrzeżenie o możliwości zablokowania konta w związku z brakiem odpowiednich danych identyfikacyjnych. Poniżej ostrzeżenia umieszczony był link do spreparowanej strony http://ool-44c3ed12.static.optonline.net/pkobp.pl/ , po wejściu na którą klient był proszony o podanie numeru karty płatniczej, daty jej wygaśnięcia oraz kodu PIN.

Cechą wyróżniającą atak phishingowy od np. zagrożeń typu spyware jest fakt, iż ofiara dobrowolnie podaje loginy, hasła dostępowe lub numery kart kredytowych. Indywidualne ataki phishingowe mogą być przeprowadzane np. za pośrednictwem komunikatora lub poprzez telefon, jednakże działania zakrojone na szeroką skalę – tak jak to miało miejsce w przypadku banku PKO BP - najczęściej wykorzystują specjalnie spreparowane wiadomości e-mail oraz strony WWW.

Aby skutecznie chronić się przed phishingiem, użytkownicy domowi powinni przede wszystkim zaopatrzyć się w odpowiednią aplikację zabezpieczającą. Zainstalowany program musi posiadać funkcję antyphishing, czyli moduł wykrywający spreparowane wiadomości e-mail lub strony www. Niestety sam program nie wystarczy – niezbędna jest świadomość zagrożenia oraz podstawowa wiedza na temat korzystania w internecie z usług bankowości elektronicznej.

Aby nie paść ofiarą ataków phishingowych należy zawsze pamiętać:
- Banki oraz inne instytucje finansowe nigdy nie przesyłają prośby o ponowne aktywowanie konta, potwierdzenie numeru karty kredytowej lub kodu PIN.
- Nigdy nie korzystajmy z linków umieszczonych w wiadomościach e-mail, nie wchodźmy na stronę logowania odnajdując jej adresu w wyszukiwarce.
- Zadbajmy aby nasz system posiadał zainstalowane najnowsze łatki.
- Zainstalujmy pełen pakiet zabezpieczający (zawierający funkcje antymalware, antyspyware, antyphishing).
- Bądźmy bardzo ostrożni korzystając z komputera w kafejce internetowej lub u znajomego. Jeżeli musimy na obcym komputerze wykonać jakąś operację wymagającą logowania skorzystajmy z dostępnych w sieci skanerów on-line np. na www.activescan.com , które w kilkanaście sekund mogą przeskanować system sprawdzając czy nie jest on zainfekowany.