Phishing to sposób podszywania się pod inną osobę lub organizację. Do tego celu wykorzystywana jest spreparowana wiadomości e-mail, strona www lub rozmowa telefoniczna.
Atakujący wykorzystują metody socjotechniczne, aby użytkownik traktował sfałszowany e-mail lub stronę www jako prawdziwą. Atak przeprowadzany jest w celu wyłudzenia informacji, zdobycia danych logowania do portali i do kont bankowych, przejęcia numerów kart kredytowych lub nakłonienia do wykonania określonych czynności przez ofiarę.
Podstawowa forma ochrony przed atakiem phishing to stosowanie dobrych praktyk w pracy w Internecie. Nigdy nie należy reagować na linki i załączniki w wiadomościach, które wydają się nam podejrzane. Nie należy nikomu przekazywać danych do logowania w żadnej formie. Warto sprawdzać adresy stron, które otwieramy i weryfikować czy adres strony nie różni się literą, rozszerzeniem, nazwą od rzeczywistej nazwy strony. Jeżeli jest taka możliwość, warto wykorzystywać 2FA. Przy logowaniu się na portal 2FA będzie wymagał od nas podania danych logowania, ale również specjalnego kodu, który otrzymamy na telefon SMSem lub wygenerujemy specjalną aplikacją na telefonie. Aktualna przeglądarka i program antywirusowy mogą wspierać nas w ochronie przeciw phishing`owi.
Zidentyfikowanie ataku jest jednak trudniejsze, niż myślimy. Socjotechniczne sztuczki działają także na informatyków. Google przygotowało test, który pozwoli zweryfikować czy potrafimy poprawnie rozpoznać PHISHING. Mój wynik 7/8 – a Twój? :)