Phishing

Wiki E-Kontsulta(e)tik

Inoren informazioa iruzurrez eskuratzen saiatzea da phishing egitea. Phishing-a maula edo iruzur mota bat da eta bere helburua da gure informazio konfidentziala jakitea: erabiltzaileak, pasa-hitzak, banku kontuetako xehetasunak...

Edukiak 1 Phishing teknikak 1.1 Posta elektronikoa 1.2 Web orrien manipulazioa 1.3 Telefono deia (Vishing) 2 Nola eragotzi phishing-a 3 Ikusi baita ere 4 Kanpo estekak

[aldatu] Phishing teknikak

[aldatu] Posta elektronikoa

Hauxe da teknika erabilienetako bat eta honela egiten da: mezu elektroniko bat bidaltzen da eta alegiazko enpresa baten formulario bat eransten zaio, zeinetan era guztietako informazio konfidentziala eskatzen zaigun. Gerta daiteke mezu hori formulario batekin barik esteka batekin heltzea (adibidez: http://www.zurebankua.adibidea.com/), esanez bertan klik eginez gero gure datuak nahi dituen alegiazko enpresa horren web orrira helduko garela.

Horrelako mezuetan enpresaren segurtasunari buruzko era guztietako argudio sotilak erabiliko dituzte sinestarazteko beharrezkoa dela zure enpresaren sarbide-datuak jakinaraztea. Hona hemen phishing mezuetan erabiltzen diren argudio ohikoenak:

• Arazo teknikoak.
• Maula edo iruzur bat detektatu izana.
• Segurtasun gomendio berriak.
• Erakundearen segurtasun politikaren aldaketak.

[aldatu] Web orrien manipulazioa

Beste teknika bat da norbearen web orri batean erakunde ofizial baten irudia sartzea sinestarazteko erakunde ofizialaren orria dela. Horrelako web orrietan erakunde legitimoaren URLa ezkutatuta egoten da eta helbide-barran irudi bat jartzen dute benetako helbidea ezkutatzeko. Normalean, formulario bat agertzen digute gure datuak sar ditzagun, formulario hori benetako erakunde edo enpresarena balitz bezala (esaterako, banku batena). Azkenean, erabiltzaileak bere datuak ematen ditu sumatu gabe okerreko eskuetan jarri dituela.

[aldatu] Telefono deia (Vishing)

Phishing-a telefonoz ere egin daiteke: deitzaileak erakunde baten lekua hartzen du, esaten du arazo batzuk dituztela biktimaren kontuarekin eta bere datu konfidentzialak eskatzen dizkio.

[aldatu] Nola eragotzi phishing-a

Hona hemen phishing-aren biktima ez izateko egin daitezkeen gauza batzuk:

• Mesfida zaitez datu konfidentzialak (erabiltzaile izenak, pasa-hitzak, kreditu txartel zenbakiak e.a.) eskatzen dituzten mezu guztiekin.
• Segurtatzeko web zerbitzari seguru batekin konektatzen garela, egiaztatu nabigatzailearen helbide-barran URLa “https://" hitzekin hasten dela eta ez dela irudi bat.
• Ondo begiratu nabigatzailearen azpiko egoera-barran agertu behar den ikonoari, web zerbitzari seguru batekin konektatzen garela dioenari. Ikonoaren gainean birritan klik eginez gero, segurtasun ziurtagiria ikusiko dugu eta horrela egiaztatuko dugu benetakoa dela.
• Ez erabili estekarik informazio konfidentziala duten webguneetara sartzeko. Horren ordez, hobe da joan nahi duzun orriaren helbidea nabigatzailean idaztea.
• Jaramon egin iruzurtiak izan daitezkeen orriei buruz nabigatzaileak egiten dizkizun gomendioei.
• Eguneratuta eduki phishing-aren aurkako softwarea. Phishing-aren aurkako software batzuk web nabigatzaileetan eta posta elektronikoko bezeroetan integratu daitezke (jadanik nabigatzaile eta posta bezero batzuek phishing-aren aurkako software lana egiten dute).

[aldatu] Ikusi baita ere

• Pharming
• Vishing

[aldatu] Kanpo estekak

• Enpresa Txiki eta Ertainen segurtasuna
• Internauten Elkartea
• Antiphishing Working Group (ingelesez)