Phishing
Pod tą nazwą kryje się cała paleta działań, które łączy to, że prowadzący je oszuści podszywają się pod budzące nasze zaufanie i często niezbędne nam w codziennym życiu instytucje, w celu wyłudzenia naszych haseł autoryzacyjnych i ewentualnie skłonienia nas do wykonania określonych działań - choćby zainstalowania określonego programowania, które zamieni część zasobów naszego komputera na przykład w element rozproszonej farmy botów albo kopalni kryptowalut.
Sam termin powstał już w latach 90., gdy amerykańscy hakerzy skutecznie zabawili się w wykradanie tą metodą haseł do kont sieciowych na jednym z najbardziej popularnych wówczas w Stanach Zjednoczonych serwerów pocztowych. W bezpośrednim tłumaczeniu phishing to lekko niegramatyczny skrótowiec od „Password harvesting fishing”, czyli „rąbanie i łowienie haseł”. Phishing najczęściej opiera się na masowym rozsyłaniu wiadomości e-mail lub za pośrednictwem mediów społecznościowych, zawierających linki do stron służących właściwemu wyłudzeniu. W takich wiadomościach bardzo często znajdują się wezwania do „zmiany” określonych haseł, ewentualnie „potwierdzania” takiej lub innej aktywności w sieci.
Skala zjawiska jest ogromna. Tylko w pierwszej połowie 2021 roku liczba ataków phishingowych w globalnej sieci wzrosła aż o 22 procent - wynika z danych zebranych przez firmę PhishLabs. W dodatku już 80 procent tych ataków ma wykorzystywać protokół HTTPS - powszechnie uważany za bezpieczny.
Scamming
To internetowa - i tak stara jak sam internet - wersja rozmaitych oszustw „na wnuczka”. Oszuści stosujący scamming zaczynają zwykle od rozesłania możliwie szerokim lemieszem (na przykład na masowe listy wysyłkowe e-mail) przygotowane z pomocą dostępnych w nielegalnym handlu baz wykradzionych z różnych miejsc danych, możliwie sugestywnych wiadomości. Takie wiadomości są wstępem do dłuższej konwersacji, w ramach której oszust coraz mocniej zmanipulowuje ofiarę, aż w końcu ona sama godzi się na zaproponowane rozwiązania, co ostatecznie kończy się marnie dla zawartości jej portfela. Oszust celowo doprowadza ofiarę do stanu coraz większego podenerwowania, sugerując, że trzeba działać szybko i zdecydowanie i koniecznie stosować się do podanej procedury. Dlatego właśnie porównanie z „analogowymi” oszustwami „na wnuczka” jest całkowicie zasadne i nieprzypadkowe, chodzi o osiągnięcie bardzo podobnego stanu ofiary i w konsekwencji założonego celu w postaci skutecznego wyłudzenia.
Scamming występuje też w wielu różnych odmianach w mediach społecznościowych, na forach internetowych i w komunikatorach używanych przez graczy komputerowych (niekiedy nawet tych wbudowanych w gry, zwłaszcza te z kategorii MMO). W takich wypadkach zarówno treść wiadomości, jak i przedmiot wyłudzania mają na ogół ścisły związek czy to z mechaniką gry, czy tematyką istotną w danej internetowej społeczności.
Gracz MMO może więc dostać na przykład propozycję zakupu ze sporą zniżką przedmiotów przydatnych mu w grze, czy rozmaitych pakietów „złotych monet” i innych „diamentowych punktów” liczących się w grze. Skuszony, przeleje środki oszustom i oczywiście nigdy żadnych złotych monet nie zobaczy.
Pharming
To jest naprawdę bardzo niebezpieczny pakiet oszukańczych technik, bo dobrze przeprowadzony pharming nie daje zwykłemu użytkownikowi internetu niemal żadnych szans na obronę. W pharmingu chodzi przede wszystkim o to, by przechwycić ruch z legalnej i zaufanej strony internetowej (na przykład tej banku, znanego sklepu czy operatora telekomunikacyjnego) i skierować go na przygotowaną przez złodziei możliwie wierną imitację tej strony. Tam nieświadoma niczego i całkowicie przekonana, że właśnie zalogowała się do systemu swojego banku czy też wybrała na internetowe zakupy ofiara ma dokonać zakupów, czy też transakcji bankowych - albo płacąc czy przelewając pieniądze bezpośrednio na konto oszustów, albo też nieświadomie dzieląc się z nimi hasłami autoryzacyjnymi czy numerami kart kredytowych.
Całe okrucieństwo tego pomysłu zawiera się w tym, że odpowiednio przygotowany pharming zadziała po wpisaniu (czy kliknięciu z linka) dokładnego, tego prawdziwego adresu, na który wybierał się internauta. Jakim cudem zatem jest to w ogóle możliwe? Ogólnie istnieją na to dwa możliwe typy sposobów.
Pierwszym z nich jest instalacja na urządzeniu ofiary (często przez nią sama) oprogramowania, które skrycie podmieni realny i prawidłowy link czy adres internetowy na ten przygotowany przez oszustów. Druga metoda jest bardziej zaawansowana i pozwala działać na większą skalę. W tym wypadku oszuści włamują się do serwera DNS danej strony (lub go infekują) i w ten sposób całkowicie w białych rękawiczkach przekierowują ruch na swoją fałszywkę. Z perspektywy zwykłego użytkownika sieci bardzo trudno się przed tym bronić, zresztą nabrać się może dosłownie każdy - bo przecież nawet informatycy i zawodowi hakerzy nie sprawdzają atrybutów każdej odwiedzanej w internecie strony.
