Pikšķerēšana ir termins, kas izveidots no vārda “makšķerēšana” analoģiski atbilstošajam angļu valodas vārdam “phishing”, kas savukārt tika izveidots no “fishing” – lai būtu līdzīgs, bet tomēr cits. Pikšķerēšanas būtība ir lētticīgo makšķerēšana interneta pasaulē, kur ir jāatrod tāds lētticīgais, kas labprātīgi pavēstītu, kur stāv viņa nauda un kā tai var piekļūt. Arī tehniski šis process ir līdzīgs makšķerēšanai – ir ēsma ar noslēptu āķi, ir makšķernieks, ir makšķere un ir process, kas līdzīgs makšķeres iemešanai.
Par ēsmu kalpo kādas finanšu institūcijas mājas lapas vai citas tīmekļa vietnes atveidojums, un upurim tiek piedāvāts pieslēgties šim dokumentam un ievadīt rūpīgi glabāto informāciju par saviem finanšu aktīviem, piemēram, savu bankas kontu numuru, tā paroli un citu informāciju. Galvenais, upurim ir jānotic, ka tiešām šāda informācija finanšu institūcijai būtu vajadzīga un tā arī jāsniedz, t.i., jānorij ēsma. Bet, ja to izdara, tad no savas naudas ir jāatvadās, jo patiesībā šī informācija pa tiešo nonāk pikšķerētāja failos. Protams, tai ir jābūt tik pilnīgai, lai to varētu izmantot naudas izņemšanai.
Tā kā lētticīgo nav pārāk daudz, tad pikšķerētājam ir svarīgi izmest ēsmu iespējami plašāk, un šeit noder mēstuļu izsūtīšanas pakalpojumi. Parasti pikšķerētāji lūdz upuri pieslēgties viltus mājas lapai, kura izskatās gluži kā attiecīgās iestādes mājas lapa, piemēram, MasterCard mājas lapa, bet patiesībā ir pikšķerētāja paša veidojums, kas ievāc vajadzīgo informāciju. Tāds aicinājums pieslēgties pie viltus mājas lapas var izskatīties, piemēram, šāds:
Lūdzu, pieslēdzieties mūsu mājas lapai un veiciet vajadzīgās darbības, kas nodrošinās jūsu kredītkartes turpmāko darbību: MasterCard company www.mastercard.com
Jāņem vērā, ka tekstam piekārtotā hipersaite var atšķirties no uzrakstītās, piemēram, ja uzklikšķina uz šī aicinājuma, tad patiesībā pieslēgšanās notiks vietnei www.esidross.lv, kur nekādu viltību nav. Bet tikpat labi tā varētu būt jebkura cita vietne ar mērķi apmānīt interneta lietotāju. Pieslēgt lietotāju viltus mājas lapai var arī ar citādiem paņēmieniem, un internetā tiek daudz rakstīts par to, kādos veidos pikšķerētāji mēģina organizēt iespējami ticamākus pieslēgumus un izvilināt informāciju no lētticīgajiem interneta lietotājiem.
Viens no šādiem konkrētiem paņēmieniem, kā izvilināt informāciju no lētticīga interneta lietotāja, ir apskatīts zemāk .
Tomēr, lai nekļūtu par pikšķerēšanas upuri, visi pikšķerētāju izdomājumi nav nemaz jāzina un nekādas ārkārtīgas darbības nav jāveic. Pietiek iegaumēt vienu vienkāršu noteikumu:
Nekad un nekur internetā vai ārpus tā nesniedziet informāciju par saviem finansiālajiem instrumentiem |
Lai cik stingri to prasītu vai cik mīļi lūgtu! Pat tad, ja vēstule satur precīzu jūsu konta numuru vai uzvārdu.
Ja nu tiešām liekas, ka tāda informācija būtu jāsniedz, jāpazvana savai bankai un bankas kalpotājs laipni paskaidros, ka banka nekādā gadījumā šādu informāciju internetā nevāc.
Par pikšķerēšanu var uzskatīt arī tāda viltus internetveikala organizēšanu, kurš patiesībā nevis piegādā nopirkto preci, bet, balstoties uz klientu iesniegto kredītkartes informāciju, “iztīra” šī klienta kontu. Šādu veikalu atšķirt no īsta veikala ir grūti, tāpēc ir ieteicams izveidot savu atsevišķu bankas kontu ar atsevišķu bankas karti, kurā vajadzības gadījumā noglabāt tikai tik naudas, cik attiecīgajam pirkumam vajadzēs. Protams, pēc šāda principa var tikt organizēta arī, piemēram, ziedojumu viltus vākšanas vietne vai izdomāts kāds cits variants. Tāpat ar pikšķerēšanas metodēm var izvilināt arī vajadzīgo informāciju paroles zagšanai vai citiem noziedzīgiem mērķiem.
Tātad nekad un nekur internetā vai ārpus tā nesniegt informāciju par savām parolēm.
Vispār liekas neticami, ka vēl arvien pikšķerētāji cer uz lomu un domā, ka viņiem ir vērts pūlēties un izsūtīt mēstules. Patiesībā internetā tiek arī tirgotas šādā ceļā izveidotās banku kartes, kas gan arī var būt mānīšana. Acīmredzot cilvēku lētticību var izārstēt tikai ar finansiālām procedūrām. Vai pikšķerētajiem tas izdosies, redzēsim.
Ko izsūta pikšķerētāji?
Lūk, pikšķerētāja mēstules paraugs, kas tika saņemts Latvijā 2011.gada februārī.
Šajā vēstulē pikšķerētājs uzdodas par plaši pazīstamās maksājumu karšu firmas MasterCard vadību un aicina adresātu pārbaudīt savas kartes rekvizītus. Jau tas vien, ka firmas nosaukums vēstulē nav pareizi uzrakstīts, un tā nav parakstīta – liek šaubīties par šīs vēstules sakaru ar karšu kompāniju.
Jāpiezīmē, ka šī vēstule ir ārkārtīgi vienkārša. Citu līdzīgu vēstuļu autori nav tik slinki un saraksta daudz vairāk pārliecinošu frāžu par to, cik nepieciešams ir veikt jūsu karšu pārbaudi, kā šī pārbaude uzlabos bankas konta drošību, par to, cik stipri firma garantē savu klientu datu drošību un tā tālāk.
Piedevām šajā mēstulē tiek piedāvāts palaist pieāķēto failu. Katram, kas darbojas ar e-pastu ir stingri, jo stingri jāielāgo no pirmās dienas, ka
Nedrīkst palaist nekādu pieāķēto failu, kas saņemts no nepazīstama korespondenta |
jo tas ir visprastākais veids kā izplata ļaundabīgas programmas. Ja faila paplašinājums ir .html, tas vēl nenozīmē, ka tas tiešām ir fails ar HTML valodā sarakstītu tekstu.
Šīs mēstules gadījumā fails tika saglabāts uz diska un izpētīts ar mazāk riskantām metodēm. Bet vispār to nav nekādas vajadzības darīt, šādas vēstules ir jādzēš bez žēlastības.
Šis fails patiesībā satur formu, kura piedāvā izdarīt pikšķerētājam vajadzīgās darbības – ievadīt informāciju par bankas karti.
Šis piedāvājums ir noformēts daudz simpātiskāk nekā pati vēstule. Sevišķi „aizkustinošs” ir autortiesību paziņojums pašās beigās. Tiesa, kompānijas nosaukums tekstā atkal ir kļūdains – Mastercard, kaut arī tas ir pareizs bankas kartes logo attēlā, jo šo attēlu pikšķerētāji paņem no reālās MasterCard lapas.
Lietas būtība ir tajā informācijā, ko sagaida no lētticīgā upura. Pikšķerētāji grib iegūt nepieciešamo informāciju, lai paši varētu uztaisīt bankas karti, lai šo karti akceptētu bankomāts un varētu izņemt naudu no bankas.
Ja šī forma tiek aizpildīta un tiek nospiests taustiņš Verify, tad visu informāciju saņem programma, kas atrodas uz netshop.am servera. netshop.am, ja kāds nezin, ir viens no lielākiem Armēnijas interneta veikaliem. Nav teikts, ka pikšķerētāji ir šī veikala darbinieki, bet katrā ziņā viņi nav spējīgi nodrošināt, lai veikala serveri neizmantotu dažādas nepiederīgas personas. Jāpiezīmē, ka saņemtās informācijas nepietiek, lai varētu iepirkties interneta veikalā, jo MasterCard kartes autentifikācijai ir nepieciešams vēl arī norādīt CVC (card verification code) – trīs ciparus, kas uzrakstīti kartei otrā pusē, bet nav ierakstīti magnētiskajā joslā. Tā dara arī veikals netshop.am.