'Phishing' je oblik
sajber-kriminala zasnovan na metodama društvenog inžinjeringa. Naziv 'phishing' je namerna greška u pisanju reči 'fishing'
(pecanje), a podrazumeva krađu podataka sa kompjutera korisnika i kasnije
korišćenje tih podataka za krađu korisnikovog novca.
Sajber-kriminalci stvaraju savršene
kopije komercijalnih web sajtova finansijskih insitucija. Onipotom nastoje da
namame korisnike, koji naravno ništa ne sumnjaju, na sajt kako bi u lažnim
formularima na sajtu ostavili svoje 'login' podatke, šifru, broj kreditne
kartice, PIN itd. Ove podatke sakupljaju 'phisher'-i koji ih kasnije koriste za neovlašćeni pristup
korisničkim nalozima.
Neke finansijske institucije
sada koriste grafičke tastature, gde korisnik bira tastere pomoću miša umesto
da koristi tastere na pravoj tastaturi. Ovo onemogućava 'phisher'-e da
sakupljaju poverljive podatke „hvatanjem“ unosa preko tastature, ali nema
pomoći protiv takozvanih 'screenscaper' metoda gde Trojanac pravi trenutni
snimak korisnikovog ekrana i prosleđuje ga serveru kontrolisanom od strane
autora Trojanca.
Postoji nekoliko različitih
načina na koji se korisnici mogu odvesti na lažni web sajt.
- Spam e-mailovi, koji nalikuju prepisci sa
legitimnom finansijskom institucijom.
- Agresivnije profilisanje, preciznije ciljana
varijanta prethodno navedene metode: sajber-kriminalci usmeravaju
'phishing scam' (prevaru) na korisnike nekog sajta (recimo Facebook) tražeći
od njih da potvrde šifre, na primer.
- Instaliranje Trojanca koji menja 'hosts'
fajlove, tako da kada žrtva pokušava da pregleda sajt banke, ona biva
preusmerena na lažni sajt.
- 'Pharming' (preusmeravanje
na lažni sajt), takođe poznat kao 'DNS poisoning'.
- ‘Spear phishing’, napad na određenu
organizaciju pri kome 'phisher' traga za podacima jednog od zaposlenih a
potom ih koristi kako bi ostvario širi pristup ostatku mreže.