Ingelesezko fishing (arrantza egin) aditzetik dator, eta horretan datza: errugabeak arrantzatzean. Phishing-modalitaterik ezagunena konfiantzazko pertsona edo erakunde baten identitatea ordezten duen mezu elektronikoarena da, “amu” bat duena biktimak “irents” dezan eta erasotzailearen tranpan eror dadin.
Phishinga gizarte-ingeniaritzan oinarritutako eraso bat da, eta posta elektronikoa erabiltzen du normalean. Phishing-mezuen helburua da pertsona batek normalean egingo ez lukeen ekintzaren bat egitea, besteren baten identitatea ordeztuz eta giza izaera manipulatuz. Phisherrak (phishinga egiten duen zibergaizkileak) biktimak konfiantza duen pertsona, enpresa, zerbitzu, aplikazio edo antzeko baten itxurak egiten ditu.
Bidaltzailea ordeztean lortzen den ezagutze- eta konfiantza-sentsazio horrez gain, phisherrek beste taktika batzuk ere erabiltzen dituzte; esaterako, baliatzen dituzte erabiltzailearen laguntzeko joera, biziki nahi duen zerbaiten erakarpena, agindu bat ez betetzeko beldurra edo eskatzen den ekintzaren urgentzia. Esan bezala, giza izaeraren oinarrizko lau printzipio manipulatzen dituzte:
- Gure lehen joera beti da bestearengan konfiantza izatea
- Ez dugu gustuko (edo kostatzen zaigu) EZETZ esatea
- Denok gustuko ditugu lausenguak
- Denok lagundu nahi dugu
Phishingaren ohiko amu batzuk hauek dira: prezio baxuegia duten produktuen eskaintzak, arazoak banku-kontuarekin, onurak edo laguntzak eskuratzeko informazio pertsonalaren eskaerak, edo oinarrizko hornidurak eteteko abisuak. Horietako edozein aitzakia nahikoa izaten da pertsona asko tranpan erortzeko. Phishinga da zibereraso-motarik ohikoena, pertsona askorengana iristeko gaitasuna baitu, eta eraginkortasun-maila nahiko ona du. Eraso horiek lehenengoz sailkatuz gero, honako hauek bereiz daitezke:
- Phishing generikoa: gutxi zuzendutako erasoak, edozein profiletako pertsona askorengana iristeko asmoa dutenak hartzaileren bat tranpan eror dadin.
- Phishing zuzendua (spear phishing): pertsona, talde edo erakunde jakin baterako pentsatutako eta pertsonalizatutako eraso espezifikoa. Talde edo erakunde zehatz horri eraso nahi dio.
Phishingaren gaiak ia-ia mugagabeak dira, edozein bidaltzaile edozein egoeratan ordezten saia baitaitezke. Normalean, hiru ekintza-mota egiteko eskatzen dute:
- Esteka bat sakatzea: mezuan agertzen den esteka bati jarraitzera gonbidatzen du. Segurua ez den webgune batera eramango gaitu, informazio pertsonala eskatuko du, edo fitxategi edo software gaiztoren bat deskargatzeko eskatuko du.
- Fitxategi erantsi bat irekitzea: mezuak berak eranskin bat darama, zenbait motatakoa izan daitekeena (dokumentu ofimatikoa, exekutagarria, pdf fitxategia, eta abar) eta malware-motaren batekin infektatuta dagoena.
- Kredentzialak sartzea: mezuko estekak benetako bidaltzailearena imitatzen duen web-inprimaki bat dauka, datu pertsonalak eskatzen dituena, hala nola izen-abizenak, kargu profesionala, enpresa, erabiltzaile-izena eta/edo pasahitza.
Phishingaren xede nagusia datuak helburu gaiztoetarako lapurtzea bada ere, zibergaizkileak biktimaren sisteman malwarea instalatzen ere saia daitezke. Eraso horrek eragindako kalteak askotarikoak izan daitezke:
- Biktimak deskargatzea infektatutako fitxategi bat: adibidez, keylogger bat (teklatua irakurtzeko programa), ekiporako urruneko sarbide bat edo, ohikoena azkenaldian, ransomware
- Biktimak datu pertsonalak ematea merkatu beltzean saltzeko eta banku-kontuetara sartzeko, identitateak ordezteko edo zuzendutako beste eraso eraginkorrago batzuk egiteko.
- Batzuetan, biktimari produktu edo zerbitzu batengatik ordain dezala eskatzen zaio, eta horrek, gero, iruzur ekonomikoak dakartza, edo erabiltzailea ordainpeko zerbitzuetara harpidetzea.
Honako egiaztapen hauek asko laguntzen dute mezu elektronikoetan phishing-arrastoak topatzen:
- Ezusteko mezuez edo bidaltzaile ezezagunen mezuez susmatzea.
- Bidaltzailearen helbide osoa begiratzea eta zuzena dela egiaztatzea.
- Gaiari begiratzea; presa transmititzen badu, ez fidatzea.
- Mezuko testua arretaz irakurtzea, ortografia- edo gramatika-akats posibleak detektatzeko (askotan beste hizkuntza batzuetatik automatikoki itzulitako mezuak dira). Hala ere, kontuan hartu behar da phisherrek asko hobetu dutela erredakzioa, eta ez dela ezinbestean lehen bezain arraroa eta akatsez betea.
- Sagua esteken gainetik klik egin gabe pasatzea, bideratzen duten helbide osoa ikusteko, eta ez fidatzea helbide ezezagun edo laburtuez.
- Xehetasunei arreta jartzea; adibidez, mezuaren sinadurari (enpresa batena bada eta sinadura korporatiboa ez bada) edo jatorrizko bidaltzailea simulatzean erabilitako estetikari edo koloreei.
Zalantza txikiena izanik ere, ez zaio erantzun behar mezu susmagarriari, eta zaie kasu egin behar bertako jarraibideei (ez egin klik inon, ez deskargatu ezer, ez ireki eranskinik). Jakinarazi behar da, horretarako kanalik badugu, edo, zuzenean, ezabatu. Klik bakar bat nahikoa da erabiltzaile edo enpresa baten segurtasuna arriskuan jartzeko.
Posta elektronikoa phishingaren kanal gogokoena da, baina ez bakarra; SMS mezuen (smishing) edo telefono-deien (vishing) bidez ere erasotzen du.
Halaber, interesatzen zaizu: gizarte-ingeniaritza, phishing zuzendua, smishing, vishing
