Phishing er en type svindel som utføres på Internett der en angriper prøver å lure offeret til å oppgi personlig informasjon , økonomiske data eller tilgangskoder, og utgir seg for å være en pålitelig enhet i digital kommunikasjon. [1] [2]
Begrepet phishing er en variant av fiske (bokstavelig talt "å fiske" på engelsk ), [3] sannsynligvis påvirket av phreaking [4] [5] og henspiller på bruken av stadig mer sofistikerte teknikker for å "fiske" økonomiske data og passord. bruker. Ordet kan også relateres til leet -språket , der bokstaven f vanligvis erstattes med ph. [6] Den populære teorien om at dette er en portmanteau for innsamling av passord [ 7] er et eksempel på pseudo -etymologi .
Dette er en ulovlig aktivitet som utnytter en sosial ingeniørteknikk : angriperen utfører en massiv sending av meldinger som imiterer, i utseende og innhold, legitime meldinger fra tjenesteleverandører; slike falske meldinger krever at du oppgir konfidensiell informasjon som for eksempel kredittkortnummeret eller passordet ditt for å få tilgang til en bestemt tjeneste. For det meste er det svindel begått ved bruk av e-postmeldinger, men det er lignende tilfeller som utnytter andre midler, for eksempel SMS-meldinger .
Phishing er en aktuell trussel, risikoen er enda større i sosiale medier som Facebook og Twitter . Hackere kan faktisk lage en klone av nettstedet og be brukeren om å skrive inn sin personlige informasjon. Hackere drar ofte nytte av at disse nettstedene brukes hjemme, på jobb og på offentlige steder for å få personlig eller forretningsinformasjon.
I følge en undersøkelse utført i 2019, ville bare 17,93 prosent av respondentene kunne identifisere alle de forskjellige typene phishing (inkludert e-post eller SMS som inneholder ondsinnede lenker eller nettsteder som replikerer legitime sider). [8]
En phishing-teknikk ble beskrevet i detalj i en avhandling presentert i 1987 for International HP Users Group, Interex. [9]
Den første registrerte omtale av begrepet phishing er på Usenet - nyhetsgruppen alt.online -service.america -online 2. januar 1996 [10] , selv om begrepet kan ha dukket opp tidligere i den trykte utgaven av hackermagasinet 2600 . [11]
I følge Ghosh var det 445 004 angrep i 2012, 258 461 i 2011 og 187 203 i 2010, noe som viser at trusselen om phishing øker.
År | januar | februar | mars | april | Kan | juni | juli | august | september | oktober | november | desember | Total |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2005 | 12 845 | 13 468 | 12 883 | 14 411 | 14 987 | 15 050 | 14 135 | 13 776 | 13 562 | 15 820 | 16 882 | 15 244 | 173 063 |
2006 | 17 877 | 17 163 | 18 480 | 17 490 | 20 109 | 28 571 | 23 670 | 26 150 | 22 136 | 26 877 | 25 816 | 23 787 | 268 126 |
2007 | 29 930 | 23 610 | 24 853 | 23 656 | 23 415 | 28 888 | 23 917 | 25 624 | 38 514 | 31 650 | 28 074 | 25 683 | 327 814 |
2008 | 29 284 | 30 716 | 25 630 | 24 924 | 23 762 | 28 151 | 24 007 | 33 928 | 33 261 | 34 758 | 24 357 | 23 187 | 335 965 |
2009 | 34 588 | 31 298 | 30 125 | 35 287 | 37 165 | 35 918 | 34 683 | 40 621 | 40 066 | 33 254 | 30 490 | 28 897 | 412 392 |
2010 | 29 499 | 26 909 | 30 577 | 24 664 | 26 781 | 33 617 | 26 353 | 25 273 | 22 188 | 23 619 | 23 017 | 21 020 | 313 517 |
2011 | 23 535 | 25 018 | 26 402 | 20 908 | 22 195 | 22 273 | 24 129 | 23 327 | 18 388 | 19 606 | 25 685 | 32 979 | 284 445 |
2012 | 25 444 | 30 237 | 29 762 | 25 850 | 33 464 | 24 811 | 30 955 | 21 751 | 21 684 | 23 365 | 24 563 | 28 195 | 320 081 |
2013 | 28 850 | 25 385 | 19 892 | 20 086 | 18 297 | 38 100 | 61 453 | 61 792 | 56 767 | 55 241 | 53 047 | 52 489 | 491 399 |
2014 | 53 984 | 56 883 | 60 925 | 57 733 | 60 809 | 53 259 | 55 282 | 54 390 | 53 661 | 68 270 | 66 217 | 62 765 | 704 178 |
2015 | 49 608 | 55 795 | 115 808 | 142 099 | 149 616 | 125 757 | 142 155 | 146 439 | 106 421 | 194 499 | 105 233 | 80 548 | 1 413 978 |
2016 | 99 384 | 229 315 | 229 265 | 121 028 | 96 490 | 98 006 | 93 160 | 66 166 | 69 925 | 51 153 | 64 324 | 95 555 | 1 313 771 |
2017 | 96 148 | 100 932 | 121 860 | 87 453 | 93 285 | 92 657 | 99 024 | 99 172 | 98 012 | 61 322 | 86 547 | 85 744 | 1 122 156 |
2018 | 89 250 | 89 010 | 84 444 | 91 054 | 82 547 | 90 882 | 93 078 | 89 323 | 88 156 | 87 619 | 64 905 | 87 386 | 1 040 654 |
2019 | 34 630 | 35 364 | 42 399 | 37 054 | 40 177 | 34 932 | 35 530 | 40 457 | 42 273 | 45 057 | 42 424 | 45 072 | 475 369 |
Phishing på AOL var nært forbundet med warez-fellesskapet som handlet ulisensiert programvare. AOHell, utgitt tidlig i 1995, var et program ment å angripe AOL-brukere ved å posere som en representant for AOL-selskapet. På slutten av 1995 tok AOL i bruk tiltak for å forhindre kontoåpning ved bruk av falske, algoritmisk genererte kredittkort. Crackers begynte å angripe ekte brukere for å få profilene deres.
Å skaffe AOL-kontoer kan ha tillatt phishere å misbruke kredittkort, men fremfor alt førte det til erkjennelsen av at angrep på betalingssystemer kunne være levedyktige. Det første kjente direkte angrepet på et betalingssystem var på E-Gold i juni 2001, som ble fulgt av "post-9/11 id check". Begge ble sett på som feil på den tiden, men kan nå sees på som tidlige eksperimenter for mer komplekse angrep på tradisjonelle banker. I september 2003 var det første angrepet på en bank, og det ble rapportert av The Banker i en artikkel skrevet av Kris Sangani med tittelen "Battle Against Identity Theft." [13] .
I 2004 ble phishing anerkjent som en fullt etablert del av kriminalitetsøkonomien : globale spesialiseringer dukket opp for å utføre operasjoner, som ble lagt sammen for de siste angrepene. [14] [15]
I 2011 var en kinesisk phishing-kampanje rettet mot Gmail-kontoene til høytstående myndigheter og militære tjenestemenn fra USA og Sør-Korea, samt kinesiske aktivister. [16] Den kinesiske regjeringen har benektet alle påstander om at de deltok i dette angrepet fra sitt territorium, men det er bevis for at People's Liberation Army hjalp til med utviklingen av programvaren for cyberangrep. [17]
Dato | Offer | Angrepsdetaljer |
---|---|---|
november 2013 | Mål (butikker) | 110 millioner verktøy inkludert kredittkort stjålet ved phishing av en underleverandørkonto. [18] Konsernsjefen og IT-sikkerhetsstaben har fått sparken. [19] |
mars 2011 | RSA Sikkerhet | RSAs interne ansatte led av phishing, [20] som førte til hovednøkkeltilgang og tyveri av alle RSA SecureID-tokens, som senere ble brukt til å bryte amerikanske forsvarsleverandører. [21] |
september 2014 | Home Depot | Person- og kredittkortinformasjonen til over 100 millioner kunder på tvers av alle 2200 Home Depots ble lagt ut for salg på hackingsider. [22] |
november 2014 | JEG KAN | Administrativ tilgang til det sentraliserte sonedatasystemet ble oppnådd , noe som gir angripere tilgang til sonefiler og systembrukerdata. I tillegg til dette ble det også hentet fra ICANNs offentlige Governmental Advisory Committee- wiki, blogg og whois -informasjonsportal . [23] |
RapidShare fildelingstjeneste har vært offer for phishing for å få premium kontolegitimasjon, som ikke har noen begrensninger på hastighet og antall nedlastinger. [24]
Angripere som fikk tilgang til TD Ameritrades database som inneholder 6,3 millioner e-postadresser, startet deretter et phishing-angrep på de nevnte e-postene for å få brukernavn og passord. [25]
Nesten halvparten av legitimasjonstyveriene via phishing i 2006 ble begått av grupper som opererte gjennom det russiske forretningsnettverket med base i St. Petersburg . [26]
I tredje kvartal 2009 rapporterte Anti-Phishing Working Group å ha 115 370 rapporter om phishing-e-poster fra amerikanske forbrukere med Kina som vert for mer enn 25 % av de fornærmende sidene. [27]
Siden desember 2013 har Cryptolocker -ransomware infisert 250 000 PC-er. Opprinnelig var målet forretningsbrukeren, og et zip-arkiv ble brukt vedlagt en e-post som hevdet å være fra en forbrukerklage, og for deretter å gå videre til et bredere publikum ved å bruke en e-post angående et problem med en sjekk. Ransomware krypterte filene og krevde løsepenger for å få dekrypteringsnøkkelen (slik at de kunne få tilbake filene). Ifølge SecureWorks har mer enn 0,4 % av de smittede betalt løsepenger. [28]
Generell angrepsmetode
Standardprosessen med metoder for phishing -angrep kan oppsummeres i følgende stadier:
Noen ganger inneholder e-posten en invitasjon til å gripe en ny "jobbmulighet" (som finansaktør eller økonomiansvarlig ), som består i å oppgi bankopplysningene til din nettkonto for å motta kreditt på beløp som deretter refunderes. - overført. til utlandet gjennom pengeoverføringssystemer (Western Union eller Money Gram), holde tilbake en prosentandel av beløpet, som kan nå svært høye tall. I virkeligheten er det penger stjålet gjennom phishing , som innehaveren av nettkontomottakeren, ofte i god tro, begår forbrytelsen hvitvasking av penger . Denne aktiviteten medfører for phisheren tap av en viss prosentandel av det han klarte å stjele, men det er fortsatt interesse for å spre de stjålne pengene på mange brukskontoer og foreta reoverføringer i forskjellige land, fordi det på denne måten blir vanskeligere å spore identiteten til den nettkriminelle og fullstendig rekonstruere den ulovlige mekanismen. Dessuten, hvis overføringene involverer flere land, forlenges tiden for rekonstruksjon av banktransaksjoner, siden det ofte kreves et brev med brev og at det åpnes en sak med det lokale rettsvesenet i hvert berørt land [29] .
Liste over typer phishing Phishing Phishing er en type svindel som utføres på Internett der en angriper prøver å skaffe personlig informasjon , økonomiske data eller tilgangskoder ved å utgi seg for å være en pålitelig enhet i digital kommunikasjon. Spyd-phishing Et målrettet angrep på en person eller bedrift har blitt kalt spear phishing . [30] Angripere kan søke informasjon om målet for å øke sjansene for suksess. Denne teknikken er i det lange løp den mest utbredte på internett, med en andel på 91 % av angrepene. [31] Klon phishing Det er en type phishing der en legitim e-post endres i vedlegg eller lenker og sendes tilbake til mottakerne, og hevder å være en oppdatert versjon. De endrede delene av e-posten er ment å lure mottakeren. Dette angrepet utnytter tilliten man har til å gjenkjenne en tidligere mottatt e-post. Hvalfangst Den siste tiden har mange phishing-angrep vært rettet mot fremtredende personer i selskaper eller organisasjoner, og begrepet hvalfangst har blitt laget for denne typen angrep. [32] En e-post/nettside er maskert med det formål å innhente en leders legitimasjon. Innholdet er skreddersydd til målet, det er ofte skrevet som en juridisk stevning, en administrativ sak eller en kundeklage. E-poster identiske med FBI ble også brukt for å prøve å tvinge mottakeren til å laste ned og installere programvare. [33]De fleste phishing-metoder bruker tekniske utnyttelser for å få lenker i e-poster til å se ut til å være ekte. [34] Andre populære triks er å bruke dårlig skrevne nettadresser, eller bruk av underdomener http://www.tuabanca.it.esempio.com/,kan for eksempel se ut til å være et legitimt nettsted ved første øyekast, men peker faktisk til et underdomene til et annet nettsted. En annen metodikk er å registrere et domene ved å jobbe med visuelt like bokstaver, for eksempel "a" og "e" eller, ved å bruke samme domene, endre suffikset fra ".it" til ".com".
En annen metode som brukes av svindlere er å sette inn @ etter den virkelige adressen, etterfulgt av den falske adressen, og skjule den andre med et annet format (for eksempel: IP); på denne måten blir den svindlede brukeren dirigert til den falske adressen, siden teksten foran på-tegnet ignoreres av nettleseren. [35]
Over tid har phishere begynt å maskere tekst ved å sette den inn i bilder, noe som gjør det vanskeligere for phishing-filtre å identifisere trusler. [36] Dette har på den annen side ført til en utvikling av filtre, som nå er i stand til å finne tekst i bilder. Disse filtrene bruker OCR-teknologi ( Optical Character Recognition ).
Når et offer besøker et phishing-nettsted, er ikke angrepet over. Faktisk kan siden inneholde JavaScript -kommandoer for å endre adressefeltet. [37] Det kan gjøres enten ved å plassere et bilde i adressefeltet eller ved å lukke vinduet og åpne et nytt med den legitime adressen. [38]
En angriper kan også bruke sårbarheter på et pålitelig nettsted og sette inn skadelige skript. [39] Disse typer angrep, kjent som cross-site scripting , er spesielt problematiske fordi alt virker legitimt, inkludert sikkerhetssertifikater. I virkeligheten gjøres alt ad hoc for å gjennomføre angrepet, noe som gjør det svært vanskelig å identifisere uten spesialistkunnskap. Et slikt angrep ble brukt i 2006 mot PayPal . [40]
Noe programvare, uansett hvor gratis det er, lar deg lage en "klone" nettside. I noen få trinn tar de strukturen og bildene identisk med originalen uten anstrengelse og/eller uten datakunnskap. Først på det tidspunktet vil angriperen sette inn påloggingsinformasjonen i seg selv for å fange tilgangslegitimasjonen, og dirigere legitimasjonen til databasen hans eller mer enkelt til en tekstfil. De vedtar generelt to prinsipper: godta alle passord, uten noen korrekthet av informasjonen som er lagt inn eller avvis alle passord, og foreslår dermed å gjenopprette det glemte passordet.
Phishing involverer ikke alltid bruk av et nettsted eller e-post. [41] Når nummeret som er angitt (håndtert av phisheren, vanligvis er det et Voice over IP -nummer ) i meldingen blir oppringt, blir brukeren bedt om sin PIN-kode. Vishing ( stemmephishing) bruker noen ganger et falskt oppringernummer for å gi et utseende som en pålitelig organisasjon. [42] I noen tilfeller prøver phisheren å skaffe seg via WhatsApp , ikke økonomiske data eller pinkoder, men kopier av identitetsdokumenter som han deretter vil bruke til påfølgende svindel. [43]
SMishing er svindelen som utføres gjennom [SMS].
Det er i hovedsak tre varianter av denne svindelen:
– SMS-meldinger sendes til brukere, utgir seg for å forholde seg til en forsendelse av en pakke. [44]
– Det sendes SMS-meldinger til brukerne som forteller at det har vært problemer med bankkontoene deres. [45]
- SMS-meldinger sendes til brukere som inneholder skadelig programvare . [46]
Med en QR-kode kan nettkriminelle forsøke å kapre den intetanende brukeren på et nettsted spesielt opprettet for å lure ham. [47]
Fram til 2007 var bruken av anti-phishing-strategier for å beskytte personlige og økonomiske data lav. [48] Det er nå mange teknikker for å bekjempe phishing, inkludert lover og teknologier laget spesielt for beskyttelse. Disse teknikkene inkluderer trinn som kan brukes av både enkeltpersoner og organisasjoner.
Phishing-telefoner, nettsteder og e-poster kan rapporteres til myndighetene, som beskrevet i denne delen.
En strategi for å bekjempe phishing er å trene folk til å gjenkjenne angrep og håndtere dem. Utdanning kan være svært effektiv, spesielt hvis visse begreper vektlegges [49] [50] og gis direkte tilbakemelding. [51]
Anti-phishing Working Group , et sikkerhetshåndhevende byrå, har antydet at konvensjonelle phishing-teknikker kan bli foreldet i fremtiden, med folks økende bevissthet om de sosiale ingeniørteknikkene som brukes av phishere . [52] Den spådde også at pharming og ulike bruk av skadevare vil bli mer vanlig for å stjele informasjon.
Alle kan hjelpe publikum ved å oppmuntre til trygg praksis og unngå farlige. Dessverre er til og med kjente spillere kjent for å oppfordre brukere til risikabel praksis, for eksempel ved å kreve at brukerne deres avslører passordene sine til tredjepartstjenester, for eksempel e-post. [53]
Anti-phishing-tiltak er implementert i nettlesere, som utvidelser eller verktøylinjer, og som en del av påloggingsprosedyrer. [54] Anti-phishing-programvare er også tilgjengelig. Det er absolutt nyttig å lese nøye e-posten mottatt av både avsenderen og e-postens brødtekst. Angriperen vil sende en tekst der følelsene blir "truffet" og vil ha en tendens til å være forhastet med å ønske å reparere problemet som er beskrevet. Av denne grunn er det beste mottiltaket ikke å følge opp e-posten, men å åpne en ny side i nettleseren og kontakte nettstedet direkte fra url-en du kjenner til eller søke direkte fra søkemotoren. Hvis vi av en eller annen grunn, feilaktig, følger koblingen i e-posten, er det nyttig å huske, som beskrevet i avsnittet om forfalskning av et nettsted , å frivillig ta feil av påloggingsinformasjonen for å sjekke om nettstedet skal akseptere dem likevel. Omvendt, hvis de riktige passordene ikke godtas, ikke hent dem umiddelbart, men koble til det aktuelle nettstedet direkte eller fra søkemotoren. Hvis du har gitt bort legitimasjonen din, endre dem umiddelbart. Hvis legitimasjonen gjelder økonomiske aspekter (som bank- eller postkonto), må du umiddelbart kontakte postpolitiet og sende inn en formell klage. Her er noen av hovedtilnærmingene til problemet.
Hjelp til å identifisere legitime nettstederDe fleste straffende målnettstedene er SSL -sikret med sterk kryptering, hvor nettadressen brukes som en identifikator. Dette skal i teorien bekrefte ektheten til siden, men i praksis er det lett å komme seg rundt. Den utnyttede sårbarheten ligger i nettleserens brukergrensesnitt (UI). Tilkoblingen som brukes vises da i farger i nettleserens url (grønn blokk for EV-sertifikat, https skrevet i grønt).
Nettlesere som varsler brukeren når de besøker svindelsiderEn annen populær tilnærming til å bekjempe phishing er å føre en liste over kjente phishing-nettsteder og sjekke om brukeren besøker dem. Alle populære nettlesere har denne typen beskyttelse. [54] [55] [56] [57] [58] Noen implementeringer av denne tilnærmingen sender besøkte URL-er til en sentral tjeneste, noe som har reist bekymringer om personvern. [59] Slik beskyttelse kan også brukes på DNS-nivå, filtrere oppstrøms ondsinnede forespørsler, denne tilnærmingen kan brukes på alle nettlesere, [60] og ligner på bruken av en vertsfil (en fil der du definerer egendefinerte destinasjoner ) for domener).
Argumenterer for passordpåloggingerBank of America- siden [61] [62] er en av mange nettsteder som har tatt i bruk dette systemet, det består i å la brukeren velge et bilde ved registrering, og vise dette bildet ved hver påfølgende pålogging. På denne måten, siden bildet kun er kjent for brukeren og det legitime nettstedet i et mulig phishing-angrep, vil dette være fraværende eller feil. Dessverre har imidlertid mange studier antydet at brukeren ignorerer mangelen på sitt personlige bilde og skriver inn passordet sitt likevel. [63] [64]
Sletting av phishing-e-posterVi handler på en av kildene til phishing, spesielt prøver vi å eliminere e-poster gjennom spesialiserte filtre mot spam, redusere truslene reduserer sjansene for å bli lurt. Filtre er avhengige av maskinlæring [65] og naturlig språkbehandling for å klassifisere e-poster i fare. [66] [67] Å bekrefte e-postadressen er en ny tilnærming. [68]
Overvåking og blokkeringMange selskaper tilbyr overvåkings- og analysetjenester for banker og organisasjoner med sikte på å blokkere phishing-sider. [69] Enkeltpersoner kan bidra ved å rapportere phishing-svindel, [70] til tjenester som Google, [71] [72] cyscon eller PhishTank . [73] Oppslagstavlen for Internet Crime Complaint Center samler inn og administrerer løsepenge- og phishing-varsler.
2-trinns bekreftelse av transaksjonerFør autorisasjon av sensitive operasjoner sendes en telefonmelding [74] med en bekreftelseskode som skal legges inn i tillegg til passordet.
Begrensninger for den tekniske responsenEn Forbes -artikkel fra august 2014 argumenterer for at phishing motstår anti-phishing-teknologier fordi en algoritme ikke fullt ut kan kompensere for menneskelig inkompetanse ("et teknologisk system for mediering av menneskelige svakheter"). [75]
I 2007, med en dom fra domstolen i Milano [76] , for første gang i Italia, ble det dømt medlemmer av en transnasjonal forening dedikert til å begå phishing -forbrytelser . [77] Denne dommen ble stadfestet i Høyesterett i 2011.
I 2008 , med en dom fra domstolen i Milano [78] , for første gang i Italia, domfellelsen for hvitvasking av penger [79] av forsøkspersoner som som finansforvaltere hadde lånt seg til innsamling og tilbakeføring av pengesummer fra phishing - forbrytelser til skade for italienske kontoinnehavere. [80]
Disse to dommene indikerte derfor hvilke regler som kan brukes på dette nye kriminelle fenomenet, siden phishing på det tidspunktet i Italia ennå ikke var spesifikt regulert, i motsetning til andre lovverk - først og fremst den amerikanske - som har strafferettslige lover ad hoc . [81]
Bare med endring av art. 640-ter i straffeloven (som grep inn med lov nr. 119 av 15. oktober 2013), var det et første regulatorisk inngrep egnet for å inkludere denne spesielle typen identitetstyveri. [82]
I henhold til italiensk lov er ikke kredittinstitusjoner pålagt å beskytte kunder mot datasvindel. De er derfor ikke pålagt å betale kompensasjon for beløp som er trukket urettmessig på grunn av brudd på kundenes internettkonto , eller kloning av deres minibanker eller kredittkort. En nylig bestemmelse fra GUP i Milano , av 10. oktober 2008 , fastslo at bare eksistensen av en spesifikk kontraktsmessig forpliktelse fra bankens side til å holde kunden uskadelig fra enhver form for aggresjon til de innsatte summene kunne tilskrive enheten kvalifisering av skadet av forbrytelsen.
De individuelle kontraktene om åpning av brukskonto og hjemmebank kan innebære at banken i konkrete tilfeller er pålagt å kompensere kunden for uberettiget trukket beløp. Ofte er kredittinstitusjonen dekket av risikoen for tyveri eller tap av identifikasjonsdata og kort. Kostnaden for denne gjenforsikringen overføres til kundene, som noen ganger drar nytte av kontraktsmessige klausuler i deres favør for denne type dekning.
Instituttet nekter generelt erstatning dersom kunden i tillegg til å miste kortet også har mistet tilgangs- PIN ; På samme måte nekter den for hjemmebank å refundere beløpene hvis kunden har mistet tilgangspassordet sammen med token . Dette konfigurerer uaktsomhet fra kundens side og muligheten for svindel og svindel til kredittinstitusjonen: kunden kan overføre data og kort til tredjeparter, som i avtale med kunden kan foreta uttak, mens eieren erklærer at tap eller tyveri.
Banken (eller annen institusjon eller selskap) har imidlertid byrden med å anvende både minimumssikkerhetstiltakene fastsatt i lovdekret 196/03 for å beskytte kundens personopplysninger, og å iverksette alle passende og forebyggende tiltak som, selv på grunnlag av av til teknisk fremgang, kan de minimere risikoen. Faktisk, i tilfelle av legitimasjonstyveri, selv om banken anklager brukeren for å være ansvarlig for det fordi han kan ha svart på phishing-e-poster, er den pålagt å demonstrere for dommeren at den har implementert alle tiltakene (både minimum etablerte og passende og forebyggende som må vurderes fra sak til sak med en risikovurdering - obligatorisk - og et programmatisk dokument for sikkerhet) for å minimere risikoen.
Dersom banken ikke har iverksatt tiltak som er vanlige i andre banker for for eksempel forebygging av datasvindel, uautorisert tilgang etc., vil det kunne kreves erstatning til brukeren for skaden. Den europeiske anbefalingen n. 489 av 1997 fastslår at fra datoen for kommunikasjonen til banken om å ha blitt utsatt for en svindel (med påstand om politirapporten), kan kontoinnehaveren ikke holdes ansvarlig for bruken av kontoen hans av tredjeparter, derfor de stjålne pengene må returneres til ham.
Nummer én regel, som du må huske på når du surfer på Internett, er å være nøye med lenker, og spesielt måten adressen ( URL ) er skrevet på. [83] Spesielt når lenken presenteres for oss i en melding sendt via e-post, eller fra direktemeldingssystemer, selv fra personer vi kjenner og stoler på. Disse meldingene kan sendes fra kompromitterte kontoer og små "stavefeil" brukes ofte av kriminelle for å villede mottakeren.
Hvis nettstedet er notorisk sikkert og krever inkludering av personopplysninger eller kredittkortnummer, er det alltid nødvendig å sjekke ikke bare at tilkoblingen [84] er sikker ( HTTPS ), men også at nettstedet faktisk er nettstedet som hevder å være, nøye sjekke adressen. I følge noen undersøkelser bruker mer enn 70 % av phishing-nettsteder i dag sikre tilkoblinger [85] .
På nettet er det flere portaler som tar for seg kampen mot desinformasjon og svindel spredt over nettet, som lar deg holde deg orientert om svindelene på plass for å unngå å falle i svindlernes feller.