Spam
Spam je neželjena elektronička poruka poslana zbog namjere oglašavanja raznog propagandnog sadržaja ili u svrhu phishing napada ili kao sredstvo distribucije malver poveznica. Najčešće se šalje putem elektroničke pošte (e-maila). Osim u slučaju e-maila, termin se koristi još i kod elektroničkih foruma, blogova, socijalnih mreža, servisa za izravnu komunikaciju i drugih sustava za razmjenu poruka ili drugih podataka. Širitelji spama nazivaju se spameri (eng. spammers). Spam e-mailom se nude razne vrste usluga, poput kupovine proizvoda preko Interneta i sl., bez prethodnog našeg odobrenja za primanje istih. Problem nastaje kada to postane svakodnevno i u takvim količinama da je teško razlikovati "legalnu" poštu od te neželjene, što također dovodi do ubrzanog popunjavanja ograničenog slobodnog prostora za legitimne poruke, tj. nemogućnosti pristizanja novih poruka. Osim za obične korisnike, velike količine spam poruka su i problem za pružatelje internetskih usluga (Internet Service Provider, ISP) koji zbog njih moraju povećati svoje kapacitete. Spam je postao toliko popularan jer oglašivačima slanje spam poruka ne predstavlja nikakav trošak te ih je teško otkriti i optužiti.
Da bi spameri mogli slati neželjene poruke, potrebno im je pribaviti e-mail adrese potencijalnih primatelja. E-mail adrese se sakupljaju preko raznih chatova, Web stranica, newsgrupa ili virusom zaraženih računala. Najčešći način sakupljanja e-mail adresa je pomoću robotskih skupljača (eng. harvester) – bota koji na Webu traži e-mail adrese. Iz toga razloga treba izbjegavati pisanje e-mail adrese u izvornom obliku nego je kodirati (ili je prikazati u slikovnoj formi) s ciljem neprepoznavanja od strane bota. Spameri, također međusobno razmjenjuju baze prikupljenih e-mail adresa. Kako bi spameri saznali je li poruka poslana na ispravnu e-mail adresu, najčešće se u e-mail porukama stave upute i link na URL, kako se odjaviti da se više ne primaju takve poruke, što je u stvari varka, jer upravo odjavom ćete potvditi spameru ispravnost svoje adrese.
U prošlosti se e-mail spam slao koristeći slobodne poslužitelje (open mail relay), no danas sve više za slanje poruka „spammeri“ koriste mrežu sastavljenu od inficiranih (eng. zombie) računala, poznatiju pod nazivom "botnet" tako da ih je teško otkriti. Spameri često svoju infrastrukturu smještaju u zemlje koje nemaju zakonski definirane kazne za širenje spam poruka.
Phishing
Phishing (varijanta engleske riječi za pecanje, fishing) je vrsta socijalnog inženjeringa koja se odnosi na prijevare, kojima se služe zlonamjerni korisnici šaljući lažne poruke koristeći pritom postojeće Internet servise. Riječ je o kriminalnoj aktivnosti. Koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju prikupiti povjerljive podatke (korisnička imena, lozinke, podaci s kreditnih kartica i sl.) kako bi ostvarili financijsku korist. U pravilu, phishing poruke prenose se putem elektroničke pošte koja navodi korisnika da klikne na određeni link koji ga dalje vodi na stranice zloćudnog web poslužitelja. Takve zloćudne Web stranice obično se lažno predstavljaju kao Web stranice banaka, servisa za elektroničko plaćanje (PayPal i dr.) i sl. krivotvoreći, odnosno imitirajući njihov izgled. U svrhu phishing-a, osim elektroničke pošte, mogu poslužiti i drugi servisi poput foruma, servisa za izravnu komunikaciju (Windows Messenger, ICQ, Skype, Google Talk i dr.) te društvene mreže (Facebook, MySpace). Društvene mreže posebno su opasne jer podaci prikupljeni sa njih mogu poslužiti za krađu identiteta, ali i zbog činjenice da poruke dobivene od prijatelja, kojima su kompromitirani (oteti) računi, imaju određeni kredibilitet.
Najkorištenije metode phishinga:
- jednostavni zahtjev od korisnika da (u odgovoru) pošalje svoje osjetljive podatke elektroničkom poštom, pošiljatelj se lažno predstavlja kao npr. administrator nekog Web servisa kojem su ti podaci potrebni radi provjere podataka, nadogradnje sustava i sl.
- lažni linkovi u e-mail porukama (obično lažni, odnosno manipulirani link u poruci vodi korisnika na zloćudnu Web stranicu gdje se traži da upiše svoje korisničko ime i lozinku ili druge osjetljive podatke)
- lažna web sjedišta (korisnik može biti naveden kliknuti na link koji ga vodi na web poslužitelj koji korištenjem skripti, izmijeni/prekrije stvarni URL svog Web sjedišta i postavi legitimni, čime obmanjuju korisnika koji misli da je na legalnoj stranici i na taj način skupljaju podatke dok ih ovaj unosi)
- lažni ("popup") prozor na legitimnim web sjedištima banaka ("iskakanje" lažnog prozora sa poljima za unos povjerljivih informacija. "Popup" prozor se pojavljuje pri posjetu legitimnom web poslužitelju)
- „tabnabbing“ – jedna od novijih metoda koja koristi činjenicu da korisnici Web preglednika obično imaju otvoreno nekoliko tabova istovremeno te se jedan od neaktivnih tabova osvježi, ali sa zloćudnim sadržajem koji imitira neku legitimnu Web stranicu (računa se na nepažnju korisnika, odnosno da ne primijeti novu adresu)