Co to je phishing
Phishing (phishing attack) je forma útoku, ve které se z vás útočník snaží dostat určitými technikami sociálního inženýrství vaše citlivé informace, přihlašovací údaje, údaje ke kreditním kartám nebo rovnou peníze.
Phishing útok z velké části staví na lidské důvěřivosti a lenivosti ověřovat si pravdivost toho, co člověk vidí. V dnešní době se však problematika phishingových útoků dostává čím dál více do povědomí veřejnosti, proto se útočníci uchylují k sofistikovanějším metodám phishingu, konkrétně ke spear phishing.
Co je spear phishing
Spear phishing se od obyčejného phishingového útoku liší v jeho agresivitě a zacílení na vaše soukromí. Útočník si dopředu získá volně dostupné informace o cílené skupině obětí, které následně použije proti nim, a vytvoří phishingový útok na míru.
Příkladem spear phishingu mohou být například nedávné falešné telefonáty od bank. Útočníci se vydávají za pracovníky různých bank a různými metodami se z vás snaží vytáhnout přihlašovací údaje nebo se vás snaží přimět k převodu peněz na jiný účet.
Možná si říkáte, že na takový útok by naletěl jen hlupák. Problém ale nastává v rozpoznatelnosti útočníka od reálného zaměstnance banky. Podvodníci jsou schopni díky moderním technologiím přesměrovávat své hovory tak, aby příchozí telefonní číslo vypadalo stejně jako z banky, u které máte účet. Mluví velmi seriózně, profesionálně, a dokonce znají vaše základní údaje (jméno, příjmení, datum narození apod.).
Jak poznat phishingové útoky
V první řadě se mějte na pozoru při jakémkoliv podezřelém e-mailu, zprávě nebo telefonátu a nikdy nesdělujte své osobní informace nebo neklikejte na podezřelé linky bez pečlivého uvážení.
E-mailový phishing poznáte podle více parametrů. Forma e-mailu, například od banky, nemusí být taková, na jakou jste zvyklí. Text může být psán lámanou češtinou (nebo úplně strojově přeloženou) s gramatickými chybami. Doména neodpovídá oficiální adrese dané společnosti, například místo info@airbank.cz můžete dostat e-mail od infoair@bank.com. E-mail může obsahovat podezřelé odkazy na neznámé a nezabezpečené stránky. A v konečném důsledku pamatujte na to, že po vás žádná normální společnost nebude takovýmto způsobem požadovat vaše přihlašovací údaje!
Příklad phishingového e-mailového útoku (zdroj: support.zcu.cz)Telefonický phishing (neboli vishing) je oproti e-mailovému velmi těžké rozpoznat. Jak už bylo řečeno výše, útočníci mohou přesměrováním simulovat hovor ze stejných čísel patřících bankám a zároveň často vystupují profesionálně a znají některé vaše údaje. Ve většině případů se vám mohou snažit namluvit, že důvodem hovoru je ochrana vašich peněz, které se ocitly v nebezpečí nebo kvůli rozpracované žádosti o půjčku. V dalším kroku po vás může chtít útočník vaše přihlašovací údaje, číslo karty nebo dokonce převod peněz na jiný účet (většinou krypto účet). V žádném případě nikomu nesdělujte své osobní informace a pokud pojmete podezření, raději hovor ukončete a kontaktujte někoho z pracovníků vaší banky.
Toto samozřejmě nejsou jediné typy phishingových útoků, se kterými se můžete v dnešní době setkat. Další útoky mohou přicházet s podvodnými SMS zprávami nebo falešnými oznámeními o výhře a následném zadání údajů kreditní karty pro vyplacení výhry.
Podvodníci se vás mohou snažit dostat i jinými způsoby. Jedním z nich je i parazitování na velkých společnostech, například na Microsoftu nebo DHL. Útočník může reagovat na vaši bazarovou nabídku s tím, že vám pošle peníze v hotovosti kurýrem skrze zmiňovanou DHL službu. Jakmile mu sdělíte váš e-mail pro odeslání potřebné dokumentace, obdržíte zprávu o nutnosti zaplatit administrační poplatek za vyřízení celého procesu. Jedná se samozřejmě o podvod a po zaplacení onoho „administračního poplatku“ se po útočníkovi slehne zem.
Příklad phishingového webu (zdroj: support.zcu.cz)Jak se proti phishingovému útoku bránit
Obrana proti takovému typu útoku je jednodušší než rozpoznat samotný fakt, že se o phishingový útok jedná. Vždy si dávejte dobrý pozor, kam a komu zadáváte své osobní nebo platební údaje. Kontrolujte si důvěryhodnost příchozích zpráv a telefonátů. Žádná společnost po vás nebude chtít přihlašovací či platební údaje nebo potvrzovací kódy z SMS při dvoufázovém ověřování.
Pokud se setkáte s určitým typem phishingového útoku, je dobré kontaktovat skutečnou společnost nebo firmu a informovat ji o možných nebezpečích. Dost možná ani nevědí o tom, že někdo zneužívá jejich jméno k vlastnímu nelegálnímu prospěchu. Pomůžete tak nejen dané společnosti k udržení dobrého jména, ale dost možná i ostatním méně obeznámeným lidem, kteří s phishingovými útoky nemají žádné zkušenosti.
Pokud jste našli phishingový web, můžete jej nahlásit Googlu, který daný web prověří a zasáhne v případě, že se skutečně jedná o podvod.
