Tereza Horáková

Jak poznat Phishing

INNOIT

S rozvojem moderních technologií začínáme poznávat také jejich odvrácenou stranu. Online svět se hemží podvodníky, kteří jsou stále vynalézavější, a je čím dál tím obtížnější odhalit jejich pokusy vylákat z vás citlivé údaje či rovnou peníze.

Podvodné pokusy jsou tu s námi samozřejmě stále, ale nyní v předvánoční hektické době se podvodníci spoléhají na naši nepozornost a své útoky stupňují.

Takové útoky souhrnně nazýváme phishing.

Slovo phishing je lehká zkomolenina anglického slova pro lov ryb neboli fishing. Analogie je zřejmá – útočník (lovec) nahodí háček s návnadou například v podobě neodolatelné nabídky a čeká na oběť.

phishing

Jak phishing funguje

Principem phishingu je oklamaní uživatelů za účelem vylákání citlivých údajů, získání vaší identity, krádež peněz. Často jde o e-mail či zprávu, která na první pohled vypadá, jako zpráva od vaší banky, doručovatele či sociálních sítí. Taková zpráva je velmi naléhavá, snaží se působit neodkladně a zpravidla obsahuje odkaz, na který je “nutné kliknout”.

Na tento odkaz rozhodně nikdy neklikejte.

Již samotným kliknutím na něj můžete přijít o svá data. Jindy vede na stránku, která se tváří jako přihlášení do aplikace a bude po vás chtít vyplnění osobních údajů. Potvrzením odešlete své osobní údaje neznámo kam a máte na problém zaděláno.

 

 

 

Druhy phishingu

V průběhu let se phishing vyvinul z očividně falešných zpráv do mnohem sofistikovanější podoby,
kdy už zdaleka není tak jednoduché ho na první pohled poznat.

 

E-mailový phishing

je nejběžnějším typem phishingu. Útočníci se vydávají za důvěryhodnou organizaci, jako je banka, platební společnost nebo e-shop, a posílají e-maily, které vypadají, jako by byly od této organizace.

E-maily mohou obsahovat odkazy na falešné webové stránky, které vypadají jako skutečné webové stránky organizace, nebo mohou požádat o poskytnutí osobních údajů, jako jsou přihlašovací údaje, čísla kreditních karet nebo rodné číslo.

 

Spear phishing

je podobný e-mailovému phishingu, ale je cílenější. Útočníci se zaměřují na konkrétní osoby nebo organizace a shromažďují o nich informace, aby jejich e-maily působily důvěryhodně. Spearphishingové e-maily mohou být obzvláště přesvědčivé a mohou být obtížnější rozpoznat. E-maily mohou žádat příjemce o provedení nějaké akce, jako je zaslání finančních prostředků nebo poskytnutí důvěrných informací.

 

Whaling

je typ phishingu, který se zaměřuje na vysoké představitele společností nebo vládních organizací. Útočníci se vydávají za vysoké představitele obchodní společnosti nebo člena vlády a posílají e-maily, které vyzývají příjemce k provedení nějaké akce. Tou může být zaslání finančních prostředků nebo poskytnutí důvěrných informací.

Vishing

neboli podvodné volání - Útočníci se vydávají za důvěryhodnou organizaci, jako je banka, platební společnost nebo e-shop, volá příjemcům a snaží se je přesvědčit, aby poskytli osobní údaje nebo provedli nějakou akci.

 

Smishing

je typ phishingu, který využívá SMS zprávy. Zpráva většinou vyzývá ke kliknutí na podvodný odkaz nebo obsahuje telefonní číslo či e-mail, přes které má oběť kontaktovat instituci, za kterou se útočníci vydávají.

 

Catfishing

Podvodná činnost, při které si útočník vytvoří na internetu (zpravidla na sociálních sítích) falešnou identitu za účelem kompromitování oběti, navázání vztahů, kyberšikany nebo kvůli vidině finančního zisku.

 

Page hijacking

Jedná se o typ phishingu, kdy jsou uživatelé nevědomě směřováni na podvodný web. Útočníci vytvoří duplikát již existující webové stránky a internetové vyhledávače začnou tento web upřednostňovat před původním legitimním webem. Útočníci mohou i napadnout webové stránky, prolomit se do jejich kódu a nelegitimně přesměrovat uživatele na ty škodlivé.

 

 

 

Jak poznat, že jedná o phishing?

Jednu malou výhodu už máte. Víte, že phishing existuje a snažíte se ho odhalit.
To je prvním krokem k úspěchu. Uživatelé, kteří touto informací nedisponují,  jsou z větší části ti, kteří podvodníkům naletí.

Buďte tedy ostražití a dříve, než kdekoliv vyplníte své osobní údaje nebo kliknete na podezřelý odkaz,
zkontrolujte si odkud zpráva přichází a co přesně obsahuje.

 

 

Naše rady k rozpoznání phishingu

Jaké jsou varovné ukazatele, při kterých je třeba zpozornět?

 

1. Pochybná URL adresa
2. Špatná čeština
3. Přílišná naléhavost
4. Zpráva na špatném místě
5. Zvláštní exotické jméno
6. Velmi výhodná nabídka
7. Pochybná nebo obecná doména

Pochybná URL adresa
Pečlivě si prohlédněte odkaz na který máte kliknout

Nezřídka je to dlouhá a naprosto nesmyslná URL adresa, která již na první pohled vypadá podezřele.

phishing

Špatná čeština
Zaměřte se na gramatiku

Často je celý text psaný velmi špatnou češtinou, věty nedávají smysl, obsahují zkomoleniny, zejména jména společností jsou často přesmyčky.

phishing

Přílišná naléhavost
Teď hned to udělejte nebo…

Skutečná instituce vám nikdy nepošle zprávu typu “když teď nekliknete, tak bude konec”. Podvodníci se snaží hrát na vaše city, proto často celou zprávu opatří patřičným příběhem, proč je kliknout naprosto nezbytné.

phishing

Zpráva na špatném místě
Společný ukazatel sociálních sítí i bank

Např. společnost Meta vám problém nikdy nenahlásí přes zprávu v messengeru. Vždy vás kontaktuje přes e-mail či v meta bussines suite.

phishing

 

To samé platí i pro banky. Nikdy po vás nebudou chtít vyplnit bankovní údaje mimo svůj oficiální web či oficiální aplikaci.

Pochybné exotické jméno
Specialita sociálních sítí

Zprávu vám píše např. Ahmed Balí či Shanu Albi. S největší pravděpodobností se opravdu nebude jednat o vašeho spolužáka ze školy.

phishing

Velmi výhodná nabídka
Jste vítězem...
Získáváte slevu 99 % či zboží zdarma

Na první pohled lákavá nabídka, kterou přece nesmíte prošvihnout. Často ještě časově omezená, což má ve vás opět vyvolat pocit naléhavosti a snížit tak vaši obezřetnost.

phishing

Pochybná nebo obecná doména
Přišel vám e-mail, který jste nečekali?

Podívejte se nejprve odkud přichází. Pokud tvrdí, že pochází z renomované společnosti, měl by také od ní skutečně být. Pokud přichází z obecné domény např. google.com nebo z naprosto nesmyslné domény, je téměř jisté, že se jedná o phishing.

phishing

 

 

 

 

Jak se bránit phishingu

  1. Aktualizujte pravidelně svá hesla
  2. Mějte aktualizovaný firewall
  3. Chraňte všechna svá zařízení instalací a aktualizací antivirových programů
  4. Buďte vždy obezřetní, kde své údaje vyplňujete
  5. Neklikejte bezhlavě na odkazy z neznámých zdrojů
  6. Zajímejte se o vývoj podvodných technik a snažte se být o krok napřed

 

 

Používejte správce hesel.

Bezpečné a silné heslo ke každé službě není v možné udržet v běžné lidské paměti. Proto se velmi často stává, že mají uživatelé jedno jediné heslo, které pak používají úplně všude. Je však nadmíru jasné, že je to bezpečnostně velmi nevýhodné. Podaří-li se někomu vaše heslo zjistit, má pak automaticky otevřené dveře ke všem vašim službám.

Řešením jsou aplikace správce hesel.

POZOR! Nemyslíme automatické uložení hesla, které nabízí například prohlížeče. Tento krok naopak velmi nedoporučujeme.
Na trhu je samozřejmě velké množství takových správců. Naším favoritem je 1Pasword, který umožňuje i běžnému uživateli bezpečnou správu hesel a zároveň je i finančně dostupný.

 

 

 

Co dělat, když naletím phishingu

  1. Na nic nečekejte a okamžitě kontaktujte instituci, u které si myslíte, že jste terčem útoku. Ideálně telefonicky, aby se věci daly rychle do pohybu. Např. banka může zablokovat celý váš účet a zamezit tak ztrátě vašich peněz.
  2. Pokud došlo ke krádeži peněz, kontaktujte také policii ČR.
  3. Zkontrolujte si své výpisy z účtů, abyste zjistili, zda vám někde neunikají peníze. Může se stát, že si malého pravidelného odlivu peněz ani nevšimnete.
  4. Změňte si své přihlašovací údaje všude, kde máte založené účty - mohou být také napadeny.

 

 

 

Shrnutí

Kyberútočníci denně rozesílají statisíce podvodných zpráv a své techniky neustále zdokonalují. I přes veškerou softwarovou ochranu je hlavní obranou proti phishingu starý dobrý selský rozum.

Dodržujte pravidla bezpečného chování na internetu.

  • Zachovejte chladnou hlavu a dříve, než na cokoliv kliknete, ujistěte se, že se jedná o oficiální web instituce.
  • Držte krok s dobou a zajímejte se o způsoby, jakými můžete být podvedeni.
  • Měňte pravidelně svá hesla a dávejte si pozor na zprávy, kde po vás bude chtít třetí strana jakékkoliv heslo nebo PIN.
  • Používejte dvoufázové ověřování všude, kde je to možné.
  • City stranou, nenechte se nachytat naléhavou zprávou.
  • Pamatujte, že nikdy není nic zadarmo. A pokud jste o nic nesoutěžili, nemůžete také nic vyhrát.
  • Buďte opatrní na to, jaké údaje sdílíte na sociálních sítích.

 

 

Nebojte se, nejste na to sami.

Kyberútoky se týkají nás všech.

Celý vývoj budeme podrobně sledovat a článek pravidelně doplňovat.

Pokud vám mezitím můžeme s čímkoliv pomoci, neváhejte se nám ozvat.

Kontaktujte nás >

 

 

Zdroje:

www.eset.com
support.microsoft.com
internetembezpecne.cz
www.moneta.cz
www.policie.cz
www.facebook.com

kategorie

štítky