Co je to phishing?

Phishing se v angličtině vyslovuje stejně jako slovo „fishing“ (rybaření), a má s ním také mnoho společného. Podvodníci jen místo ryb loví informace.

V užším slova smyslu je phishing podvodná technika k získávání citlivých údajů jako jsou přihlašovací údaje, hesla, čísla kreditních karet apod. Nejčastěji spočívá v podvržení falešných webových stránek, které jsou však vizuálně i funkčně totožné s těmi, které chtěla oběť podvodu skutečně užít.

Phishingový útok v užším slova smyslu obvykle začíná falešným e-mailem, který se jeví, jako by jej poslala společnost, kterou znáte a věříte jí, a možná s ní už obchodujete. V e-mailu se dočtete, že došlo k problému s vaším účtem, může se jednat o nezákonné použití nebo poplatky, nebo vás jednoduše žádají o ověření informací kvůli zlepšení vaší ochrany. Toto je typická ukázka sociálního inženýrství – profesionální podvodník vám nabízí ochranu před bezpečnostními riziky. 

Nejdůležitější součástí podvodného emailu je odkaz. Po kliknutí na odkaz se ale uživatel neocitá na webových stránkách instituce, která je v emailu uváděna, ale na podvržených webových stránkách útočníka, které jsou ale takřka k nerozeznání od skutečných webových stránek, za něž se vydávají. V momentě, kdy uživatel zadá přihlašovací údaje do přihlašovacího formuláře na těchto podvržených stránkách, předá svůj login a heslo útočníkovi. Ten pak údajů využije pro přihlášení na skutečné stránky instituce a ze všeho nejdříve změní heslo a další údaje tak, aby zablokoval přístup vlastníkovi účtu. Nejčastěji jsou pomocí phishingových útoků získávány přihlašovací údaje k internetovému bankovnictví.

Obrázek 1: Ukázka phishingového útoku.
Jedním ze způsobů, jak poznat, že se jedná o podvod, je prozkoumání emailové adresy odesílatele.
Zde vidíme, že doména neodpovídá předstírané společnosti a že ani základní část adresy nebudí důvěru.

V širším slova smyslu se dá za phishing označit jakékoli podvodné jednání, které má v uživateli vzbudit důvěru, snížit jeho ostražitost či jej jinak donutit akceptovat scénář předem připravený útočníkem. V tomto širším slova smyslu již není po uživateli požadováno vyplňování údajů (jako jsou přihlašovací údaje, číslo kreditní karty apod.), avšak je mu doručen email (či je uživatel přesměrován na stránku) typicky obsahující malware, který si uvedené údaje  posbírá sám.

V listopadu a prosinci roku 2014 proběhl například velký phishingový útok rozesílající oznámení (viz Obrázek 2) napodobující "Českou poštu" o tom, že příjemce emailu nebyl jakožto adresát zásilky zastižen a že si má stáhnout informace o zásilce. O nepravdivosti této zprávy napovídala už velmi špatná čeština, kterou bylo oznámení napsáno. Podvodné emaily byly rozesílány z adres, které nepatří České poště. Pokud uživatel klikl na políčko: Stáhněte si informace o zásilka, byl přesměrován na stránky (viz Obrázek 3), které svojí vizáží připomínaly skutečné stránky České pošty, ale adresa stránky neodpovídala skutečné doméně České pošty. Zde byla oběť vyzvána k opsání bezpečnostního kódu a následně mu bylo umožněno stáhnout soubor .zip, který měl obsahovat informace o zásilce. V příloze byl ale uložen spustitelný soubor (ransomware), jehož cílem bylo zašifrovat data oběti. Po zašifrování dat byla zobrazena výzva žádající finanční částku za doručení klíče, který je schopen zašifrované soubory odšifrovat.

Obrázek 2: Podvodný email od "České pošty".


Obrázek 3: Podvodná stránka "České pošty".


V současné době se phishingové útoky šíří i po sociálních sítích. Scénář útoku na uživatele je pokaždé stejný. Ozve se mu údajný kamarád s tím, že má nový profil a že buď ztratil telefon a potřebuje pomoci, nebo se účastní nějaké soutěže. Požádá vás o telefonní číslo, na které vám po jeho odeslání přijde kód aktivující platební bránu. Falešný kamarád požádá o jeho zaslání po Facebooku. Důvěřiví uživatelé kód zašlou a o peníze přijdou. Roboti jsou mazaní. Jsou schopni zkopírovat informace z účtu někoho, kdo se nachází v seznamu vašich přátel a použít i jeho fotografii.


Jak poznat phishingový útok a jak se mu bránit?

Banka, ani žádná podobná instituce vás nebude žádat o přihlášení, o obnovu certifikátu, ověření nebo změnu přihlašovacích údajů prostřednictvím emailu.

Ověřujte si vždy adresu odesílatele. Pokud se adresa jeví podezřele a její doména neodpovídá reálné doméně zmíněné společnosti, na nic neklikejte a email rovnou smažte.

Při komunikaci prostřednictvím webového rozhraní s institucemi jako je například banka buďte obezřetní. V adresním řádku prohlížeče se zobrazuje adresa, která nepatří organizaci, jejichž stránky se snaží napodobit. Uvedená adresa se může snažit originální napodobit, ale vždy bude jiná, případně může začínat číselným kódem IP adresy. 

Dejte pozor na překlepy! Podvodníci si mohou dočasně zaregistrovat adresu, která se bude pouze nepatrnou změnou písmen lišit od pravé. Při překlepu se nepozorný uživatel může dostat na falešné stránky.

Phishingové útoky vedené ze zahraničí lze rozeznat například špatnou češtinou v textu emailu.

U phishingových podvodů začíná SPAMový e-mail téměř vždy eufemismem v místě, kde by mělo být vaše jméno. Jako oslovení používá například:

  • Vážený uživateli online služeb,
  • Vážený zákazníku naší banky,
  • Vážený držiteli bankovního účtu,
  • Vážený člene osobního klubu:

Někdy se podvodníci snaží oslovení zamaskovat tak, že slovo „Vážený“ vypustí a začnou pozdravem, který obvykle nebývá spojen se jménem:

  • Zdravíme Vás!
  • Vítejte!
  • Varování!
  • Bezpečnostní upozornění

Nespouštějte neznámé programy, které vám přijdou emailem, ani na které email odkazuje! Dodržujte nejvyšší opatrnost, přestože zpráva může vypadat, že je od vašich nejbližších přátel. 

K elektronickému bankovnictví nebo ke svým účtům (nejen bankovním) se nepřihlašujte z veřejně přístupných nebo nedůvěryhodných počítačů, které nemáte pod kontrolou. Mohou být na nich nainstalovány různé programy pro monitorování činnosti a vaše důvěrné informace nebo přístupové kódy se mohou dostat k neoprávněným osobám. Toto se týká nejen počítačů v internetových kavárnách, ale také třeba i u známých, kde jsou instalovány programy z různých zdrojů a nemáte jistotu jejich zabezpečení.

Pokud se vaše elektronické bankovnictví chová nestandardně nebo jsou po vás požadovány jiné údaje než obvykle, nezadávejte je! Ukončete svoji činnost a kontaktujte zákaznické centrum banky! Existuje totiž i další trik podvodníků, tzv. pharming. Ten umožňuje přesměrovat uživatele na podvodné stránky, aniž by si toho všimnul a to i za předpokladu, že dodrží oba předchozí body.




Last modified: Saturday, 25 May 2019, 2:51 PM