Phishing – Co to je?
Phishing- Co to je? Nekalé „lovení“ citlivých dat na internetu, které dokáže oběti pěkně zavařit. Co to ale konkrétně je a jak ho poznat? V oblasti kyberzločinnosti není phishing žádnou žhavou novinkou. V posledních měsících se s ním ale setkáváme častěji, než by bylo zdrávo. Potýkají se s ním vládní instituce, firmy i jednotlivci. Troufáme si tvrdit, že jste se s phishingem ve více či méně propracované podobě již setkali. Vezměme to ale od začátku…
Phishing zpravidla obsahuje tři charakteristické složky:
1) Kyberútočník se vydává za někoho, komu důvěřujete. Bere na sebe identitu důvěryhodné autority – banky, orgánu veřejné správy, telefonního operátora aj.
2) Oslovuje vás s naléhavou prosbou či urgencí, popřípadě ve vás probouzí zvědavost. Například se může jednat o e-mail od kurýrní služby, který vám sděluje, že je nezbytné se ihned přihlásit do systému a doplnit údaje o adrese, jinak vám nebude moct být doručen balíček. Zvědavost podněcují zase různé soutěže, respektive sdělení o úžasné výhře.
3) Útočník se přímo či nepřímo chce dostat k vašim citlivým datům. Nemusí se jednat o přímou žádost o údaje z vaší kreditní karty, stačí odkaz na přihlášení do systému, který je až k nerozeznání od přihlašovacího rozhraní vašeho online bankovnictví.
Jak vypadá klasický phishing?
Pojďme do praxe. Asi nejtypičtější phishingový útok vypadá tak, že vám přijde e-mail, který na první pohled vypadá nevinně. Jedná se například o sdělení z banky (platební aplikace, e-shopu, streamovací služby aj.), že je potřeba si aktualizovat přihlašovací údaje, protože se někdo pokusil dostat na váš účet a vaše data jsou v ohrožení. A e-mail obsahuje samozřejmě i link, přes který si můžete přihlašovací údaje hned změnit. Pozor. V dnešní době se ocitáme v situaci, kdy není bezpečné klikat takřka na žádný podobný odkaz v e-mailu. I v případě, že by byl e-mail pravý, je lepší si web odesílatele načíst ve vedlejším okně a přihlásit se klasickým způsobem.
Pokud byste naletěli, otevřeli odkaz v e-mailu a vyplnili svá citlivá data, hrozilo by reálné riziko, že jste naletěli kyberútočníkovi. Kyberzločinci se takto snaží nejčastěji získat kombinace přihlašovacích hesel a e-mailů, čísla kreditních karet a další zneužitelné údaje. Máte pocit, že poznáte, když jde o phishing? Co to je, už sice víte. Existuje ale více typů phishingových útoků a věřte, že vás některé opravdu zaskočí.
Není phishing jako phishing: Co to je smishing, spear phishing apod.?
- E-mailový phishing: Situaci, kdy útočník rozesílá falešné e-maily, které vypadají jako zprávy od důvěryhodné organizace, jsme si už rozebrali. V emailu se žádá o poskytnutí citlivých informací, kliknutí na odkaz nebo stáhnutí přílohy. Cílem je nalákat oběť k poskytnutí svých osobních údajů.
- Webový phishing: Tento typ phishingu zahrnuje vytvoření falešné webové stránky, která vypadá téměř identicky jako stránka známé organizace. Kyberútočníci přitom používají sofistikované techniky, aby napodobili design a vzhled původní stránky, a přesvědčili uživatele, aby zadali své přihlašovací údaje, platební informace nebo jiné citlivé údaje.
- Smishing: Smishing kombinuje slova “SMS” a “phishing”. Útočníci posílají podvodné textové zprávy a opět se vydávají za banky, mobilní operátory nebo jiné společnosti. V textové zprávě je často odkaz, který vede k falešné webové stránce nebo požadavek na odpověď s citlivými informacemi. Policie ČR na svých webových stránkách varuje, abyste u každé takové zprávy posuzovali především obsah, chybovost textu a všímali si i podoby linku. Pokud z podoby odkazu nepoznáte, kam vás stránky zavedou, na odkaz neklikejte. Více o tom, jak poznat smishing, si ale řekneme v 2. dílu „miniseriálu“ o phishingu.
- IM phishing na sociálních sítích: Tento typ phishingu se zaměřuje na uživatele sociálních sítí a chatovacích aplikací, které umožňují komunikovat s přáteli, posílat si nejrůznější soubory, odkazy apod. Útočníci vytvářejí falešné profily nebo zneužívají stávající profily, aby získali důvěru uživatelů. Poté zasílají zprávy s odkazy na podvodné stránky nebo žádají o citlivé informace. „IM“ je zkratkou „instant messaging“.
- Spear phishing: Tento typ kyberútoku si představte jako hodně sofistikovaný phishing. Zatímco e-maily přeložené překladačem do jazyka jen vzdáleně se podobajícího naší mateřštině, se už na první pohled tváří podezřele, při spear phishingu si útočníci počínají mnohem sofistikovaněji. Nějaký čas vás sledují – kontrolují vaše sociální sítě, váš pohyb na internetu, zjišťují si informace o vašem zaměstnání apod. Díky tomu mohou „nabít a cílit“ o dost přesněji. Vytvoří personalizovaný útok založený například na tom, že zjistí, že je váš šéf na dovolené, a tudíž by vám nemuselo připadat divné, abyste se přes link přihlásili do firemní aplikace a něco za něj vyřídili.
Čeština už útočníkům vrásky nedělá
Pryč jsou doby, kdy jsme se mohli zasmát e-mailům od falešných boháčů, kteří nám slibovali jmění, e-mailům o milionových výhrách a podobných na první pohled velmi nepovedených pokusech z nás vymámit číslo karty. Dnes díky překladačům založeným na umělé inteligenci si i kyberútočníci z druhého konce světa hravě poradí s perličkami českého jazyka a vytvoří obstojný phishingový e-mail.
Ve firmě nepodceňujte školení
O tom, jak poznat phishing a jak si s ním poradit si řekneme v dalším článku o phishingu. Na závěr si ale dovolíme pár rad, jak se před phishingem chránit. Základní kámen vaší kybernetické ochrany je prevence – informovanost, bezpečná hesla (v soukromí i v práci), dvoufaktorová autentizace při přihlašování do aplikací. Pokud jste ve firmě osobou, která o kyberzabezpečení rozhoduje, dbejte i na proškolení celého týmu. Kvalitní kyberzabezpečení není otázka jednotlivce, ale každého ve firmě. I jedno heslo typu 12345 a neopatrné počínání na internetu může znamenat obrovskou mezeru v zabezpečení citlivých firemních dat.
V ZCOMu si zakládáme na dvoufaktorovém ověření. To znamená, že vám k přihlášení nestačí jen oldschool kombinace e-mail + heslo, ale je potřeba přihlášení potvrdit například autentizací ve vašem telefonu, vepsáním kódu, který vám byl zaslán do SMS zprávy, otiskem prstu nebo jinak. Naše bezpečné úložiště dat umožňuje nastavit pro různé uživatele různá přístupová práva, zřídit dočasné přístupy k omezené části dat například pro externisty, dodavatele, nebo zákazníky. Víme, že únik dat umí opravdu bolet – ať už se vám to stane v osobním životě, nebo ve firmě, není to legrace. Děláme proto vše, co je v našich IT silách, abychom vás před kyberútoky chránili.