Co je to phishing a jak jej poznat

Rostoucí hrozbě phishingu je sice v posledních letech věnována zvýšená pozornost, ale mnoho lidí stále neví, jak podvodné taktiky rozpoznat a jak se proti nim bránit. Klíčovou ochranou je přitom prevence a informovanost. 

Foto: weerapat | Zdroj: Depositphotos.com

Co to je phishing a jak se projevuje?

Termín "phishing" je zkomoleninou anglického výrazu pro rybaření. V podstatě je to forma kybernetického útoku, která se pomocí stále sofistikovanějších technik snaží přelstít koncového uživatele. Často mívá podobu podvodné e-mailové zprávy, útočníci ale mohou využívat i jiné kanály.

Cílem phishingu je snaha přinutit uživatele k akci (nejčastěji ke kliknutí na falešný odkaz) tím, že se útočník vydává za někoho jiného a důvěryhodného – například banku, telefonního operátora nebo třeba kurýrní službu.

Podvodná zpráva často obsahuje nějakou výzvu – například k aktualizaci účtu, změně hesla nebo ověření totožnosti či bankovních údajů přes podvržený odkaz. Poté může dojít k různým situacím v závislosti na tom, jaké má útočník cíle.

Typicky však po kliknutí na takový odkaz dojde o přesměrování na webové stránky, na kterých je po vás požadováno vložení bankovních údajů nebo přímé zaplacení za podvodné služby. Stejně tak ale můžete být přesměrováni na stránky, které budou graficky velmi podobné těm známým a legitimním. Stále se však jedná o podvrh a dostali jste se pouze na kopii originálního webu, jejíž cílem je vymámit z vás citlivá data nebo do vašeho zařízení dostat škodlivý malware.

Tip

Pokud máte pocit, že se váš počítač chová nestandardně, či je neobvykle pomalý, seznamte se s tím, jak poznat a opravit zavirovaný počítač.

V praxi může mít phishing ale mnoho různých podob. A právě proto je tak nebezpečný. Útočníci se mohou maskovat za kohokoli, jsou stále chytřejší a jejich podvody hůře odhalitelné. Phishingovou metodu proto využívají stále častěji – podle výzkumu společnosti Acronis vzrostl počet e-mailových útoků v první polovině roku 2023 ve srovnání s první polovinou roku 2022 o neskutečných 464 %

časté důsledky phishingových útoků

Nejnepříjemnějšími a nejčastějšími důsledky phishingových útoků může být:

  • Ztráta financí
    Jakmile útočník získá přístup k vašemu bankovnímu účtu či kompletním údajům z platební karty, může zadat neoprávněné transakce a způsobit vám finanční ztráty.
  • Krádež identity
    Pokud se útočníci dostanou k vašim osobním identifikačním údajům, mohou s jejich pomocí otevírat falešné účty, provádět různé finanční podvody na vaše jméno nebo dokonce ukrást vaši totožnost.
  • Malware a ransomware
    Škodlivý software může infikovat váš počítač a způsobit tak ztrátu dat. Ojedinělé nejsou ani případy blokování dat z infikovaných zařízení útočníky a následné vydírání. V tomto případě je nejlepší prevencí pravidelné zálohování dat na odděleném uložišti.
  • Poškozená reputace
    Pokud útočníci zneužijí vaše citlivé osobní informace tak, že je zveřejní, nebo budou vašim jménem veřejně jednat s cílem poškodit jej, může to poškodit vaší reputaci v osobním či pracovním životě. Útočníci mohou samozřejmě stejným způsobem poškodit také dobré jméno celých organizací.

Jak vidíte, phishing se může stát velmi nebezpečným podvodem, ale klidně i hackerským útokem. Proto je tak potřebné se proti němu bránit už před tím, než nastane. Nejlepší formou obrany je proto vždy prevence.

Typy phishingových útoků

Phishingové útoky probíhají nejčastěji pomocí podvodných e-mailů, útočníci ale mohou využít jakoukoliv formu elektronické komunikace. 

E-mail phishing

Nejběžnější forma phishingu, kdy útočníci rozesílají hromadné a univerzální podvodné zprávy více uživatelům současně. Tyto zprávy nejsou cíleny na specifické organizace či osoby, a proto je nejsnazší odhalit, že jde o podvod. Příkladem útoku může být případ z roku 2022, kdy jednatelka firmy kliknula na odkaz ve falešném e-mailu a firma následně přišla o 1,5 milionu Kč

Spear phishing

Je mnohem nebezpečnějším typem phishingu. V tomto případě útočník svou oběť déle sleduje a získává si o ní potřebné informace. Monitoruje její sociální sítě, aktivitu v různých diskusích a podobně. Jakmile se dostane k něčemu, co může zneužít, postaví specificky zacílenou podvodnou zprávu přesně na míru. Oběť pak snadněji naletí a klikne na podvržený odkaz, protože e-mail na první pohled vypadá velmi důvěryhodně.

Vishing

Voice phishing neboli vishing je forma phishingového útoku přes telefonní hovor. Čísla, ze kterých útočníci volají, často vypadají jako reálná telefonní čísla institucí, za kterou se vydávají. Hovor začíná být podezřelý v té chvíli, kdy útočník začne požadovat informace, které daná instituce normálně nikdy nežádá (například kompletní platební údaje o vaší kartě).

Zajímavé video na toto téma vytvořil YouTube kanál Jirka vysvětluje věci. Minimálně začátek popisovaného podvodu je velmi uvěřitelný. Podvodníci se představují jménem skutečných zaměstnanců banky a policie, a tak si jejich totožnost můžete ověřit i na oficiálních webech. Současně zdánlivě používají telefonní čísla, která používají dané instituce. I na průměrně znalého uživatele Internetu tak takový pokus musí působit věrohodně (doporučujeme zhlédnout video).

Smishing

Phishing zaslaný formou SMS zprávy označujeme jako smishing. SMS vzbuzuje v lidech přirozeně vyšší důvěru než e-mailová zpráva a na to útočníci cílí. Zpráva nejčastěji obsahuje falešný odkaz nebo telefonní čísla či e-maily, přes které má oběť kontaktovat instituci, v jejímž jméně útočník jedná. V poslední době se šíří třeba falešné zprávy o problému s doručením zásilky.

Page hijacking

Forma phishingu, při které vás kliknutí na odkaz od útočníka přesměruje na podvodné webové stránky, které jsou graficky velmi podobnou kopií originálního webu dané instituce. Setkat se můžete s podvodnými stránkami i přímo ve výsledcích vyhledávání na Google.

Whaling

Podobá se spear phishingu, útočník ale cílí na tzv. „velké ryby“ – majitele firem či vrcholové manažery. Sleduje a monitoruje jejich aktivity, načež jim vytvoří phishingovou zprávu na míru.

CEO fraud

Phishingový útok, kdy se podvodná zpráva tváří jako e-mail od majitele firmy či ředitele organizace a cílí na jeho zaměstnance.

Catphishing

V tomto případě si útočník vytvoří na internetu falešnou identitu za účelem kompromitování či jiného poškození své oběti.

Phishing a sociální inženýrství

Pojmy phishing a sociální inženýrství spolu velmi úzce souvisí. Sociální inženýrství lze definovat jako snahu podvodem vylákat z uživatelů jejich citlivé osobní, platební či jiné údaje.

Phishingový útočník tedy vlastně využívá techniky sociálního inženýrství k tomu, aby dosáhl toho, co chce – dostal se k údajům oběti. Toho lze dosáhnout pouze tak, že jí zmanipuluje k tomu, aby provedla nějakou akci a klikla na podvržený odkaz. Tato manipulace vždy zahrnuje pokus o vzbuzení nějaké emoce v oběti, aby pak rychle a bez rozmyslu jednala.

Útočníci takto využívají sociální inženýrství k tomu, aby v oběti vzbudily:

  • Strach 
    „Vaše přihlašovací údaje byly zneužity a váš účet může být kompromitován. Rychle klikněte pro změnu hesla.“
  • Naléhavost
    „Balíček dorazil na prodejnu, ale nemohl být doručen z důvodu neúplných údajů o adrese. Potvrďte adresu v odkaze nebo bude do 3 dnů zásilka vrácena odesílateli.“
  • Štěstí
    „Vyhráli jste 100 000 Kč, klikněte a vyzvedněte si odměnu.“
  • Soucit
    „Klikněte a přispějte na dobročinné účely. Lena, 5 let, trpí vážnou nemocí a potřebuje 500 000 Kč na léčbu.“
  • Zvědavost
    Například populární zpráva od „kamaráda“ na sociální síti „Ahoj, na tom videu jsi ty?“

Lidé jsou důvěřiví a útočníci to vědí. Mezi nejnovější trendy v oblasti phishingových útoků proto patří právě častější využívání psychologické manipulace než klasických malwarových útoků. Podvodné stránky a e-maily jsou proto dnes na síti již větším nebezpečím než škodlivé kódy.

Další novinkou je pak zvýšené využívání vishingu a smishingu. Je lehčí odhalit podvodný e-mail než podvodný telefonní hovor či SMS zprávu a útočníci to dobře vědí. Během telefonního hovoru oběť nemá čas na přemýšlení či ověřování informací a musí rychle reagovat, což často vede k tomu, že naletí podvodníkovi.

Jak poznat phishingový e-mail?

Phishingový e-mail můžete rozpoznat podle jeho typických varovných znaků, kterými jsou:

  1. Neočekávanost
    Předem neočekávané e-maily otevírejte se zvýšenou opatrností a neklikejte bez rozmyslu na první odkaz.
  2. Požadavek na citlivé platební údaje
    Finanční instituce nikdy nepožadují vyplňovat přihlašovací údaje do bankovnictví v e-mailu.
  3. Naléhavost
    Pokud je potřebné udělat cokoliv (změnu hesla, ověření totožnosti, zadání přihlašovacích údajů a podobně) okamžitě, protože jinak dojde k nějaké protiakci (zablokování účtu, ztrátě účtu, …), vždy zbystřete. Útočníci chtějí, abyste nepřemýšleli a jednali ihned bez rozmyslu. Normální instituce takto naléhavě nekomunikují.
  4. Podezřelá doména
    Útočník často používá velmi podobnou doménu, než je skutečná doména instituce. Vsází na to, že si oběť přečte zprávu rychle a překlepu si nevšimne – například namísto ceskaposta.cz uvidíte ceskapotsa.cz. Okamžitě pak víte, že se jedná o podvod.
  5. Podezřelá URL adresa
    URL odkaz v e-mailu je potřebné studovat důkladněji. Často na první pohled vypadá jako pravý. Pokud zjistíte, že adresa odkazu kdekoli neodpovídá odesílateli, jde o podvod. Lišit se může například doména nebo mohou být některá písmena nahrazena číslicemi či jinými podobnými znaky. Na odkaz můžete také najet myší a v levém dolním rohu obrazovky se vám ukáže skutečná URL, kam vás odkaz povede. Pokud neodpovídá názvu odkazu v e-mailu, pak hned víte, že jde o podvod. Falešné webové stránky můžete rozpoznat i tak, že budete v adrese hledat „https“. Webové stránky bez této zkratky nejsou bezpečné a žádné osobní údaje na nich nezadávejte. Plně se ale nespoléhejte ani na https. Podvodníci se snaží napodobit originální stránky co nejdůvěryhodněji. Kromě toho proto sledujte i další varovné signály.
  6. Špatná čeština
    Lámaný jazyk, překlepy, věty nedávající vůbec smysl? Tak vypadají často méně propracované pokusy o phishingové podvody, které pochází z jiné země. Nicméně s tím, jak se zdokonalují překladače, nespoléhejte na to, že podvod odhalíte jen díky gramatickým chybám. Čím dál častěji se budete moci setkat i s texty psané perfektní češtinou.
  7. Neodolatelná nabídka
    Různé výhry v soutěžích, ve kterých jste ani nehráli, zprávy o milionovém dědictví po prastrýci od neznámých lidí, zboží zadarmo, služby za absurdně nízké ceny jsou jen dalším modelem phishingových útoků.
Tip

Umět správně rozeznat phishing je pouze jedním ze základních stavebních kamenů bezpečného používání internetu. Stejně tak je ale důležité nepodcenit ani zabezpečení Wi-Fi sítě a odpovídající zabezpečení počítače i všech ostatních citlivých zařízení včetně zabezpečení tiskáren

Jak se před phishingem bránit?

Nejlepší obranou před phishingem je jeho prevence. Proto je v rámci boje proti této podvodné taktice dobré osvojit si těchto pár základních návyků:

  • Používejte silná hesla, pečlivě je chraňte a nezadávejte je nikde, kde ve vás stránka vyvolává i nejmenší pochyby. A to nejen k účtům, zaheslujte také složky s jakýmikoli důležitými či citlivými daty. K těm nejdůležitějším účtům (e-mail a internet banking) používejte unikátní heslo, které nikde jinde nepoužíváte. Hesla si pravidelně měňte. Snažte se nepoužívat stejná hesla ve více službách.
  • Čas od času se hackerům podaří prolomit zabezpečení služby, kterou používáte, a ukrást přihlašovací údaje uživatelů. Pokud se to stane, změňte hesla všude, kde používáte danou kombinaci e-mailu a hesla. Jestli byl váš e-mail s heslem z nějaké databáze již ukraden, si můžete snadno ověřit.
  • Využívejte dvoufaktorové ověření (typicky formou sms kódu či kódu v aplikaci) kdekoliv to služba, kterou používáte umožňuje. V případě, že přijde žádost o potvrzení ověření v okamžiku, kdy se ke službě nepřihlašujete, nikdy nepotvrzujte. 
  • Naučte se rozeznávat pokusy o phishing podle varovných znaků.
  • Vždy používejte aktuální verzi antivirového programu. Aktualizujte také svůj operační systém a ovladače.
  • Při čtení podezřelých zpráv nedělejte unáhlené závěry a neklikejte na odkazy. Pokud vás e-mail vyzývá k přihlášení, přejděte na oficiální stránky instituce a přihlaste se až tam.
  • Nevěřte lukrativním neodolatelným nabídkám či výhrám v soutěžích, kterých jste se ani neúčastnili. Zprávu si ověřte zavoláním na číslo deklarovaného pořadatele soutěže.
  • Pokud už je pozdě a na nějaký pofiderní odkaz jste klikli, nepanikařte. Ihned změňte přístupové údaje k účtu atd. Pokud stejné heslo používáte i u jiných účtů, změňte ho i tam. Při problémech s bankovním účtem okamžitě kontaktujte vaši banku.

Vzdělávání zaměstnanců

V rámci boje proti phishingu je nutné zaměřit se také na zaměstnance ve firmách. Každá společnost si může najít vlastní způsob, jak své zaměstnance v tomto ohledu vzdělávat. Možností je hned několik. Osvěta může probíhat pomocí různých přednášek, workshopů, e-learningů či třeba výukových videí.

Navíc existují také různá školení třetích stran. V podstatě jde o tréninkové programy, kde se zaměstnanci naučí, jak se před phishingem bránit, a následně jsou otestováni pomocí rozeslané vzorové phishingové kampaně, o které zaměstnanci ani nevědí.

Ještě účinnější je rozeslat tuto kampaň před začátkem vzdělávání a ilustrovat její výsledky důležitost vzdělávání v této oblasti. Je to dobrý způsob, jak zavést prevenci proti phishingu do firmy a zároveň si otestovat, jak je na tom firma s bezpečností před i po školení zaměstnanců.

Dále je pak důležitá také informovanost personálu. Phishingové útoky často navazují na aktuální dění ve světě (podobně podvodníci zneužívali pandemii covidu i aktuální situaci na Ukrajině). Ve firmě je proto potřebné v rámci IT bezpečnosti také sledovat tyto hrozby a pro své zaměstnance k nim pravidelně vydávat varování.

Závěr

Phishing dnes už není pouze o podvodných e-mailech ve zkomolené češtině. Naopak, představuje naprosto relevantní a všudypřítomnou hrozbu, která může přijít odkudkoli a zasáhnout kohokoli. Útočníci využívají stále nové kanály a sofistikovanější postupy, které mohou oklamat i zkušenější uživatele. Proto je nutné v kyberprostoru s tímto rizikem stále počítat a umět jej včas rozpoznat.

Kam dál

Jak zazipovat soubor či složku
před 6 dny, 20.2.2024

Jak zazipovat soubor či složku

Pokud jste zvyklí přikládat k e-mailu přílohu, určitě se vám někdy stalo, že příloha překročila limit velikosti. V takovém případě můžete přílohu rozdělit do více e-mailů, nahrát do cloudu, nebo soubor či složku tzv. zazipovat. V tomto článku si ukážeme, jak na to. Číst celý článek

clanek-kategorie-IT Bezpečnost
Zásady ergonomie při sezení u počítače
před 7 dny, 19.2.2024

Zásady ergonomie při sezení u počítače

Sedavé zaměstnání u počítače může být příčinou mnoha zdravotních komplikací. Abychom těmto potížím předešli, je třeba pracoviště přizpůsobit co nejvíce správnému držení těla a současně se naučit neblahý vliv naší práce vhodně kompenzovat.​ Číst celý článek

clanek-kategorie-Kancelář
Jak tisknout na textil
před 14 dny, 12.2.2024

Jak tisknout na textil

Tisk na textil se stal oblíbeným způsobem výroby unikátních kusů oblečení nejen v rámci reklamních předmětů. ​Tento druh tisku přitom není zase tak náročným úkolem, jak se na první pohled může zdát. V menších nákladech si reklamní textil zvládnete vyrobit klidně sami. Číst celý článek

clanek-kategorie-Jen Tisk
Jak vybrat kapesní mini tiskárnu na fotky
před 20 dny, 6.2.2024

Jak vybrat kapesní mini tiskárnu na fotky

Od firemních večírků, přes teambuildingy a vzdělávací akce až po služební cesty kapesní tiskárny poskytují praktické řešení pro každou příležitost, kterou chcete rychle zachytit. Díky propojení s mobilním telefonem umožňují snadný a rychlý tisk. Číst celý článek

clanek-kategorie-Tiskárny
Co je to phishing a jak jej poznat
před 24 dny, 2.2.2024

Co je to phishing a jak jej poznat

Rostoucí hrozbě phishingu je sice v posledních letech věnována zvýšená pozornost, ale mnoho lidí stále neví, jak jednotlivé podvodné taktiky spolehlivě rozpoznat a jak se proti nim bránit. Klíčovou ochranou je přitom prevence a informovanost. Číst celý článek

clanek-kategorie-IT Bezpečnost
Jak vybrat SSD či HDD disk do notebooku
před 26 dny, 31.1.2024

Jak vybrat SSD či HDD disk do notebooku

Ačkoliv dnes ukládáme nezanedbatelnou část svých dat do cloudu, dostatečně velký disk je stále nutností.​ Právě od rychlosti a velikosti počítačového uložiště se totiž odvíjí, jak svižná a pohodlná bude běžná i náročnější práce na notebooku. Číst celý článek

clanek-kategorie-Hardware