Smishing
Phishing zaslaný formou SMS zprávy označujeme jako smishing. SMS vzbuzuje v lidech přirozeně vyšší důvěru než e-mailová zpráva a na to útočníci cílí. Zpráva nejčastěji obsahuje falešný odkaz nebo telefonní čísla či e-maily, přes které má oběť kontaktovat instituci, v jejímž jméně útočník jedná. V poslední době se šíří třeba falešné zprávy o problému s doručením zásilky.
Page hijacking
Forma phishingu, při které vás kliknutí na odkaz od útočníka přesměruje na podvodné webové stránky, které jsou graficky velmi podobnou kopií originálního webu dané instituce. Setkat se můžete s podvodnými stránkami i přímo ve výsledcích vyhledávání na Google.
Whaling
Podobá se spear phishingu, útočník ale cílí na tzv. „velké ryby“ – majitele firem či vrcholové manažery. Sleduje a monitoruje jejich aktivity, načež jim vytvoří phishingovou zprávu na míru.
CEO fraud
Phishingový útok, kdy se podvodná zpráva tváří jako e-mail od majitele firmy či ředitele organizace a cílí na jeho zaměstnance.
Catphishing
V tomto případě si útočník vytvoří na internetu falešnou identitu za účelem kompromitování či jiného poškození své oběti.
Phishing a sociální inženýrství
Pojmy phishing a sociální inženýrství spolu velmi úzce souvisí. Sociální inženýrství lze definovat jako snahu podvodem vylákat z uživatelů jejich citlivé osobní, platební či jiné údaje.
Phishingový útočník tedy vlastně využívá techniky sociálního inženýrství k tomu, aby dosáhl toho, co chce – dostal se k údajům oběti. Toho lze dosáhnout pouze tak, že jí zmanipuluje k tomu, aby provedla nějakou akci a klikla na podvržený odkaz. Tato manipulace vždy zahrnuje pokus o vzbuzení nějaké emoce v oběti, aby pak rychle a bez rozmyslu jednala.
Útočníci takto využívají sociální inženýrství k tomu, aby v oběti vzbudily:
- Strach
„Vaše přihlašovací údaje byly zneužity a váš účet může být kompromitován. Rychle klikněte pro změnu hesla.“ - Naléhavost
„Balíček dorazil na prodejnu, ale nemohl být doručen z důvodu neúplných údajů o adrese. Potvrďte adresu v odkaze nebo bude do 3 dnů zásilka vrácena odesílateli.“ - Štěstí
„Vyhráli jste 100 000 Kč, klikněte a vyzvedněte si odměnu.“ - Soucit
„Klikněte a přispějte na dobročinné účely. Lena, 5 let, trpí vážnou nemocí a potřebuje 500 000 Kč na léčbu.“ - Zvědavost
Například populární zpráva od „kamaráda“ na sociální síti „Ahoj, na tom videu jsi ty?“
Lidé jsou důvěřiví a útočníci to vědí. Mezi nejnovější trendy v oblasti phishingových útoků proto patří právě častější využívání psychologické manipulace než klasických malwarových útoků. Podvodné stránky a e-maily jsou proto dnes na síti již větším nebezpečím než škodlivé kódy.
Další novinkou je pak zvýšené využívání vishingu a smishingu. Je lehčí odhalit podvodný e-mail než podvodný telefonní hovor či SMS zprávu a útočníci to dobře vědí. Během telefonního hovoru oběť nemá čas na přemýšlení či ověřování informací a musí rychle reagovat, což často vede k tomu, že naletí podvodníkovi.
Jak poznat phishingový e-mail?
Phishingový e-mail můžete rozpoznat podle jeho typických varovných znaků, kterými jsou:
- Neočekávanost
Předem neočekávané e-maily otevírejte se zvýšenou opatrností a neklikejte bez rozmyslu na první odkaz. - Požadavek na citlivé platební údaje
Finanční instituce nikdy nepožadují vyplňovat přihlašovací údaje do bankovnictví v e-mailu. - Naléhavost
Pokud je potřebné udělat cokoliv (změnu hesla, ověření totožnosti, zadání přihlašovacích údajů a podobně) okamžitě, protože jinak dojde k nějaké protiakci (zablokování účtu, ztrátě účtu, …), vždy zbystřete. Útočníci chtějí, abyste nepřemýšleli a jednali ihned bez rozmyslu. Normální instituce takto naléhavě nekomunikují. - Podezřelá doména
Útočník často používá velmi podobnou doménu, než je skutečná doména instituce. Vsází na to, že si oběť přečte zprávu rychle a překlepu si nevšimne – například namísto ceskaposta.cz uvidíte ceskapotsa.cz. Okamžitě pak víte, že se jedná o podvod. - Podezřelá URL adresa
URL odkaz v e-mailu je potřebné studovat důkladněji. Často na první pohled vypadá jako pravý. Pokud zjistíte, že adresa odkazu kdekoli neodpovídá odesílateli, jde o podvod. Lišit se může například doména nebo mohou být některá písmena nahrazena číslicemi či jinými podobnými znaky. Na odkaz můžete také najet myší a v levém dolním rohu obrazovky se vám ukáže skutečná URL, kam vás odkaz povede. Pokud neodpovídá názvu odkazu v e-mailu, pak hned víte, že jde o podvod. Falešné webové stránky můžete rozpoznat i tak, že budete v adrese hledat „https“. Webové stránky bez této zkratky nejsou bezpečné a žádné osobní údaje na nich nezadávejte. Plně se ale nespoléhejte ani na https. Podvodníci se snaží napodobit originální stránky co nejdůvěryhodněji. Kromě toho proto sledujte i další varovné signály. - Špatná čeština
Lámaný jazyk, překlepy, věty nedávající vůbec smysl? Tak vypadají často méně propracované pokusy o phishingové podvody, které pochází z jiné země. Nicméně s tím, jak se zdokonalují překladače, nespoléhejte na to, že podvod odhalíte jen díky gramatickým chybám. Čím dál častěji se budete moci setkat i s texty psané perfektní češtinou. - Neodolatelná nabídka
Různé výhry v soutěžích, ve kterých jste ani nehráli, zprávy o milionovém dědictví po prastrýci od neznámých lidí, zboží zadarmo, služby za absurdně nízké ceny jsou jen dalším modelem phishingových útoků.