Co je to phishing a jak jej poznat

Rostoucí hrozbě phishingu je sice v posledních letech věnována zvýšená pozornost, ale mnoho lidí stále neví, jak podvodné taktiky rozpoznat a jak se proti nim bránit. Klíčovou ochranou je přitom prevence a informovanost. 

Co to je phishing a jak se projevuje?

Termín "phishing" je zkomoleninou anglického výrazu pro rybaření. V podstatě je to forma kybernetického útoku, která se pomocí stále sofistikovanějších technik snaží přelstít koncového uživatele. Často mívá podobu podvodné e-mailové zprávy, útočníci ale mohou využívat i jiné kanály.

Cílem phishingu je snaha přinutit uživatele k akci (nejčastěji ke kliknutí na falešný odkaz) tím, že se útočník vydává za někoho jiného a důvěryhodného – například banku, telefonního operátora nebo třeba kurýrní službu.

Podvodná zpráva často obsahuje nějakou výzvu – například k aktualizaci účtu, změně hesla nebo ověření totožnosti či bankovních údajů přes podvržený odkaz. Poté může dojít k různým situacím v závislosti na tom, jaké má útočník cíle.

Typicky však po kliknutí na takový odkaz dojde o přesměrování na webové stránky, na kterých je po vás požadováno vložení bankovních údajů nebo přímé zaplacení za podvodné služby. Stejně tak ale můžete být přesměrováni na stránky, které budou graficky velmi podobné těm známým a legitimním. Stále se však jedná o podvrh a dostali jste se pouze na kopii originálního webu, jejíž cílem je vymámit z vás citlivá data nebo do vašeho zařízení dostat škodlivý malware. Např. nainstalovaný spyware pak sbírá citlivá data včetně bankovních a přihlašovacích údajů a odesílá je zpět útočníkovi.

V praxi může mít phishing ale mnoho různých podob. A právě proto je tak nebezpečný. Útočníci se mohou maskovat za kohokoli, jsou stále chytřejší a jejich podvody hůře odhalitelné. Phishingovou metodu proto využívají stále častěji – podle výzkumu společnosti Acronis vzrostl počet e-mailových útoků v první polovině roku 2023 ve srovnání s první polovinou roku 2022 o neskutečných 464 %. 

časté důsledky phishingových útoků

Nejnepříjemnějšími a nejčastějšími důsledky phishingových útoků může být:

• Ztráta financí
  Jakmile útočník získá přístup k vašemu bankovnímu účtu či kompletním údajům z platební karty, může zadat neoprávněné transakce a způsobit vám finanční ztráty.
• Krádež identity
  Pokud se útočníci dostanou k vašim osobním identifikačním údajům, mohou s jejich pomocí otevírat falešné účty, provádět různé finanční podvody na vaše jméno nebo dokonce ukrást vaši totožnost.
• Malware a ransomware
  Škodlivý software může infikovat váš počítač a způsobit tak ztrátu dat. Ojedinělé nejsou ani případy blokování dat z infikovaných zařízení útočníky a následné vydírání. V tomto případě je nejlepší prevencí pravidelné zálohování dat na odděleném uložišti.
• Poškozená reputace
  ​Pokud útočníci zneužijí vaše citlivé osobní informace tak, že je zveřejní, nebo budou vašim jménem veřejně jednat s cílem poškodit jej, může to poškodit vaší reputaci v osobním či pracovním životě. Útočníci mohou samozřejmě stejným způsobem poškodit také dobré jméno celých organizací.

Jak vidíte, phishing se může stát velmi nebezpečným podvodem, ale klidně i hackerským útokem. Proto je tak potřebné se proti němu bránit už před tím, než nastane. Nejlepší formou obrany je proto vždy prevence.

Typy phishingových útoků

Phishingové útoky probíhají nejčastěji pomocí podvodných e-mailů, útočníci ale mohou využít jakoukoliv formu elektronické komunikace. 

E-mail phishing

Nejběžnější forma phishingu, kdy útočníci rozesílají hromadné a univerzální podvodné zprávy více uživatelům současně. Tyto zprávy nejsou cíleny na specifické organizace či osoby, a proto je nejsnazší odhalit, že jde o podvod. Příkladem útoku může být případ z roku 2022, kdy jednatelka firmy kliknula na odkaz ve falešném e-mailu a firma následně přišla o 1,5 milionu Kč. 

Spear phishing

Je mnohem nebezpečnějším typem phishingu. V tomto případě útočník svou oběť déle sleduje a získává si o ní potřebné informace. Monitoruje její sociální sítě, aktivitu v různých diskusích a podobně. Jakmile se dostane k něčemu, co může zneužít, postaví specificky zacílenou podvodnou zprávu přesně na míru. Oběť pak snadněji naletí a klikne na podvržený odkaz, protože e-mail na první pohled vypadá velmi důvěryhodně.

Vishing

Voice phishing neboli vishing je forma phishingového útoku přes telefonní hovor. Čísla, ze kterých útočníci volají, často vypadají jako reálná telefonní čísla institucí, za kterou se vydávají. Hovor začíná být podezřelý v té chvíli, kdy útočník začne požadovat informace, které daná instituce normálně nikdy nežádá (například kompletní platební údaje o vaší kartě).

Zajímavé video na toto téma vytvořil YouTube kanál Jirka vysvětluje věci. Minimálně začátek popisovaného podvodu je velmi uvěřitelný. Podvodníci se představují jménem skutečných zaměstnanců banky a policie, a tak si jejich totožnost můžete ověřit i na oficiálních webech. Současně zdánlivě používají telefonní čísla, která používají dané instituce. I na průměrně znalého uživatele Internetu tak takový pokus musí působit věrohodně (doporučujeme zhlédnout video).

Smishing

Phishing zaslaný formou SMS zprávy označujeme jako smishing. SMS vzbuzuje v lidech přirozeně vyšší důvěru než e-mailová zpráva a na to útočníci cílí. Zpráva nejčastěji obsahuje falešný odkaz nebo telefonní čísla či e-maily, přes které má oběť kontaktovat instituci, v jejímž jméně útočník jedná. V poslední době se šíří třeba falešné zprávy o problému s doručením zásilky.

Page hijacking

Forma phishingu, při které vás kliknutí na odkaz od útočníka přesměruje na podvodné webové stránky, které jsou graficky velmi podobnou kopií originálního webu dané instituce. Setkat se můžete s podvodnými stránkami i přímo ve výsledcích vyhledávání na Google.

Whaling

Podobá se spear phishingu, útočník ale cílí na tzv. „velké ryby“ – majitele firem či vrcholové manažery. Sleduje a monitoruje jejich aktivity, načež jim vytvoří phishingovou zprávu na míru.

CEO fraud

Phishingový útok, kdy se podvodná zpráva tváří jako e-mail od majitele firmy či ředitele organizace a cílí na jeho zaměstnance.

Catphishing

V tomto případě si útočník vytvoří na internetu falešnou identitu za účelem kompromitování či jiného poškození své oběti.

Phishing a sociální inženýrství

Pojmy phishing a sociální inženýrství spolu velmi úzce souvisí. Sociální inženýrství lze definovat jako snahu podvodem vylákat z uživatelů jejich citlivé osobní, platební či jiné údaje.

Phishingový útočník tedy vlastně využívá techniky sociálního inženýrství k tomu, aby dosáhl toho, co chce – dostal se k údajům oběti. Toho lze dosáhnout pouze tak, že jí zmanipuluje k tomu, aby provedla nějakou akci a klikla na podvržený odkaz. Tato manipulace vždy zahrnuje pokus o vzbuzení nějaké emoce v oběti, aby pak rychle a bez rozmyslu jednala.

Útočníci takto využívají sociální inženýrství k tomu, aby v oběti vzbudily:

• Strach 
  „Vaše přihlašovací údaje byly zneužity a váš účet může být kompromitován. Rychle klikněte pro změnu hesla.“
• Naléhavost
  „Balíček dorazil na prodejnu, ale nemohl být doručen z důvodu neúplných údajů o adrese. Potvrďte adresu v odkaze nebo bude do 3 dnů zásilka vrácena odesílateli.“
• Štěstí
  „Vyhráli jste 100 000 Kč, klikněte a vyzvedněte si odměnu.“
• Soucit
  „Klikněte a přispějte na dobročinné účely. Lena, 5 let, trpí vážnou nemocí a potřebuje 500 000 Kč na léčbu.“
• Zvědavost
  Například populární zpráva od „kamaráda“ na sociální síti „Ahoj, na tom videu jsi ty?“

Lidé jsou důvěřiví a útočníci to vědí. Mezi nejnovější trendy v oblasti phishingových útoků proto patří právě častější využívání psychologické manipulace než klasických malwarových útoků. Podvodné stránky a e-maily jsou proto dnes na síti již větším nebezpečím než škodlivé kódy.

Další novinkou je pak zvýšené využívání vishingu a smishingu. Je lehčí odhalit podvodný e-mail než podvodný telefonní hovor či SMS zprávu a útočníci to dobře vědí. Během telefonního hovoru oběť nemá čas na přemýšlení či ověřování informací a musí rychle reagovat, což často vede k tomu, že naletí podvodníkovi.

Jak poznat phishingový e-mail?

Phishingový e-mail můžete rozpoznat podle jeho typických varovných znaků, kterými jsou:

1. Neočekávanost
   Předem neočekávané e-maily otevírejte se zvýšenou opatrností a neklikejte bez rozmyslu na první odkaz.
2. Požadavek na citlivé platební údaje
   Finanční instituce nikdy nepožadují vyplňovat přihlašovací údaje do bankovnictví v e-mailu.
3. Naléhavost
   Pokud je potřebné udělat cokoliv (změnu hesla, ověření totožnosti, zadání přihlašovacích údajů a podobně) okamžitě, protože jinak dojde k nějaké protiakci (zablokování účtu, ztrátě účtu, …), vždy zbystřete. Útočníci chtějí, abyste nepřemýšleli a jednali ihned bez rozmyslu. Normální instituce takto naléhavě nekomunikují.
4. Podezřelá doména
   ​Útočník často používá velmi podobnou doménu, než je skutečná doména instituce. Vsází na to, že si oběť přečte zprávu rychle a překlepu si nevšimne – například namísto ceskaposta.cz uvidíte ceskapotsa.cz. Okamžitě pak víte, že se jedná o podvod.
5. Podezřelá URL adresa
   URL odkaz v e-mailu je potřebné studovat důkladněji. Často na první pohled vypadá jako pravý. Pokud zjistíte, že adresa odkazu kdekoli neodpovídá odesílateli, jde o podvod. Lišit se může například doména nebo mohou být některá písmena nahrazena číslicemi či jinými podobnými znaky. Na odkaz můžete také najet myší a v levém dolním rohu obrazovky se vám ukáže skutečná URL, kam vás odkaz povede. Pokud neodpovídá názvu odkazu v e-mailu, pak hned víte, že jde o podvod. Falešné webové stránky můžete rozpoznat i tak, že budete v adrese hledat „https“. Webové stránky bez této zkratky nejsou bezpečné a žádné osobní údaje na nich nezadávejte. Plně se ale nespoléhejte ani na https. Podvodníci se snaží napodobit originální stránky co nejdůvěryhodněji. Kromě toho proto sledujte i další varovné signály.
6. Špatná čeština
   Lámaný jazyk, překlepy, věty nedávající vůbec smysl? Tak vypadají často méně propracované pokusy o phishingové podvody, které pochází z jiné země. Nicméně s tím, jak se zdokonalují překladače, nespoléhejte na to, že podvod odhalíte jen díky gramatickým chybám. Čím dál častěji se budete moci setkat i s texty psané perfektní češtinou.
7. Neodolatelná nabídka
   ​Různé výhry v soutěžích, ve kterých jste ani nehráli, zprávy o milionovém dědictví po prastrýci od neznámých lidí, zboží zadarmo, služby za absurdně nízké ceny jsou jen dalším modelem phishingových útoků.

Jak se před phishingem bránit?

Nejlepší obranou před phishingem je jeho prevence. Proto je v rámci boje proti této podvodné taktice dobré osvojit si těchto pár základních návyků:

• Používejte silná hesla, pečlivě je chraňte a nezadávejte je nikde, kde ve vás stránka vyvolává i nejmenší pochyby. A to nejen k účtům, zaheslujte také složky s jakýmikoli důležitými či citlivými daty. K těm nejdůležitějším účtům (e-mail a internet banking) používejte unikátní heslo, které nikde jinde nepoužíváte. Hesla si pravidelně měňte. Snažte se nepoužívat stejná hesla ve více službách.
• Čas od času se hackerům podaří prolomit zabezpečení služby, kterou používáte, a ukrást přihlašovací údaje uživatelů. Pokud se to stane, změňte hesla všude, kde používáte danou kombinaci e-mailu a hesla. Jestli byl váš e-mail s heslem z nějaké databáze již ukraden, si můžete snadno ověřit.
• Využívejte dvoufaktorové ověření (typicky formou sms kódu či kódu v aplikaci) kdekoliv to služba, kterou používáte umožňuje. V případě, že přijde žádost o potvrzení ověření v okamžiku, kdy se ke službě nepřihlašujete, nikdy nepotvrzujte. 
• Naučte se rozeznávat pokusy o phishing podle varovných znaků.
• Vždy používejte aktuální verzi antivirového programu. Aktualizujte také svůj operační systém a ovladače.
• Při čtení podezřelých zpráv nedělejte unáhlené závěry a neklikejte na odkazy. Pokud vás e-mail vyzývá k přihlášení, přejděte na oficiální stránky instituce a přihlaste se až tam.
• Nevěřte lukrativním neodolatelným nabídkám či výhrám v soutěžích, kterých jste se ani neúčastnili. Zprávu si ověřte zavoláním na číslo deklarovaného pořadatele soutěže.
• Pokud už je pozdě a na nějaký pofiderní odkaz jste klikli, nepanikařte. Ihned změňte přístupové údaje k účtu atd. Pokud stejné heslo používáte i u jiných účtů, změňte ho i tam. Při problémech s bankovním účtem okamžitě kontaktujte vaši banku.

Vzdělávání zaměstnanců

V rámci boje proti phishingu je nutné zaměřit se také na zaměstnance ve firmách. Každá společnost si může najít vlastní způsob, jak své zaměstnance v tomto ohledu vzdělávat. Možností je hned několik. Osvěta může probíhat pomocí různých přednášek, workshopů, e-learningů či třeba výukových videí.

Navíc existují také různá školení třetích stran. V podstatě jde o tréninkové programy, kde se zaměstnanci naučí, jak se před phishingem bránit, a následně jsou otestováni pomocí rozeslané vzorové phishingové kampaně, o které zaměstnanci ani nevědí.

Ještě účinnější je rozeslat tuto kampaň před začátkem vzdělávání a ilustrovat její výsledky důležitost vzdělávání v této oblasti. Je to dobrý způsob, jak zavést prevenci proti phishingu do firmy a zároveň si otestovat, jak je na tom firma s bezpečností před i po školení zaměstnanců.

Dále je pak důležitá také informovanost personálu. Phishingové útoky často navazují na aktuální dění ve světě (podobně podvodníci zneužívali pandemii covidu i aktuální situaci na Ukrajině). Ve firmě je proto potřebné v rámci IT bezpečnosti také sledovat tyto hrozby a pro své zaměstnance k nim pravidelně vydávat varování.

Závěr

Phishing dnes už není pouze o podvodných e-mailech ve zkomolené češtině. Naopak, představuje naprosto relevantní a všudypřítomnou hrozbu, která může přijít odkudkoli a zasáhnout kohokoli. Útočníci využívají stále nové kanály a sofistikovanější postupy, které mohou oklamat i zkušenější uživatele. Proto je nutné v kyberprostoru s tímto rizikem stále počítat a umět jej včas rozpoznat.