Phishing – kybernetický útok, který doslova číhá na každém kroku

Phishing je v současné době celosvětově nejčetnějším kybernetickým útokem a to z toho důvodu, že je jednoduchý na provedení a bohužel ve velkém procentu i účinný. Jeho pojmenování pochází z anglického slova fishing, které znamená rybaření, protože útočníci rozesílají návnady a čekají, až oběť doslova uloví.

Kde lze na phishing narazit a co je jeho cílem

Phishingový útok probíhá nejčastěji prostřednictvím e-mailové zprávy, která předstírá, že ji zasílá důvěryhodná organizace a útočníci se jeho prostřednictvím snaží dostat k cenným informacím uživatele, jakými mohou být např. přístupové údaje k bankovním účtům, údaje k platebním kartám, důležitá hesla, citlivá firemní data atd. Kromě e-mailových zpráv může být pro phishingový útok použit i jiný komunikační kanál, typicky platformy pro rychlou komunikaci (Skype, Messenger, WhatsApp, atd.), mobilní telefony, ale také se v poslední době množí případy využití falešných profilů na sociálních sítích a objevují se i fiktivní zájemci na prodejních portálech. Firemní uživatelé mohou být ohroženi fiktivními zprávami, které se mohou tvářit jako od jejich IT administrátora, nebo od vedoucího pracovníka.

Jak phishing probíhá

Útok se tváří zprvu velice nevinně, protože uživatel obdrží zprávu, nebo falešné reklamní sdělení, které vypadá jako od známého a důvěryhodného zdroje (finanční instituce, banka, přepravní společnost, obchodní partner atd.). Hackeři schovávající se za touto organizací v emailu většinou požadují jednoduchou věc/akci, pro jejíž uskutečnění se ovšem uživatel musí přihlásit do svého účtu u dané společnosti. Formulář pro přihlášení bývá zdařilá kopie skutečného přihlašovacího okna, proto uživatel bez váhání své údaje vyplní, čímž své přihlašovací údaje odešle útočníkům a ti je neváhají použít ve svůj prospěch, většinou pro rychlý převod finančních prostředků.

Masivní útoky zaznamenávají i sociální sítě, kde útočníci vytváří falešné profily uživatelů, nebo se „nabourají“ do těch pravých a hromadně rozesílají fiktivní zprávy na všechny spojení, např. ve znění: „Jsi to ty ve videu“? společně s odkazem, který vypadá, že pochází z YouTube. Po kliknutí na odkaz uživatel neuvidí žádné video, ale místo toho se mu začne na zařízení stahovat škodlivý kód, který buď použije jeho účet k rozesílání stejných zpráv na okruh jeho spojení, nebo nastraží další lest, aby z něho vylákal přihlašovací údaje k jeho bankovnímu účtu.

Novou technikou poslední doby, zato ale velmi častou je kontaktování lidí inzerujících zboží na prodejních portálech, např. Facebook Marketplace. Zde hackeři kontaktují prodávajícího a předstírají zájem o koupi jejich zboží s tím, že platbu převedou přes fiktivní službu dopravního přepravce, který jim zásilku poté vyzvedne. Prodávající je tedy vyzván, aby klikl na přiložený odkaz, kde má zaregistrovat svoji platební kartu pro převod částky. Tím ale sdělí své bankovní informace, které podvodník okamžitě zneužije.

Z těchto důvodů mnoho firem přistupuje k razantním bezpečnostním opatřením, např. zákazu používání sociálních sítí na pracovišti a na pracovních zařízeních mimo firmu.

Základní typy phishingu

• Emailový phishing – hromadně rozesílaný email, který není adresován konkrétní osobě nebo organizaci, ale je rozesílán ve velkém množství na náhodné adresy.
• Spear phishing – cílený útok, při kterém je oběť vytipovaná a útočník si o daném jednotlivci či organizaci předem získává všechny dostupné informace a připraví podvodnou zprávu tzv. na míru.
• Whaling – typ spear phishingového útoku, který cílí na tzv. velké ryby, čili na vrcholové manažery či majitele společností.
• CEO fraud – jedná se o opak whalingu, neboť jeho zprávy se tváří, jakoby pocházely od vyšších manažerů a cílí na ostatní níže postavené zaměstnance dané firmy.
• Vishing – útok prostřednictvím telefonního hovoru, kdy jsou hojně využívány namluvené zprávy (často vytvořené pomocí generátorů) a čísla útočníků vypadají jako reálná čísla institucí, za kterou se vydávají.
• Smishing – podvodné zprávy jsou rozesílané na mobilní telefony prostřednictvím SMS zpráv. Zpráva většinou vyzývá ke kliknut na podvodný odkaz, nebo obsahuje telefonní číslo, kam se má oběť ozvat.
• Page hijacking – uživatelé jsou nevědomky přesměrováni na podvodný web, většinou věrohodnou kopii existující webové stránky.

Jak se před útokem chránit

V boji proti phishingu je nejdůležitější obezřetnost a být neustále ve střehu. Zde uvádíme ty nejzákladnější opatření, která by měl dodržovat každý, kdo se pohybuje v on-line prostoru.

• Vždy se zaměřte na korektnost adresy ve webovém prohlížeči či email odesílatele.
• Dejte si pozor na podezřelé emaily z neznámé domény, jejich přílohy či odkazy vůbec neotevírejte.
• Nespoléhejte se na špatnou češtinu v zprávě, na kterou se upozorňovalo dříve, to už dnes dávno neplatí, díky rozvoji AI jsou zprávy a formulace čím dál věrohodnější.
• Neklikejte na podezřelé odkazy ve zprávách, ani na sociálních sítích pokud nevíte předem, o co se jedná, nebo pokud odkaz neodpovídá odesilateli či povaze zprávy.
• Neklikejte na sociálních sítích na odkazy v příspěvcích, kde jste vy nebo vaši přátelé označeni u nějaké zvláštní a podezřelé události (typicky buď něco hrozného jako autonehoda, tragédie či naopak nějaká senzace typu neuvěřitelná výhra atd).
• Nikdy nevyplňujte hesla a přihlašovací údaje prostřednictvím emailu, nebo skrze odkaz zaslaný emailem.
• Nepotvrzujte prostřednictvím telefonního ověřovacího kódu nic, o čem nemáte jistotu, že je to bezpečné.
• Nevěřte supervýhodným nabídkám, náhlým výhrám ani neočekávanému dědictví.
• Nereagujte na časově výhodné akce. Přílišná naléhavost, aby si uživatel nemohl akci promyslet a rychle kliknul, je pro phishing typická.
• Při online prodeji zboží reagujte pouze na seriózní zájemce, jakmile po vás někdo vyžaduje jakékoliv soukromé údaje (email, telefon) či registraci pod záminkou koupě přes kurýra, zásilkovnu apod, nereagujte na ně. Nabídněte, že dopravu zboží zařídíte sami, pak nemusíte sdělovat kupujícímu žádné svoje údaje.

Důležité je taktéž si uvědomit, že co platí dnes, může být zítra jinak, protože hackeři jsou vždy o krok napřed a své techniky neustále zdokonalují, aby dosáhli svého.

My v CDC Data se kyberbezpečnosti věnujeme velice intenzivně, monitorujeme novinky, školíme své zaměstnance a pro zákazníky zajišťujeme velké množství aktivit vedoucích k prevenci před nejrůznějšími kyberútoky. Naše služba Safe&Secure obsahuje celý soubor činností k identifikaci případných hrozeb a doporučení k lepšímu zabezpečení. Pokud vás toto téma zajímá více, neváhejte se na nás obrátit.