22. 5. 2023
4 min.
Michaela Králová

Phishing – kybernetický útok, který doslova číhá na každém kroku

Phishing – kybernetický útok, který doslova číhá na každém kroku

Phishing je v současné době celosvětově nejčetnějším kybernetickým útokem a to z toho důvodu, že je jednoduchý na provedení a bohužel ve velkém procentu i účinný. Jeho pojmenování pochází z anglického slova fishing, které znamená rybaření, protože útočníci rozesílají návnady a čekají, až oběť doslova uloví.

Kde lze na phishing narazit a co je jeho cílem

Phishingový útok probíhá nejčastěji prostřednictvím e-mailové zprávy, která předstírá, že ji zasílá důvěryhodná organizace a útočníci se jeho prostřednictvím snaží dostat k cenným informacím uživatele, jakými mohou být např. přístupové údaje k bankovním účtům, údaje k platebním kartám, důležitá hesla, citlivá firemní data atd. Kromě e-mailových zpráv může být pro phishingový útok použit i jiný komunikační kanál, typicky platformy pro rychlou komunikaci (Skype, Messenger, WhatsApp, atd.), mobilní telefony, ale také se v poslední době množí případy využití falešných profilů na sociálních sítích a objevují se i fiktivní zájemci na prodejních portálech. Firemní uživatelé mohou být ohroženi fiktivními zprávami, které se mohou tvářit jako od jejich IT administrátora, nebo od vedoucího pracovníka.

Jak phishing probíhá

Útok se tváří zprvu velice nevinně, protože uživatel obdrží zprávu, nebo falešné reklamní sdělení, které vypadá jako od známého a důvěryhodného zdroje (finanční instituce, banka, přepravní společnost, obchodní partner atd.). Hackeři schovávající se za touto organizací v emailu většinou požadují jednoduchou věc/akci, pro jejíž uskutečnění se ovšem uživatel musí přihlásit do svého účtu u dané společnosti. Formulář pro přihlášení bývá zdařilá kopie skutečného přihlašovacího okna, proto uživatel bez váhání své údaje vyplní, čímž své přihlašovací údaje odešle útočníkům a ti je neváhají použít ve svůj prospěch, většinou pro rychlý převod finančních prostředků.

Masivní útoky zaznamenávají i sociální sítě, kde útočníci vytváří falešné profily uživatelů, nebo se „nabourají“ do těch pravých a hromadně rozesílají fiktivní zprávy na všechny spojení, např. ve znění: „Jsi to ty ve videu“? společně s odkazem, který vypadá, že pochází z YouTube. Po kliknutí na odkaz uživatel neuvidí žádné video, ale místo toho se mu začne na zařízení stahovat škodlivý kód, který buď použije jeho účet k rozesílání stejných zpráv na okruh jeho spojení, nebo nastraží další lest, aby z něho vylákal přihlašovací údaje k jeho bankovnímu účtu.

Novou technikou poslední doby, zato ale velmi častou je kontaktování lidí inzerujících zboží na prodejních portálech, např. Facebook Marketplace. Zde hackeři kontaktují prodávajícího a předstírají zájem o koupi jejich zboží s tím, že platbu převedou přes fiktivní službu dopravního přepravce, který jim zásilku poté vyzvedne. Prodávající je tedy vyzván, aby klikl na přiložený odkaz, kde má zaregistrovat svoji platební kartu pro převod částky. Tím ale sdělí své bankovní informace, které podvodník okamžitě zneužije.

Z těchto důvodů mnoho firem přistupuje k razantním bezpečnostním opatřením, např. zákazu používání sociálních sítí na pracovišti a na pracovních zařízeních mimo firmu.

Základní typy phishingu

  • Emailový phishing – hromadně rozesílaný email, který není adresován konkrétní osobě nebo organizaci, ale je rozesílán ve velkém množství na náhodné adresy.
  • Spear phishing – cílený útok, při kterém je oběť vytipovaná a útočník si o daném jednotlivci či organizaci předem získává všechny dostupné informace a připraví podvodnou zprávu tzv. na míru.
  • Whaling – typ spear phishingového útoku, který cílí na tzv. velké ryby, čili na vrcholové manažery či majitele společností.
  • CEO fraud – jedná se o opak whalingu, neboť jeho zprávy se tváří, jakoby pocházely od vyšších manažerů a cílí na ostatní níže postavené zaměstnance dané firmy.
  • Vishing – útok prostřednictvím telefonního hovoru, kdy jsou hojně využívány namluvené zprávy (často vytvořené pomocí generátorů) a čísla útočníků vypadají jako reálná čísla institucí, za kterou se vydávají.
  • Smishing – podvodné zprávy jsou rozesílané na mobilní telefony prostřednictvím SMS zpráv. Zpráva většinou vyzývá ke kliknut na podvodný odkaz, nebo obsahuje telefonní číslo, kam se má oběť ozvat.
  • Page hijacking – uživatelé jsou nevědomky přesměrováni na podvodný web, většinou věrohodnou kopii existující webové stránky.

Jak se před útokem chránit

V boji proti phishingu je nejdůležitější obezřetnost a být neustále ve střehu. Zde uvádíme ty nejzákladnější opatření, která by měl dodržovat každý, kdo se pohybuje v on-line prostoru.

  • Při komunikaci s bankou či jinou institucí prostřednictvím webového rozhraní kontrolujte korektnost adresy ve webovém prohlížeči.
  • Neotevírejte podezřelé emaily, např. z neznámé domény či se špatnou češtinou již v předmětu.
  • Neklikejte na podezřelé odkazy v emailech, zprávách, ani na sociálních sítích pokud nevíte předem, o co se jedná, nebo pokud odkaz neodpovídá odesilateli či povaze zprávy.
  • Nikdy nevyplňujte hesla a přihlašovací údaje prostřednictvím emailu, nebo skrze odkaz zaslaný emailem.
  • Nevěřte supervýhodným nabídkám, náhlým výhrám ani neočekávanému dědictví.
  • Nereagujte na časově výhodné akce. Přílišná naléhavost, aby si uživatel nemohl akci promyslet a rychle kliknul, je pro phishing typická.
  • Při online prodeji zboží reagujte pouze na seriózní zájemce, jakmile po vás někdo vyžaduje jakékoliv soukromé údaje či registraci, nereagujte na ně.

Důležité je taktéž si uvědomit, že co platí dnes, může být zítra jinak, protože hackeři jsou vždy o krok napřed a své techniky neustále zdokonalují, aby dosáhli svého.

My v CDC Data se kyberbezpečnosti věnujeme velice intenzivně, monitorujeme novinky, školíme své zaměstnance a pro zákazníky zajišťujeme velké množství aktivit vedoucích k prevenci před nejrůznějšími kyberútoky. Naše služba Safe&Secure obsahuje celý soubor činností k identifikaci případných hrozeb a doporučení k lepšímu zabezpečení. Pokud vás toto téma zajímá více, neváhejte se na nás obrátit.

Mohlo by vás zajímat

Očekávané trendy v ICT pro rok 2024 Očekávané trendy v ICT pro rok 2024

Očekávané trendy v ICT pro rok 2024

5. 2. 2024

Aktuální trendy v oblasti efektivní informační a komunikační infrastruktury a zároveň hlavní témata, která budou hýbat naším oborem v roce 2024 zahrnují několik klíčových oblastí, zaměřených zejména na zlepšení…

Číst více
Automatizace firemních procesů snižuje nebezpečí pracovních chyb Workflow jako cesta k efektivnější práci s dokumenty

Automatizace firemních procesů snižuje nebezpečí pracovních chyb

25. 3. 2024

Ať už je vaše organizace malou či velkou firmou podnikající v jakékoliv sféře, jediná manuální chyba v dokumentu, jeden zádrhel v systému nebo „kolečko v soukolí“, může mít vážné následky,…

Číst více
Tým CDC Data se představuje/8. díl – Romana Kotyk

Tým CDC Data se představuje/8. díl – Romana Kotyk

28. 3. 2022

Dnes vám představujeme naši kolegyni, konzultantku systému IFS, paní Romanu Kotyk. V rozhovoru se dozvíte, na co specializuje, co konkrétně její práce obnáší, co ji na…

Číst více
Klíč k efektivitě a pohodlí v hotelovém provozu Chytré řešení pro hotely

Klíč k efektivitě a pohodlí v hotelovém provozu

28. 8. 2023

Automatizace technických zařízení v hotelech představuje klíčový prvek modernizace, který zlepšuje kvalitu pobytu pro hosty a efektivitu provozu pro hotelový personál. Tato technologie nese název Loxone a zahrnuje…

Číst více