Čím dál vice práce je možné vykonávat z pohodlí domova skrze internet. V online prostředí trávíme také svůj volný čas. Nejde jen o surfování či chatování na sociálních sítích, ale i o spravování internetového bankovnictví, nakupování pomocí platebních karet či komunikaci s úřady. Při všech těchto činnostech zadáváme osobní údaje, o které mají zájem pachatelé počítačové kriminality. Ke svým útokům využívají mimo jiné tzv. phishing. O co se jedná a jak se bránit?
Co je phishing
Pod pojmem phishing se skrývá podvodné jednání, kdy se zločinci snaží z oběti vylákat nejrůznější citlivé údaje, jako jsou přístupové údaje, hesla či čísla kreditních karet. K tomu využívají nejrůznější způsoby internetové komunikace.
Proč zrovna phishing? Název je zkomoleninou z anglického fishing, tedy rybaření. Útočníci zasílají totiž velké množství podvodných zpráv, a následně čekají, kdo se jim chytí do sítě. Historie phishingu sahá do 90. let, kdy se počítače rozšířily do domácností.
V dnešní době jde o nejrozšířenější formu počítačové kriminality na světě. V České republice spadá phishing pod trestný čin podvodu. Pachateli za něj hrozí dva roky odnětí svobody.
Formy phishingu
Nejčastější technikou phishingu je zaslání e-mailu, který se snaží oběti přesměrovat na stránky, jež se tváří jako web patřící bance či jiné podobné instituci. Když oběť zadá na falešné stránce potřebné údaje, mají hackeři vyhráno. Zadají pak získané údaje na skutečné stránce a připraví podvedeného o peníze, ukradou jeho identitu či získané informace použijí k vydírání.
E-maily nejsou zdaleka jediná cesta. Podvodníci využívají např. SMS zprávy nebo telefonní hovory. Lidi osloví automat s tím, že na jejich účtech byla zaregistrována podvodná aktivita. Pokud oběť zavolá na poskytnuté číslo, hovoří přímo s podvodníkem, který z něj vyláká přístupové údaje.
Existuje i tzv. spear phishing, kdy se hackeři zaměří na konkrétní organizaci, typicky na různé auditorské firmy. Podvodné zprávy jsou pak mnohem propracovanější a osobnější.
Další pokročilou technikou je pharming, kdy útočníci napadnou DNS, přepíší IP adresu a přesměrují oběť na stránky, které vypadají identicky jako internetové bankovnictví. Tyto podvody je složité odhalit i pro zkušené uživatele. Běžné útoky však máme možnost poznat a následně se proti nim bránit.
Jak poznat phishing
Existuje několik varovných znamení, že je zaslaný e-mail podvod. Každý nevyžádaný e-mail od neznámého odesílatele může být potenciálně phishingem. Nemusíte jej proto otvírat.
Ještě než zprávu rozkliknete, ujistěte se, z jaké adresy je poslána. Společnosti používají v e-mailových adresách svou doménovou a ne veřejně dostupné e-mailové adresy typu @gmail.com. Varováním by vždy měly být podezřelé domény z Číny, Ruska nebo různých odlehlých ostrovů. České úřady a společnosti používají doménu cz.
Příklad: Komerční banka užívá e-maily, které končí @kb.cz. Při jednom phishingu útočníci používali doménu @ninfan.pw.
Pokud zapomenete zkontrolovat adresu, může vás zarazit text e-mailu. Špatná gramatika, překlepy nebo příliš neformální oslovení jsou známkami podvodných mailů.
Nicméně, v poslední době se útočníci zlepšují. Proto se zaměřte i na celkový kontext zprávy. Zní celá zpráva nějak podezřele výhodně? Oznamuje vám e-mail, že jste něco vyhráli, nebo že vám byly darovány peníze? Bohužel, spíše se vás někdo snaží podvést.
Pokud vás ve zprávě odesílatel vyzývá k bezodkladnému řešení situace, např. skrze co nejrychlejší kliknutí na odkaz, může se jednat o podvod. Často jsme nuceni reagovat rychle v práci, proto je takový útok obzvláště nebezpečný, jestliže je veden na náš pracovní e-mail.
Pamatujte si, že banky nikdy nepožadují citlivé údaje a hesla přes e-maily!
Dalším znakem phishingu jsou podezřelé přílohy, které vám dokáží zavirovat počítač.
Ochrana před útoky
Ochránit se před běžnými phishingovými útoky není tak těžké. První zásadou by mělo být nainstalování antivirové ochrany. Softwary vždy aktualizujte a zálohujte svá data. Základem je také použití silných hesel (např. alespoň 8 znaků, velká a malá písmena, číslo a znak diakritiky).
- U podezřelých e-mailů vždy zkontrolujte doménu a adresu odesílatele. Neklikejte na odkazy a tlačítka. Neotvírejte přílohy, u kterých si nejste jisti jejich obsahem.
- Přes e-mail nikdy nesdělujte citlivé údaje (hesla, čísla karet, PIN kódy, ale ani rodná čísla či čísla občanských nebo jiných průkazů).
- Podezřelé e-maily nepřeposílejte kolegům. I kdybyste se nenachytali vy, hrozí, že někdo z firmy na odkaz klikne.
- V rámci firmy se vyplatí investovat do IT školení. Můžete si vyzkoušet phishingový test, který pomůže identifikovat, zda se jedná o kyberútok.
Postup pro oběti phishingu
Phishing je jednání, které se nepodaří vymýtit. Pokud se stanete jeho obětí a sdělíte útočníkům např. heslo k internetovému bankovnictví, snažte se co nejrychleji své přístupové údaje změnit.
Kontaktujte banku nebo firmu, za kterou se útočníci vydávali. Banka může zastavit podezřelé platby, které by odcházely z vašeho účtu. Navíc zabráníte útočníkům v dalších podvodech. Phishing můžete nahlásit také skrze prohlížeč.
Phishing můžete ohlásit na Policii České republiky. Pokud vám již vznikla škoda, podejte trestní oznámení na neznámého pachatele.