Phishing – jak se nechytit do sítí novodobých rybářů

Phishing – jak se nechytit do sítí novodobých rybářů

Ze školy si možná všichni pamatujeme radu: „Neber si bonbóny od cizích lidí!“ Rada je to vskutku moudrá, vždyť proč bychom si měli brát něco od člověka, kterého neznáme? Sice jsem nezaznamenal případ, kdy by takhle někdo rozdával dětem drogy nebo jed, ale smysl to dává. Stejně tak by se ale ve škole mělo říkat: „Neklikej na zprávy od cizích lidí!“ Proč? V nich se totiž nebezpečné návnady reálně objevují…

Phishing možná není tak známý pojem, přestože se s různými phishingovými útoky můžeme setkávat poměrně často. Pokud tedy nevíš, oč jde, pak věz, že jako phishing označujeme útoky prostřednictvím podvodných emailů a dalších zpráv, které mají za cíl vylákat ze svých obětí citlivé údaje, například PINy, hesla k internetovému bankovnictví, k platebním službám jako je PayPal, PaySec, ale třeba i k účtu na eBay nebo Google.

Jak se rybaří na síti?

Jestli Ti název připomíná anglický termín pro rybaření, není to náhoda. Však rybář, když přijde k vodě, si připraví návnadu, která dovede ryby oblbnout a myslet si, že jde o jídlo. Pak návnadu hodí do vody a čeká, co se chytne. U phishingu dělá útočník to samé – připraví „návnadu,“ která se tváří jako nějaká strašně důležitá zpráva od Tvojí banky, telefonního operátora, googlu, facebooku apod., pak ji rozhodí na tisíce mailových adres a čeká, kdo se chytne. Jak prosté, že?

Podvodné maily se snaží vzbudit dojem, že pocházejí od nějakého skutečného bankovního ústavu, provozovatele internetových služeb apod. Grafika mailu se proto snaží napodobit grafiku používanou danou institucí. Stejně tak se útočníci snaží napodobit mailovou adresu a webové stránky. To už je ovšem složitější, protože každá rozumná firma si své stránky, ale i všechny podobně znějící či podobně vypadající adresy chrání. Proto podle adresy stránky, na kterou mail odkazuje, poznáme podvodný útok. V minulosti byla častá záměna slov jako adrninistrátor místo administrátor, adrnin místo admin apod.

V textu může odkaz vypadat věrohodně, ale přesto bude směřovat na podvodné stránky. To pochopitelně není vůbec těžké udělat, a proto je třeba se podívat, kam link skutečně odkazuje (většina internetových prohlížečů zobrazuje cílovou adresu v levém dolním rohu okna hned po ukázání kurzorem na odkaz, případně je možné kliknout na odkaz pravým tlačítkem myši, vybrat volbu 'Kopírovat adresu odkazu' a vložit si ji do poznámkového bloku nebo Wordu - tam lehce poznáme, zda je odkaz pravý nebo podvodný).

Takhle se banka NIKDY nechová!

Text emailu většinou obsahuje výzvu ke změně hesla, zaplacení dluhu, aktualizaci osobních a kontaktních údajů apod., případně se tváří jako informační zpravodaj s odkazem na stránky nebo výzkum spokojenosti zákazníků. Žádná banka však po svých klientech nežádá vyplňování údajů mimo své zabezpečené stránky ani nevyzývá ke změně hesla nebo doplacení dluhu mailem. Takové výzvy jsou vždy podvodné!

Bankovní domy v komunikaci s klienty samozřejmě také využívají maily, ale zpravidla vše píšou v dokumentu opatřeném rozpoznatelným elektronickým podpisem instituce. To podvodné maily samozřejmě nenabízejí.

Stránka, na kterou se po kliknutí na odkaz ve phishingovém mailu dostaneš, povětšinou nebude na zabezpečeném serveru. Adresa nebude začínat https://, ale jenom http://.

Phishing nemusí být rozesílán jen formou mailů, ale třeba i zpráv na Facebooku nebo vytvářením falešných facebookových účtů. Na obrázku pod tímto textem je příklad jednoho z phishingových útoků směřovaných na klienty České spořitelny, kde se útočník snaží přes facebookovou zprávu nalákat oběti k poskytnutí přístupových údajů pod záminkou získání nové bezpečnější bankovní aplikace, ještě k tomu s bonusem 1000 Kč.

Jak poznat, že jde o podvod?

  1. Název profilu zní Ceska Sporitelna, nikoliv Česká spořitelna - proč by měl být název profilu bez diakritiky?!
  2. Odkaz míří na stránky www.servis24.ic.cz, skutečné stránky internetového bankovnictví neobsahují žádné .ic.
  3. Česká spořitelna ani žádná jiná banka nenabízí své produkty mimo své zabezpečené stránky nebo obchody s aplikacemi (jako třeba Google play), kde ovšem uvedený vydavatel aplikace musí mít certifikát, že jde věrohodně o danou banku.

Ale může to vypadat i jinak...

Tohle je další a kupodivu novější případ phishingového útoku. Útočník si tady nehraje na žádnou banku ani nic jiného. Prostě a jednoduše tvrdí, že je hacker, který se naboural do stránek s pornem a vložil tam svůj vir, který se posléze stáhnul do Tvého počítače a skrz webkameru si Tě natočil, jak se ukájíš u sledování porna. A jestli nechceš, aby to video rozeslal Tvým kontaktům v mailu a na FB, máš mu zaplatit 720 dollarů v Bitcoinech. Pochopitelně šlo o výmysl, žádná taková kompromitující videa útočník neměl a žádný malware Ti do počítače nenainstaloval. Přesto se mu však podařilo spoustu lidí znejistět a možná si i takto něco „přivydělat.“

Jak je možné se chránit?

  • Nikdy neklikej na odkazy v emailu, pokud si nejsi stoprocentně jistý/á, že nejsou podvodné.
  • Neotevírej nevyžádané maily od neznámého odesilatele.
  • Ve své poštovní schránce si zakaž zobrazování náhledu mailu (nastav si ji tak, aby byl vidět jen seznam mailů s jejich předmětem a odesilatelem, zbytek zprávy by se v seznamu zobrazovat neměl).
  • Používej a pravidelně aktualizuje antivirový a antispywarový program. Měj také zapnutý firewall, který zabrání provádění nechtěných změn v počítači.
  • Do internetového bankovnictví ani k dalším významným účtům se nepřihlašuj na cizích, veřejně dostupných nebo sdílených počítačích.
  • Uživatelské jméno a heslo zadávej jen na originální přihlašovací stránce.
  • Nikdy tyto údaje nikomu neposílej mailem, prostřednictvím Facebooku apod.
  • Pro vstup na přihlašovací stránku své banky nepoužívej žádné odkazy, adresu vypisuj ručně. A pozor na překlepy, podvodníci si zakládají stránky s adresami podle častých překlepů.
  • Pokud se internetové bankovnictví chová divně, chce po Tobě divné věci (zpravidla by nemělo chtít nic), kontaktuj svoji banku!
  • Nespouštěj žádné programy a aplikace zaslané mailem. Banky ani nikdo jiný věrohodný neposílá programy mailem. Ani odkazy na jejich stažení.

Související příspěvky:

Hej, Ty, nech si ty hejty!

Na tělo si taky nenapíšeš kdejakou blbost...

A co teď?!

Internet Vol. 3: Nové výzvy

Bezpečně na Internetu - udělejme si v tom jasno!

Reálné případy a dopady sextingu

Sexting II. Víš, s kým se seznamuješ?

Bacha na sexting

"Nevěřte citátům na internetu, nemusí být pravé." - Abraham Lincoln, 1862

Internetová identita - naše druhé já?

Na internetu se chováme nejen slušně, ale i opatrně!

Jak vymyslet heslo a jak ho nezapomenout

Slavným proti své vůli aneb O fotkách a videu na internetu

To (ne)vysvětlíš?!

Google jasnovidec

Hledej, stopa!

Welcome to the Internet - let me be your guide!


Dotazník není zadán


Pár věcí na doplnění


Email systém nekontroluje, kdo email odeslal. Proto je možné email odeslat z jakékoliv adresy. K tomu je potřeba vlastní mail klient, avšak za drobnou úlpatu v bitcoinech vám tu možnost na darknetu dají. Proto se ani odesílateli věřit nedá.

Pro internetové bankovnictví doporučuju používat aplikaci v mobilu. Ta vždy používá bezpečné spojení a pokud stahujete aplikace jen z oficiálního playstoru, nemáte root a máte antivirus, tak riziko nakažení je minimální.

Linky je dobré kopírovat a ověřit přes server virustotal.com

Falešné stránky často obsahují gramatické chyby a chyby způsobené automatickým překladem.

Napište svůj názor

Psát reakce smí pouze registrovaní uživatelé. Pokud jste zaregistrováni musíte se přihlásit.

Nařízení EU o ochraně osobních údajů

Tato webová aplikace Sonic.cgi splňuje požadavky pro GDPR. Aktuální informace naleznete zde.