Vyhráli jste milion korun! Pošlete nám své číslo účtu a heslo...

23:19
08.05.2016

Skočil/a bys na tak průhledný trik, jako je v názvu tohoto článku? Samozřejmě že ne, dneska snad nikdo. Proto se taky s tak žertovnými pokusy o vylákání citlivých informací už nesetkáváme, narozdíl od snahy útočníků zdokonalovat svoje phishingové útoky, které už nejsou tak snadno rozpoznatelné. Abys těm novodobým rybářům nenaletěl/a, podívej se raději, co je to phishing, jak vypadá a jak se před ním chránit.

Jako phishing označujeme útoky na uživatele Internetu prostřednictvím podvodných emailů, které mají za cíl vylákat ze svých obětí citlivé údaje, například PINy, hesla k internetovému bankovnictví, k platebním službám jako je PayPal, PaySec, ale třeba i k účtu na eBay nebo Google.

Název připomínající anglický termín pro rybaření je vcelku trefný, protože jako rybářská výprava phishingové útoky opravdu vypadají - útočníci nachystají návnadu (mail s urgentní výzvou k zaplacení nedoplatku, vyzvednutí nových přístupových údajů apod.), rozhodí sítě (rozešlou na tisíce náhodně sesbíraných adres) a čekají, až se někdo chytne.

Jak phishing vypadá

Podvodné maily se snaží vzbudit dojem, že pocházejí od nějakého skutečného bankovního ústavu, provozovatele internetových služeb apod. Grafika mailu se proto snaží napodobit grafiku používanou danou institucí.

Stejně tak se útočníci snaží napodobit mailovou adresu a webové stránky. To už je ovšem složitější, protože každá rozumná firma si své stránky, ale i všechny podobně znějící či podobně vypadající adresy chrání. Proto podle adresy stránky, na kterou mail odkazuje, poznáme podvodný útok. V minulosti byla častá záměna slov jako adrninistrátor místo administrátor, adrnin místo admin apod.

Pozor! V textu může odkaz vypadat věrohodně, ale přesto bude směřovat na podvodné stránky. To pochopitelně není vůbec těžké udělat a proto je třeba se podívat, kam link skutečně odkazuje (většina internetových prohlížečů zobrazuje cílovou adresu v levém dolním rohu okna hned po ukázání kurzorem na odkaz, případně je možné kliknout na odkaz pravým myšítkem, vybrat volbu 'Kopírovat adresu odkazu' a vložit si ji do poznámkového bloku nebo Wordu - tam lehce poznáš, zda je odkaz pravý nebo podvodný).

Text emailu většinou obsahuje výzvu ke změně hesla, zaplacení dluhu, aktualizaci osobních a kontaktních údajů apod., případně se tváří jako informační zpravodaj s odkazem na stránky nebo výzkum spokojenosti zákazníků. Žádná banka však po svých klientech nežádá vyplňování údajů mimo své zabezpečené stránky ani nevyzývá ke změně hesla nebo doplacení dluhu mailem. Takové výzvy jsou vždy podvodné!

Bankovní domy v komunikaci s klienty samozřejmě také využívají maily, ale zpravidla každou prkotinu píšou v dokumentu opatřeném rozpoznatelným elektronickým podpisem instituce. To podvodné maily samozřejmě nenabízejí.

Stránka, na kterou se po kliknutí na odkaz ve phishingovém mailu dostaneš, povětšinou nebude na zabezpečeném serveru. Adresa nebude začínat https://, ale jenom http://.

Phishing nemusí být rozesílán jen formou mailů, ale třeba i zpráv na Facebooku nebo vytvářením falešných fb účtů. Na obrázku pod tímto textem je příklad jednoho z posledních phishingových útoků směřovaných na klienty České spořitelny, kde se útočník snaží přes facebookovou zprávu nalákat oběti k poskytnutí přístupových údajů pod záminkou získání nové bezpečnější bankovní aplikace, ještě k tomu s bonusem 1000 Kč.

Jak poznat, že jde o podvod?

Název profilu zní Ceska Sporitelna, nikoliv Česká spořitelna - proč by měl být název profilu bez diakritiky?!
Odkaz míří na stránky www.servis24.ic.cz (nepoužívej tento odkaz!!!), skutečné stránky internetového bankovnictví neobsahují žádné .ic.
Česká spořitelna ani žádná jiná banka nenabízí své produkty mimo své zabezpečené stránky nebo obchody s aplikacemi (jako třeba google play), kde ovšem uvedený vydavatel aplikace musí mít certifikát, že jde věrohodně o danou banku.

Jak se chránit

Neklikej na odkazy v emailu, pokud si nejsi stoprocentně jistý/á, že nejsou podvodné.
Neotevírej nevyžádané maily od neznámého odesilatele. Ve své poštovní schránce si zakaž zobrazování náhledu mailu (nastav si ji tak, aby byl vidět jen seznam mailů s jejich předmětem a odesilatelem, zbytek zprávy by se v seznamu zobrazovat neměl).
Používej a pravidelně aktualizuj antivirový a antispywarový program. Měj taky zapnutý firewall, který zabrání provádění nechtěných změn v počítači.
Do internetového bankovnictví ani k dalším významným účtům se nepřihlašuj na cizích, veřejně dostupných nebo sdílených počítačích.
Uživatelské jméno a heslo zadávej jen na originální přihlašovací stránce. Nikdy tyto údaje nikomu neposílej mailem, po facebooku apod.
Pro vstup na přihlašovací stránku své banky nepoužívej žádné odkazy, adresu vypiš ručně. A pozor na překlepy - podvodníci si zakládají stránky s adresami podle častých překlepů.
Pokud se internetové bankovnictví chová divně, chce po Tobě divné věci (zpravidla by nemělo chtít nic), kontaktuj svoji banku! Podvodníkům se totiž mohlo podařit Tě přesměrovat na podvodné stránky.
Nespouštěj žádné programy a aplikace zasalné mailem. Banky ani nikdo jiný věrohodný neposílá programy mailem. Ani odkazy na jejich stažení.

Možná máš s úskalími na Internetu vlastní zkušenosti nebo Tě zajímá něco, čemu jsme se ještě v článcích nevěnovali. Je-li tomu tak, napiš nám nebo okomentuj příspěvek na Twitteru nebo Facebooku, co by Tě zajímalo a my téma zpracujeme. Nebo je Tvoje zkušenost choulostivější a potřeboval/a by ses o tom pobavit v soukromí, třeba i anonymně? Neboj se využít náš Pokec, rádi Ti nabídneme radu nebo pomocnou ruku!