Obsah článku

Čo je to phishing?
Kto je cieľom phishingového útoku?
Aký je význam slova phishing?
História a vývoj
Riziká, ktoré prináša phishing
Techniky phishingu
     Typosquatting
     Clickjacking
     Tabnabbing
     Pharming (DNS cache poisoning)
Druhy phishingových útokov
     E-mail phishing
     Spear phishing
     Microsoft 365 phishing
     Whaling (Whale phishing)
     Vishing a smishing
     Business e-mail
     Iné typy phishingu
Ako funguje phishing?
Ako odhaliť phishingové útoky?
Ako sa proti phishingu brániť? Tipy na prevenciu
Ochrana pred phishingom
Ako postupovať, keď vám ukradnú platobné údaje?
Čo robiť, keď dostanem phishingový e-mail?
Príklady phishingu
Phishing na Slovensku
Test na detekciu phishingu
Test na rozpoznanie phishingového e-mailu
Záver

Phishing je druhom kybernetického útoku, pri ktorom sa útočník vydáva za dôveryhodnú organizáciu, osobu alebo systém, aby od obete získal citlivé dáta, ako napríklad heslá či údaje od platobnej karty.

K phishingovým útokom dochádza zvyčajne prostredníctvom e-mailu, telefónu alebo textovej správy. Pri týchto útokoch útočníci využívajú techniky sociálneho inžinierstva, aby v užívateľovi vzbudili podvedomie strachu alebo zvedavosť a presvedčili ho o dôležitosti alebo správnosti vykonania určitej aktivity.

Útočník sa môže vydávať za akúkoľvek inštitúciu alebo osobu - banku, doručovateľa, štátny orgán, priateľa či kolegu z práce. Správa zvyčajne obsahuje informáciu, aby napadnutá osoba klikla na link alebo si stiahla súbor. 

Ktokoľvek. Súkromná osoba, zamestnanec vo firme alebo vysokopostavené osoby vo firmách a štátnej sfére.

Môže sa teda stať, že útočník zaháji phishingový útok na váš súkromný aj pracovný e-mail s cieľom poškodiť vás alebo firmu, v ktorej pracujete. 

Pojem phishing vznikol z anglického výrazu „fishing“ (rybolov, rybačka, rybárstvo).

Rybár a útočník sú si v niečom podobní. Zatiaľ čo rybár využíva fyzickú návnadu, hacker virtuálnu, zvyčajne v podobe na prvý pohľad dôveryhodne vyzerajúcej e-mailovej správy s linkom alebo prílohou na stiahnutie. 

Phishing patrí medzi najstaršie druhy kyberútokov a prvýkrát sa objavil v 90. rokoch 20. storočia po nástupe internetu. V tomto období bola efektivita phishingových útokov priam ukážková, a to najmä z dôvodu nedostatku skúseností užívateľov.

Útočníci obvykle napádali užívateľov s cieľom získať ich prihlasovacie údaje, a to prostredníctvom e-mailu. Taktika hackerov bola v tej dobe menej sofistikovaná, keďže e-mailová správa od obete často vyžadovala odpoveď s uvedením osobných údajov.

Odvtedy sa však phishingové útoky posunuli na vyššiu úroveň a útočníci od napadnutých nevyžadujú odpoveď na e-mail. Naopak, vyvolajú v nich potrebu kliknúť na odkaz na internetové stránky, kde obete dobrovoľne otvoria alebo inak spustia prílohu, ktorou si do napadnutého zariadenia zavedú nástroje slúžiace na odcudzenie údajov.

V súčasnosti je stále najčastejší útok prostredníctvom e-mailovej komunikácie. Útoky sú čoraz sofistikovanejšie a mnohokrát je pre neskúseného užívateľa veľmi ťažké rozoznať, či ide o podvodnú správu. 

Ako sme už spomínali, fishing môže mať dôsledky nielen pre súkromnú osobu, ale aj pre firmu. Fishingové útoky totižto často smerujú na zamestnancov, ktorí môžu pod vplyvom neznalosti a nedbanlivosti poškodiť celú firmu.

Aké najčastejšie dôsledky môže mať na vás alebo vášho zamestnávateľa phishing? Pozrite si infografiku nižšie.

 
Existujú rôzne techniky phishingu, ktoré môžu nič netušiacemu užívateľovi spôsobiť nemalé problémy.

Typosquatting (URL hijacking)

Táto technika spočíva v založení falošnej webovej stránky so zavádzajúcou URL adresou. Hackeri využívajú slovné preklepy užívateľov v internetových prehliadačoch, napríklad:

• písmeno navyše,
• výmenu dvoch písmen,
• nesprávny zápis adresy (pravopisná chyba),
• zamieňanie podobne vyzerajúcich písmen (napr. n a m). 

Clickjacking

Hackeri umiestňujú zavádzajúci, škodlivý klikateľný obsah nad rôzne tlačidlá. Po kliknutí na tlačidlo nedôjde napríklad k objednaniu produktu, ale stiahnutiu malvéru, teda škodlivého softvéru. 
 

Tabnabbing

Pri tejto technike útočník vymieňa otvorené záložky v internetovom prehliadači za škodlivé weby. Ak má užívateľ otvorených viacero webových stránok, nemusí vôbec zaregistrovať zmenu a môže ľahko naletieť podvodu. 
 

Pharming (DNS cache poisoning)

Ide o techniku, pri ktorej dochádza k presmerovaniu návštevníkov na webovú stránku, ktorá je hodnovernou verziou pôvodnej webstránky. Hackeri využívajú bezpečnostné diery v systéme, ktorý spája názvy domén s IP adresami. 

Phishingové útoky môžeme členiť nielen podľa napadnutých osôb, ale aj toho, akú podobu majú rozposielané správy.

Všetky phishingové útoky majú spoločnú jednu vlastnosť, a tou je dojem dôveryhodnosti, ktorú navodzujú vydávaním sa za známe autority, osoby či organizácie.
 
Falošnú identitu maskujú zvyčajne podobne vyzerajúcou e-mailovou adresou, založením falošného webu či zastretím falošnej adresy URL.
 

E-mail phishing

Útočníci rozosielajú e-mailové správy miliónom kontaktov s cieľom priviesť ich na falošnú verziu populárnej webovej stránky, kde majú vyplniť svoje osobné údaje.

Pozrite si najpopulárnejšie spoločnosti, za ktoré sa útočníci radi vydávajú:

1. PayPal
2. Microsoft
3. Facebook
4. eBay 
5. Amazon 

Spear phishing

Spear phishing sa od klasického phishingu líši tým, že útočník napáda jednotlivca, zväčša zamestnanca. Správy sú osobnejšie a dôveryhodnejšie.

Hacker sa môže vydávať napríklad za riaditeľa firmy a žiadať v jeho mene od svojho podriadeného prevod istej čiastky peňazí na bankový účet.
 
Až 95 % útokov smerujúcich na spoločnosti využíva taktiku spear phishingu.
 

Microsoft 365 phishing

Cieľom útočníkov je získať prístup do vášho Microsoft 365 konta. Do e-mailovej schránky dorazí falošná správa od Microsoftu, ktorá vyzýva vytypovanú obeť, aby sa prihlásila do svojho konta. Obsahom správ sú zvyčajne nasledovné výzvy a žiadosti:

• Užívateľ si musí zresetovať heslo.
• Užívateľ sa v poslednej dobe neprihlásil do svojho účtu.
• Zistil sa problém s účtom užívateľa, a preto je potrebné prihlásenie.

V každej e-mailovej správe sa nachádza link na falošnú webovú stránku, kde útočníci získavajú osobné údaje užívateľov. ​​​​​​​
 

Whaling (Whale phishing)

Tento druh phishingového útoku sa zameriava na najvplyvnejších ľudí v spoločnostiach. Zvyčajne sú to generálni alebo výkonní riaditelia.

Útočníci vedia, že získať hodnotné informácie od týchto ľudí nie je vôbec jednoduché, a preto sa na útok dôkladne pripravujú. Vopred obeť analyzujú a hľadajú najvhodnejší okamih útoku.

Whaling prináša so sebou veľké nebezpečenstvo úniku obrovského množstva citlivých dát spoločnosti. Tieto informácie môžu byť použité proti vedeniu firmy aj jej zamestnancom.
 
V roku 2008 sa odohral phishingový útok na generálnych riaditeľov rôznych spoločností, pričom hackeri uspeli až v 2 000 prípadoch. E-mail navádzal riaditeľov spoločností, aby si stiahli údajné predvolanie od FBI. Po stiahnutí prílohy si však nevedomky stiahli do svojho počítača aj škodlivý softvér, detekujúci aktivitu užívateľa.
 

Vishing a smishing

Ide o phishingové útoky prostredníctvom telefonického rozhovoru alebo textovej správy. 
 

Business e-mail

V tomto prípade sa hackeri vydávajú za generálneho riaditeľa alebo člena vedenia spoločnosti s úmyslom previesť peniaze spoločnosti na konto útočníka. Využívajú pritom nič netušiacich podriadených alebo členov vedenia. 
 

Iné typy phishingu

Keďže útočníci neustále vyvíjajú nové, premyslenejšie techniky, vznikajú nové typy phishingových útokov, ako napríklad:

• social media phishing (phishing na sociálnych sieťach)
• snowshoeing (využívanie viacerých IP adries a domén na zasielanie spamových e-mailov)
• clone phishing (zasielanie kópií neškodných e-mailov s prílohou obsahujúcou malvér alebo vírus) 

Útočníci podvodné správy pre svoje obete formulujú tak, aby vyzerali ako od hodnovernej osoby. V komunikácii pracujú s manipulatívnymi technikami a emóciami, ako strach, zvedavosť, naliehavosť, chamtivosť či túžba.

Sledujte, či správa, ktorú ste obdržali, neobsahuje jednu či viacero z nasledovných znakov:

1. Doména verejne dostupnej e-mailovej služby. Pôjde najmä o zahraničné e-mailové adresy, častokrát zložitejšie oproti oficiálnym kontaktom. Môžu obsahovať aj preklepy, napríklad applenoreply@gmail.com.
2. Podozrivá doména. Zvyčajne obsahuje písmená či slová navyše, napríklad www.apple-crompany.com, microsoft@email-records.com, post@ceskaposta.net.
3. Podozrivé odkazy a neobvyklé prílohy. Ide o nezvyčajné prílohy, napríklad Form.zip, či hypertextové odkazy na webové stránky s podozrivými doménami, ako napríklad www.postovabanka24.csk.
4. Rétorika naliehania. Útočník v obeti vytvára pocit naliehavosti, napríklad: „Ak svoj účet neaktivujete do 5 dní, môžete trvalo stratiť prístup.“
5. Neformálne alebo všeobecné oslovenie. Správa častokrát začína neformálnym oslovením, napríklad: „Ahoj, volám sa...,“ prípadne všeobecným: „Vážený zákazník...“
6. Skvelá (neopakovateľná) ponuka. Ak si myslíte, že na ponuku sa nedá odpovedať nie, je viac ako pravdepodobné, že ide o podvod. Napríklad: „Máme pre vás výhru...“
7. Nízka jazyková úroveň. Sledujte napríklad chyby v pravopise, nesprávny slovosled, neprirodzené vetné formulácie či preklepy.

Žiaľ, útočníci sa vo svojich útokoch neustále zlepšujú, a preto vám môže do e-mailovej schránky pristáť správa so správnym pravopisom i logom a iba jedinou úpravou v doméne či e-mailovej adrese odosielateľa. Buďte preto za každých okolností veľmi opatrní.

Máme pre vás zopár užitočných tipov:

1. Otvárajte správy od ľudí alebo inštitúcií, ktoré naozaj poznáte (pozor na nevyžiadané správy).
2. Kontrolujte URL adresy predtým, než na ne kliknete.
3. Sledujte, z akej domény prichádza e-mailová správa.
4. Pravidelne si kontrolujte svoje online účty.
5. Nikomu okrem oprávnených osôb neposkytujte informácie typu heslá, PIN kódy, skeny dokladov, bydlisko, telefónne číslo a podobne.
6. Nikdy nevkladajte osobné údaje alebo bankové informácie na nezašifrované alebo akokoľvek podozrivé webstránky.
7. Dbajte o to, aby bol váš internetový prehliadač aktualizovaný.
8. Sledujte, či vám niekto neposiela správu s „ponukou, ktorá sa neodmieta“, alebo na vás nenalieha.
9. Sledujte portály s informáciami o najnovších phishingových útokoch.

 

Moderné internetové prehliadače dokážu rozpoznať phishing, respektíve podozrivé webové stránky. Napriek tomu odporúčame spoľahnúť sa na kvalitný antispamový (napr. Cloudmark DesktopOne či SPAMfighter Pro) a antivírusový program (napr. Norton 360 či ESET Smart Security). 

 

1. Skontrolujte si pohyby na účte a zablokujte si platobnú kartu v internetovom bankovníctve.
2. Kontaktujte vašu banku a dohodnite sa s ňou na ďalšom postupe (pravdepodobne na vystavení novej platobnej karty). 

Odporúčame kontaktovať spoločnosť, ktorej dobré meno útočníci zneužívajú na phishingový útok. Takýmto spôsobom môžete pomôcť aj ďalším ľuďom, keďže spoločnosť pravdepodobne informáciu o takomto útoku zverejní.

Ak ste presvedčení, že ste našli webovú stránku určenú na phishing, môžete ju nahlásiť spoločnosti Google. 

Systematické phishingové útoky začali v roku 1995 v spoločnosti America Online (AOL). Útočníci sa vydávali za zamestnancov spoločnosti s cieľom získať od svojich obetí prístupové údaje k účtom.

Odvtedy sa útočníci vo svojich technikách zlepšujú a prichádzajú so sofistikovanejšími postupmi, ako podviesť nič netušiace obete.

Na obrázkoch nižšie môžete vidieť príklady phishingových správ z českého a slovenského prostredia.


Phishingová správa: príklad č. 1

Až 44 % Slovákov sa stretne s phishingom, najčastejšie vo veku od 25 do 34 rokov. Útoky sa uskutočňujú najmä prostredníctvom e-mailu, webovej stránky, SMS správy alebo telefonátu.

Prieskum ukázal aj najčastejšie následky útokov:

• nutnosť zmeniť si heslo k online účtu,
• strata finančných prostriedkov,
• nutnosť zrušiť svoju platobnú kartu. 

Ak sa stanete obeťou phishingového útoku, neváhajte tento kybernetický zločin nahlásiť. Môžete tým ochrániť ďalších ľudí.

Ak si nie ste istí, či je webová stránka bezpečná, vyskúšajte tento nástroj na detekciu škodlivých URL adries. 

Ste zvedaví, či dokážete rozpoznať bezpečný e-mail od škodlivého? Otestujte svoje znalosti na praktických príkladoch. 

Phishing je kybernetický útok, ktorý môže viesť k zneužitiu identity, odcudzeniu online účtu a v tom najhoršom prípade až strate finančných prostriedkov. Majte preto na pamäti naše tipy na prevenciu a ochranu. No v prvom rade zvyšujte svoje povedomie o kybernetickej bezpečnosti na internete.

Chceli by ste sa cítiť na internete bezpečnejšie? Zistite viac o našom e-mailovom klientovi s antispamovou a antivírusovou ochranou a bezpečnosťou chránenou SSL certifikátom.

Napíšte nám a my radi Vaše otázky zodpovieme. Ak využívate naše služby, odporúčame komunikovať prostredníctvom ticketového systému v zákazníckej zóne, aby boli Vaše požiadavky riešené v kontexte Vašej zmluvy a služieb.