Phishing Čo je phishing a ako ho viete odhaliť?
Obsah článku
Čo je to phishing?
Kto je cieľom phishingového útoku?
Aký je význam slova phishing?
História a vývoj
Riziká, ktoré prináša phishing
Techniky phishingu
Typosquatting
Clickjacking
Tabnabbing
Pharming (DNS cache poisoning)
Druhy phishingových útokov
E-mail phishing
Spear phishing
Microsoft 365 phishing
Whaling (Whale phishing)
Vishing a smishing
Business e-mail
Iné typy phishingu
Ako funguje phishing?
Ako odhaliť phishingové útoky?
Ako sa proti phishingu brániť? Tipy na prevenciu
Ochrana pred phishingom
Ako postupovať, keď vám ukradnú platobné údaje?
Čo robiť, keď dostanem phishingový e-mail?
Príklady phishingu
Phishing na Slovensku
Test na detekciu phishingu
Test na rozpoznanie phishingového e-mailu
Záver
Phishing patrí medzi veľmi účinné a nebezpečné druhy útokov na internete. So správnymi znalosťami ho však viete odhaliť a zabrániť útočníkom získať vaše osobné údaje.
Čo je to phishing?
Phishing je druhom kybernetického útoku, pri ktorom sa útočník vydáva za dôveryhodnú organizáciu, osobu alebo systém, aby od obete získal citlivé dáta, ako napríklad heslá či údaje od platobnej karty.
K phishingovým útokom dochádza zvyčajne prostredníctvom e-mailu, telefónu alebo textovej správy. Pri týchto útokoch útočníci využívajú techniky sociálneho inžinierstva, aby v užívateľovi vzbudili podvedomie strachu alebo zvedavosť a presvedčili ho o dôležitosti alebo správnosti vykonania určitej aktivity.
Útočník sa môže vydávať za akúkoľvek inštitúciu alebo osobu - banku, doručovateľa, štátny orgán, priateľa či kolegu z práce. Správa zvyčajne obsahuje informáciu, aby napadnutá osoba klikla na link alebo si stiahla súbor.
Kto je cieľom phishingového útoku?
Ktokoľvek. Súkromná osoba, zamestnanec vo firme alebo vysokopostavené osoby vo firmách a štátnej sfére.
Môže sa teda stať, že útočník zaháji phishingový útok na váš súkromný aj pracovný e-mail s cieľom poškodiť vás alebo firmu, v ktorej pracujete.
Aký je význam slova phishing?
Pojem phishing vznikol z anglického výrazu „fishing“ (rybolov, rybačka, rybárstvo).
Rybár a útočník sú si v niečom podobní. Zatiaľ čo rybár využíva fyzickú návnadu, hacker virtuálnu, zvyčajne v podobe na prvý pohľad dôveryhodne vyzerajúcej e-mailovej správy s linkom alebo prílohou na stiahnutie.
História a vývoj
Phishing patrí medzi najstaršie druhy kyberútokov a prvýkrát sa objavil v 90. rokoch 20. storočia po nástupe internetu. V tomto období bola efektivita phishingových útokov priam ukážková, a to najmä z dôvodu nedostatku skúseností užívateľov.
Útočníci obvykle napádali užívateľov s cieľom získať ich prihlasovacie údaje, a to prostredníctvom e-mailu. Taktika hackerov bola v tej dobe menej sofistikovaná, keďže e-mailová správa od obete často vyžadovala odpoveď s uvedením osobných údajov.
Odvtedy sa však phishingové útoky posunuli na vyššiu úroveň a útočníci od napadnutých nevyžadujú odpoveď na e-mail. Naopak, vyvolajú v nich potrebu kliknúť na odkaz na internetové stránky, kde obete dobrovoľne otvoria alebo inak spustia prílohu, ktorou si do napadnutého zariadenia zavedú nástroje slúžiace na odcudzenie údajov.
V súčasnosti je stále najčastejší útok prostredníctvom e-mailovej komunikácie. Útoky sú čoraz sofistikovanejšie a mnohokrát je pre neskúseného užívateľa veľmi ťažké rozoznať, či ide o podvodnú správu.
Riziká, ktoré prináša phishing
Ako sme už spomínali, fishing môže mať dôsledky nielen pre súkromnú osobu, ale aj pre firmu. Fishingové útoky totižto často smerujú na zamestnancov, ktorí môžu pod vplyvom neznalosti a nedbanlivosti poškodiť celú firmu.
Aké najčastejšie dôsledky môže mať na vás alebo vášho zamestnávateľa phishing? Pozrite si infografiku nižšie.
ZDROJ: cisco.com
Techniky phishingu
Existujú rôzne techniky phishingu, ktoré môžu nič netušiacemu užívateľovi spôsobiť nemalé problémy.
Typosquatting (URL hijacking)
Táto technika spočíva v založení falošnej webovej stránky so zavádzajúcou URL adresou. Hackeri využívajú slovné preklepy užívateľov v internetových prehliadačoch, napríklad:- písmeno navyše,
- výmenu dvoch písmen,
- nesprávny zápis adresy (pravopisná chyba),
- zamieňanie podobne vyzerajúcich písmen (napr. n a m).
Clickjacking
Hackeri umiestňujú zavádzajúci, škodlivý klikateľný obsah nad rôzne tlačidlá. Po kliknutí na tlačidlo nedôjde napríklad k objednaniu produktu, ale stiahnutiu malvéru, teda škodlivého softvéru.Tabnabbing
Pri tejto technike útočník vymieňa otvorené záložky v internetovom prehliadači za škodlivé weby. Ak má užívateľ otvorených viacero webových stránok, nemusí vôbec zaregistrovať zmenu a môže ľahko naletieť podvodu.Pharming (DNS cache poisoning)
Ide o techniku, pri ktorej dochádza k presmerovaniu návštevníkov na webovú stránku, ktorá je hodnovernou verziou pôvodnej webstránky. Hackeri využívajú bezpečnostné diery v systéme, ktorý spája názvy domén s IP adresami.Druhy phishingových útokov
Phishingové útoky môžeme členiť nielen podľa napadnutých osôb, ale aj toho, akú podobu majú rozposielané správy.
Všetky phishingové útoky majú spoločnú jednu vlastnosť, a tou je dojem dôveryhodnosti, ktorú navodzujú vydávaním sa za známe autority, osoby či organizácie.
Falošnú identitu maskujú zvyčajne podobne vyzerajúcou e-mailovou adresou, založením falošného webu či zastretím falošnej adresy URL.
E-mail phishing
Útočníci rozosielajú e-mailové správy miliónom kontaktov s cieľom priviesť ich na falošnú verziu populárnej webovej stránky, kde majú vyplniť svoje osobné údaje.Pozrite si najpopulárnejšie spoločnosti, za ktoré sa útočníci radi vydávajú:
Spear phishing
Spear phishing sa od klasického phishingu líši tým, že útočník napáda jednotlivca, zväčša zamestnanca. Správy sú osobnejšie a dôveryhodnejšie.Hacker sa môže vydávať napríklad za riaditeľa firmy a žiadať v jeho mene od svojho podriadeného prevod istej čiastky peňazí na bankový účet.
Až 95 % útokov smerujúcich na spoločnosti využíva taktiku spear phishingu.
Microsoft 365 phishing
Cieľom útočníkov je získať prístup do vášho Microsoft 365 konta. Do e-mailovej schránky dorazí falošná správa od Microsoftu, ktorá vyzýva vytypovanú obeť, aby sa prihlásila do svojho konta. Obsahom správ sú zvyčajne nasledovné výzvy a žiadosti:- Užívateľ si musí zresetovať heslo.
- Užívateľ sa v poslednej dobe neprihlásil do svojho účtu.
- Zistil sa problém s účtom užívateľa, a preto je potrebné prihlásenie.
Whaling (Whale phishing)
Tento druh phishingového útoku sa zameriava na najvplyvnejších ľudí v spoločnostiach. Zvyčajne sú to generálni alebo výkonní riaditelia.Útočníci vedia, že získať hodnotné informácie od týchto ľudí nie je vôbec jednoduché, a preto sa na útok dôkladne pripravujú. Vopred obeť analyzujú a hľadajú najvhodnejší okamih útoku.
Whaling prináša so sebou veľké nebezpečenstvo úniku obrovského množstva citlivých dát spoločnosti. Tieto informácie môžu byť použité proti vedeniu firmy aj jej zamestnancom.
V roku 2008 sa odohral phishingový útok na generálnych riaditeľov rôznych spoločností, pričom hackeri uspeli až v 2 000 prípadoch. E-mail navádzal riaditeľov spoločností, aby si stiahli údajné predvolanie od FBI. Po stiahnutí prílohy si však nevedomky stiahli do svojho počítača aj škodlivý softvér, detekujúci aktivitu užívateľa.
Vishing a smishing
Ide o phishingové útoky prostredníctvom telefonického rozhovoru alebo textovej správy.Business e-mail
V tomto prípade sa hackeri vydávajú za generálneho riaditeľa alebo člena vedenia spoločnosti s úmyslom previesť peniaze spoločnosti na konto útočníka. Využívajú pritom nič netušiacich podriadených alebo členov vedenia.Iné typy phishingu
Keďže útočníci neustále vyvíjajú nové, premyslenejšie techniky, vznikajú nové typy phishingových útokov, ako napríklad:Ako funguje phishing?
Útočníci podvodné správy pre svoje obete formulujú tak, aby vyzerali ako od hodnovernej osoby. V komunikácii pracujú s manipulatívnymi technikami a emóciami, ako strach, zvedavosť, naliehavosť, chamtivosť či túžba.
ZDROJ: csoonline.com
Ako odhaliť phishingové útoky?
Sledujte, či správa, ktorú ste obdržali, neobsahuje jednu či viacero z nasledovných znakov:
- Doména verejne dostupnej e-mailovej služby. Pôjde najmä o zahraničné e-mailové adresy, častokrát zložitejšie oproti oficiálnym kontaktom. Môžu obsahovať aj preklepy, napríklad applenoreply@gmail.com.
- Podozrivá doména. Zvyčajne obsahuje písmená či slová navyše, napríklad www.apple-crompany.com, microsoft@email-records.com, post@ceskaposta.net.
- Podozrivé odkazy a neobvyklé prílohy. Ide o nezvyčajné prílohy, napríklad Form.zip, či hypertextové odkazy na webové stránky s podozrivými doménami, ako napríklad www.postovabanka24.csk.
- Rétorika naliehania. Útočník v obeti vytvára pocit naliehavosti, napríklad: „Ak svoj účet neaktivujete do 5 dní, môžete trvalo stratiť prístup.“
- Neformálne alebo všeobecné oslovenie. Správa častokrát začína neformálnym oslovením, napríklad: „Ahoj, volám sa...,“ prípadne všeobecným: „Vážený zákazník...“
- Skvelá (neopakovateľná) ponuka. Ak si myslíte, že na ponuku sa nedá odpovedať nie, je viac ako pravdepodobné, že ide o podvod. Napríklad: „Máme pre vás výhru...“
- Nízka jazyková úroveň. Sledujte napríklad chyby v pravopise, nesprávny slovosled, neprirodzené vetné formulácie či preklepy.
Žiaľ, útočníci sa vo svojich útokoch neustále zlepšujú, a preto vám môže do e-mailovej schránky pristáť správa so správnym pravopisom i logom a iba jedinou úpravou v doméne či e-mailovej adrese odosielateľa. Buďte preto za každých okolností veľmi opatrní.
Ako sa proti phishingu brániť? Tipy na prevenciu
Máme pre vás zopár užitočných tipov:
- Otvárajte správy od ľudí alebo inštitúcií, ktoré naozaj poznáte (pozor na nevyžiadané správy).
- Kontrolujte URL adresy predtým, než na ne kliknete.
- Sledujte, z akej domény prichádza e-mailová správa.
- Pravidelne si kontrolujte svoje online účty.
- Nikomu okrem oprávnených osôb neposkytujte informácie typu heslá, PIN kódy, skeny dokladov, bydlisko, telefónne číslo a podobne.
- Nikdy nevkladajte osobné údaje alebo bankové informácie na nezašifrované alebo akokoľvek podozrivé webstránky.
- Dbajte o to, aby bol váš internetový prehliadač aktualizovaný.
- Sledujte, či vám niekto neposiela správu s „ponukou, ktorá sa neodmieta“, alebo na vás nenalieha.
- Sledujte portály s informáciami o najnovších phishingových útokoch.
Ochrana pred phishingom
Moderné internetové prehliadače dokážu rozpoznať phishing, respektíve podozrivé webové stránky. Napriek tomu odporúčame spoľahnúť sa na kvalitný antispamový (napr. Cloudmark DesktopOne či SPAMfighter Pro) a antivírusový program (napr. Norton 360 či ESET Smart Security).
Ako postupovať, keď vám ukradnú platobné údaje?
Čo robiť, keď dostanem phishingový e-mail?
Odporúčame kontaktovať spoločnosť, ktorej dobré meno útočníci zneužívajú na phishingový útok. Takýmto spôsobom môžete pomôcť aj ďalším ľuďom, keďže spoločnosť pravdepodobne informáciu o takomto útoku zverejní.
Ak ste presvedčení, že ste našli webovú stránku určenú na phishing, môžete ju nahlásiť spoločnosti Google.
Príklady phishingu
Systematické phishingové útoky začali v roku 1995 v spoločnosti America Online (AOL). Útočníci sa vydávali za zamestnancov spoločnosti s cieľom získať od svojich obetí prístupové údaje k účtom.
Odvtedy sa útočníci vo svojich technikách zlepšujú a prichádzajú so sofistikovanejšími postupmi, ako podviesť nič netušiace obete.
Na obrázkoch nižšie môžete vidieť príklady phishingových správ z českého a slovenského prostredia.
Phishingová správa: príklad č. 1
ZDROJ: internetembezpecne.cz
Phishing na Slovensku
Až 44 % Slovákov sa stretne s phishingom, najčastejšie vo veku od 25 do 34 rokov. Útoky sa uskutočňujú najmä prostredníctvom e-mailu, webovej stránky, SMS správy alebo telefonátu.
Prieskum ukázal aj najčastejšie následky útokov:
- nutnosť zmeniť si heslo k online účtu,
- strata finančných prostriedkov,
- nutnosť zrušiť svoju platobnú kartu.
Ak sa stanete obeťou phishingového útoku, neváhajte tento kybernetický zločin nahlásiť. Môžete tým ochrániť ďalších ľudí.
Test na detekciu phishingu
Ak si nie ste istí, či je webová stránka bezpečná, vyskúšajte tento nástroj na detekciu škodlivých URL adries.
Test na rozpoznanie phishingového e-mailu
Ste zvedaví, či dokážete rozpoznať bezpečný e-mail od škodlivého? Otestujte svoje znalosti na praktických príkladoch.
Záver
Phishing je kybernetický útok, ktorý môže viesť k zneužitiu identity, odcudzeniu online účtu a v tom najhoršom prípade až strate finančných prostriedkov. Majte preto na pamäti naše tipy na prevenciu a ochranu. No v prvom rade zvyšujte svoje povedomie o kybernetickej bezpečnosti na internete.
Chceli by ste sa cítiť na internete bezpečnejšie? Zistite viac o našom e-mailovom klientovi s antispamovou a antivírusovou ochranou a bezpečnosťou chránenou SSL certifikátom.
antimalware.cz
cisco.com
csoonline.com
researchgate.net
itgovernance.co.uk
phishing.org
techbyte.sk
techradar.com
zdnet.com