Phisherov si môžete predstaviť ako takých rybárov bez preukazu, ktorí chytajú svoje rybky na čoraz sofistikovanejšie návnady v bludných vodách internetu. Poďme si to ale vysvetliť trochu zrozumiteľnejšie.
Čo je phishing, a ako funguje?
Phishing je typ kybernetického útoku, ktorý má najčastejšie podobu podvodného e-mailu, falošného príspevku na sociálnej sieti či podozrivého volania a sms-ky.
- Podvodný e-mail má prinútiť príjemcu vyplniť prihlasovacie údaje vo formulári v prílohe alebo kliknúť na hypertextový odkaz, ktorý ho presmeruje na nepravú Landing Page banky či inej inštitúcie.
- Falošný príspevok na sociálnej sieti (napr. príliš lákavá súťaž alebo ponuka, ktorá sa vás snaží nalákať na vyplnenie údajov z platobnej karty).
- Podozrivá SMS správa na firemnom telefóne, čo sa tvári ako úžasná výhra alebo doručovacia sms-ka od donášky jedla, čo vás vyzýva k vyplneniu platobných údajov. I to sú podoby phishingu s názvom smishing.
- Podvodné volanie z banky s cieľom získať bezpečnostné kódy z SMS prihlasovania v Internet Bankingu sa zas nazýva vishing. Rovnako ako pri smishingu nikdy nehovorte a neposielajte svoje osobné prihlasovacie údaje niekomu, koho identitu nemáte overenú.
Čo je cieľom phishingových útokov?
Cieľom hackerov (phisherov) je pomocou phishingu získať prístup do internetového bankovníctva a "vybieliť vám účet" či nainštalovať sofistikovaný bankový malvér, ktorý vám bude pravidelne strhávať poplatky.
Zlaté pravidlo znie: „Banky od svojich klientov nikdy nechcú PIN alebo prihlasovacie údaje e-mailom. Vždy sa radšej telefonicky najskôr spojte so zamestnancom banky, s ktorým ste podpísali zmluvu, alebo s niekým zo zákazníckej podpory, či ide o pravdivý e-mail, alebo phishing“.
Motiváciou k phishingu môže byť i snaha zhromaždiť prihlasovacie údaje kľúčových zamestnancov veľkých firiem, ktorí manipulujú s citlivými dátami či s veľkými peňažnými prostriedkami spoločnosti. Takýto phishing sa nazýva spear phishing.
Spear phishing je na prvý pohľad dôveryhodne vyzerajúci e-mail, ktorý zamestnanca vyzýva, aby sa prihlásil prostredníctvom formuláru alebo odkazu v tele správy.
Medzi varovné signály spear phishingového e-mailu patrí:
- naliehavý tón e-mailu,
- nezvyčajné alebo všeobecné oslovenie od niekoho, s kým si tykáte,
- e-mailová adresa, čo vyzerá ako vytvorená genericky,
- doména bez https://protokolu,
- urgentná žiadosť o osobné a citlivé informácie.
Znakom podvodného e-mailu môže byť i nesúvisiaci predmet alebo čudný čas odoslania (útočníci často fungujú v inom časovom pásme).
Ako môžu firmy zabrániť phishingovým útokom?
Firmy musia zamestnancom pravidelne vysvetlovať ako rozoznať phishingové e-maily a správy, a čo majú robiť, ak sa stanú obeťou podvodu. Pripomínať im, že nikdy nemajú nikomu posielať svoje heslá a prihlasovacie údaje, ale podozrivý e-mail vždy nahlásiť IT oddeleniu alebo manažmentu spoločnosti.
Najlepšie sa to zamestnanci naučia v praxi. Preto niektoré korporácie posielajú svojim zamestnancom e-maily, ktoré sa tvária ako phishing, a potom sledujú ako na ne podriadení reagujú.
Tip: Myslíte, že vy to nepotrebujete, a viete ľahko rozoznať podvodné e-maily a správy? Urobte si kvíz od OpenDNS nebo od Google, a zistite ako na tom ste.
Ako sa phishingu brániť?
Pred phishingom sa môžete lepšie ochrániť pomocou anti-phishingových a anti-malvér riešení. Tieto programy oceníte i pri tzv. homoglyfoch. Homoglyfy sú phisherké útoky, pri ktorých sú písmena v URL adrese nahradené písmenami z inej (podobnej) abecedy. Tento trik sa nedá rozoznať voľným okom, preto je bezpečnostný program nevyhnutný.
Okrem inštalácie bezpečnostného programu sa držte zásady neposkytovania žiadnych osobných údajov bez overenia identity druhej strany, obzvlášť ak sa vám niečo nezdá! Neklikajte hneď na podozrivé odkazy a nesťahujte žiadne prílohy v naliehavo znejúcich e-mailoch!
Tipy, čo vyskúšať
Zistite, kam vedie odkaz v podozrivom e-maily bez rozklikávania. Skopírujte link a overte si ho pomocou jedného z týchto užitočných pomocníkov: Urlex, Checkshorturl nebo Wheredoeslinkgo.
Chcete sa dozvedieť či odkaz neobsahuje počítačové vírusy? Vyskúšajte nástroj Virustotal.com.
Zaujímavosti o phishingu na záver
- Medzi obľúbené spôsoby phishingu počas pandémie patrili podvodné e-maily o zmenách v home office, e-maily o očkovaní či falošní chatboti na e-shopoch.
- Google zaregistroval 17.1.2021 až 2 145 013 phishingových stránok, čo predstavuje 27 % nárast za 12 mesiacov.
- Až 75 % organizacii z celého sveta zažilo v pandemickom roku 2020 nejakú formu phishingového útoku.
(Zdroje obrázkov: Pixabay)
© 2024 • WEBNEWS