Fenomén phishing. Jak se mu bránit?

Podvody v online prostředí mají často podobu takzvaných phishingových útoků. Jde o podvodné e-maily či SMS, ve kterých se odesílatel vydává za důvěryhodného partnera. Například za značku Hyundai či jejího prodejce. Tyto zprávy mají za cíl získat vaši důvěru a následně i osobní údaje.

• Tipy Hyundai pro bezpečné chování v online světě – díl 2.
• Přečtěte si také: Bezpečně na silnici i internetu: Vždy záleží na řidiči

Při phishingu se útočník vydává za někoho, komu byste za běžných okolností důvěřovali – za banku, telefonního operátora, streamovací službu, zástupce automobilky či jejího prodejce nebo dokonce blízkou osobu. Z pozice této důvěryhodné autority vás oslovuje a vyvolává pocit naléhavosti či zvědavost. S pomocí těchto emocí pak mámí vaše citlivá data – přihlašovací údaje, údaje kreditní karty a podobně.

Podvodné e-maily

Phishingový e-mail vypadá, že ho poslala známá instituce (banka, pošta, kurýrní služba aj.). Často obsahuje nebezpečný odkaz na podvodné internetové stránky, které jsou na pohled kopií originálního webu dané instituce a obsahují buď malware (druh viru), nebo chtějí vyplnit citlivá data.

Spear phishing

Zatímco e-maily, které vyžadují citlivé údaje, jsou mnohdy na první pohled podezřelé, o něco sofistikovanější spear phishing už bývá velmi těžko rozeznatelný. V čem tkví jeho rafinovanost? Tento útok není univerzální, ale osobní. Útočník vás po určitý čas sleduje, aby získal potřebné informace. Může například monitorovat vaši aktivitu na sociálních sítích. Díky tomu zacílí přesněji. Klidně vám napíše jménem vašeho kamaráda, o kterém se dozví, že je na dovolené, a požádá vás o zaslání peněz. Nebo zjistí, že jste si objednávali zboží ze země mimo EU, a bude po vás chtít přes „platební bránu“ zaplatit celní řízení.

Strach, zvědavost, naléhavost

Phishingové útoky manipulují s našimi emocemi. Vyvolávají:

• Strach – „Vaše heslo bylo vyzrazeno. Pokud si ihned nezměníte heslo ke svému účtu, vaše osobní údaje mohou být zneužity.“
• Zvědavost – Na Facebooku vám přijde zpráva od „kamaráda“ s odkazem, který „vás zaručeně pobaví“ – kdo by ho ze zvědavosti nerozklikl, že?
• Naléhavost – „Zásilka Vám nemohla být doručena kvůli nedostatku v doručovací adrese. Prosím, přihlaste se do svého účtu a upravte své údaje. Pokud tak neučiníte do 5 dnů, bude zásilka vrácena odesílateli.“ A to přece nechcete.

Jak poznat phishing?

Na první a někdy i druhý pohled je phishing těžké rozeznat. Je ale třeba naučit se vnímat varovné signály a nejednat impulzivně. Zde je sedm užitečných tipů, které vám pomohou phishing rozpoznat:

• Výhružky. Žádná organizace po vás nesmí chtít vaše přihlašovací, osobní či jiné údaje pod pohrůžkou zablokování účtu a podobně. „Pro tuto komunikaci jsou ve většině případů používána speciální hesla, která si zákazník zvolil při zřizování účtu pro danou službu,“ uvádí Národní ústav pro informační a komunikační bezpečnost.
• Očekáváte takový e-mail? U spear phishingu útočník po určitý čas sleduje vaši aktivitu, takže o vás ledacos ví. Kdy slavíte narozeniny, jak se jmenuje váš partner i domácí mazlíček, že je váš šéf na dovolené. Ale opravdu vám šéf z Thajska posílá e-maily se zazipovanými soubory a žádá vás o to, abyste je otevřeli ještě dnes? Když vám přijde takový požadavek a nejste si jistí jeho pravostí, tak odesílateli volejte – není nic snazšího.
• Podezřelé URL adresy. Když vám přijde e-mail s odkazem, zkontrolujte si jeho podobu. Pro phishing je typické používání URL adres, které působí věrohodně jen bez důkladnějšího studování. Lišit se mohou například pouze v doméně (místo .cz je použito .org či .com) nebo je písmeno nahrazeno číslicí (microsoft.com a micros0ft.com). Na první pohled si takového rozdílu nemusíte všimnout.
• Lámaná čeština. Je to sice ve světě phishingu trochu retro, ale pořád se s takovými e-maily setkáte. Zprávy, ve kterých nesedí česká gramatika a věty nedávají smysl, jsou na první pohled podezřelé.
• Velmi výhodná nabídka či nečekaná výhra. Vyhráli jste mobilní telefon nebo vám píše milionář ze Saúdské Arábie? Pokud si nepamatujete, že byste se účastnili soutěže, kde se hraje o mobilní telefon, a majetné známé v cizině nemáte, nenechte se napálit.
• První kontakt. Píše vám někdo, kdo vám nikdy předtím nepsal? Dostat první e-mail není nic neobvyklého. Je však dobré se pozastavit i u takové zprávy. Například Outlook identifikuje každého nového odesílatele. Pokud tedy ze své banky dostáváte e-maily pravidelně a najednou je zpráva z banky označena jako e-mail od nového odesílatele, je potřeba zpozornit.

Jak se chránit před phishingem? Ideálně prevencí

Když už víme, jak phishing poznat, je čas si říct, jak s ním bojovat. Jako to bývá, nejúčinnější je prevence. Jakmile si osvojíte základní zásady kyberbezpečnosti, uděláte pro své soukromí a ochranu citlivých dat nejlépe. Při ochraně před phishingem je důležité především pečlivě chránit svá hesla.

6 zásad prevence proti phishingu

1. Naučte se rozeznat phishing (viz výše).
2. Využívejte dvoufaktorové ověření. Kromě klasického přihlášení uživatelským jménem a heslem se do aplikací budete přihlašovat ještě dalším způsobem – například kódem zaslaným pomocí textové zprávy, autentizací ve speciální aplikaci na mobilním telefonu či otiskem prstu na telefonu.
3. Dbejte na to, abyste měli aktuální verze operačních systémů a aplikací. Jejich zabezpečení se neustále vyvíjí v reakci na nové hrozby. Pomoci mohou antivirové programy schopné odhalit malware i v příloze e-mailu.
4. Pokud se vám e-mail či jiná zpráva zdá podezřelá, zdržte se jakéhokoliv dalšího kroku – neklikejte na odkazy a nestahujte přílohy. Pokud vás e-mail vyzývá k tomu, abyste se na příslušném odkazu přihlásili, vyhledejte si oficiální web odesílatele přímo ve vyhledávači a až tam se přihlaste.
5. Dostali jste nabídku, která je až příliš snová na to, aby to byla pravdivá? Důkladně si ověřte odesílatele, udávanému pořadateli akce neváhejte zavolat a nejednejte ihned v návalu emocí.
6. Naletěli jste a poskytli kyberútočníkovi svá citlivá data? Nepanikařte, ale co nejrychleji požár haste. Změňte si standardní cestou heslo u dané instituce. Pokud stejné heslo využíváte i jinde, změňte ho i tam. Pokud je ohrožen váš bankovní účet, kontaktujte banku.