Phishing je podvodná technika využívající informační a komunikační technologie k získávání citlivých údajů – přihlašovacích údajů k různým webovým službám a aplikacím, hesel, čísel kreditních karet apod. Zpravidla je v prvotní fázi celého podvodu užito sociální inženýrství.

Princip celého podvodu spočívá ve velmi věrohodném napodobení žádosti (např. z banky nebo obdobné instituce), upozornění od provozovatele emailové schránky nebo sociální sítě tak, aby uživatel byl „nucen“ zadat své přihlašovací údaje. Tyto zprávy a žádosti jsou šířeny převážně emailem. Ten rovněž obsahuje odkaz, na nějž je nutné kliknout k následnému přihlášení. Po odkliknutí odkazu se však uživatel neocitá na webových stránkách instituce, která je v emailu uváděna, ale na podvržených webových stránkách útočníka, jenž je vytvořil prakticky k nerozeznání od webových stránek instituce uvedené v emailu. Zadáním přihlašovacích údajů do formuláře na takto podvržených webových stránkách je uživatel „předává“ útočníkovi k dispozici a ten je poté využije ke svému prospěchu, ať se jedná o přihlašovací údaje k internetovému bankovnictví, emailové schránce nebo profilu na sociální síti. V poslední době se zprávy s phishingovým odkazem šíří přes sociální sítě. Často i zkušený uživatel může mít problém tento druh podvodu odhalit.

Příklady phishingu

Nevyžádaná pošta (spam) obsahující prvky sociálního inženýrství s odkazem na podvodné webové stránky (phishing).
Podvržené (falešné) webové stránky internetového bankovnictví České spořitelny.
Skutečné (pravé) webové stránky internetového bankovnictví České spořitelny s platným certifikátem zabezpečené komunikace.

Příběh

Útočník zašle na vybrané emailové adresy zprávu (spam), kterou v rámci sociálního inženýrství bude modelovat tak, aby se tvářila jako urgentní zpráva z banky uživatele:

(… je nutné aktualizovat zabezpečení vašeho internetového bankovnictví, klikněte na tlačítko PŘIHLÁSIT …).

A v případě, že uživatel na tlačítko PŘIHLÁSIT klikne, sociální inženýrství splnilo svou úlohu a může následovat další podvodná praktika, v tomto případě phishing.

Poté se otevřou webové stránky, vizuálně a funkčně totožné jako webové stránky vybrané banky, avšak falešné. Pokud uživatel vyplní přihlašovací údaje do své banky na těchto podvodných webových stránkách, zadané údaje dobrovolně předává útočníkovi.

Kombinaci spamu obsahujícího sociální inženýrství a následného phishingu

lze v nadsázce označit za jednu ze spolehlivých cest kybernetického útočníka k osobním údajům oběti,

včetně přístupů do bankovních účtů.

Jak se chránit?

  • Kontrolujte ve webovém prohlížeči korektnost webové adresy, na které se nacházíte.
  • Banka, ani žádná podobná instituce, vás nebude žádat o přihlášení, obnovu certifikátu, ověření nebo změnu přihlašovacích údajů prostřednictvím emailu! Ověřujte odesílatele, na vložené odkazy neklikejte a email rovnou smažte.
  • Pokud nainstalujete program nebo aplikaci, která bude požadovat přihlášení (např. k vašemu profilu na sociální síti), buďte obezřetní. Zadáním přihlašovacích údajů je vydáváte třetí straně – možnému útočníkovi!
  • Při komunikaci s institucemi (jako je např. banka) prostřednictvím webového rozhraní buďte obezřetní. Sledujte, zda jste na správné webové adrese a zda jste připojeni přes zabezpečené spojení.
  • Phishingové útoky vedené ze zahraničí lze rozeznat např. ze špatné češtiny v textu emailu zaslaného v prvotní fázi útoku.
Zdroje:
KOHOUT, Roman a Radek KARCHŇÁK. Bezpečnost v online prostředí. Karlovy Vary: Biblio Karlovy Vary, 2016. ISBN 978-80-260-9543-9.
Pictures:
Featured image: https://pixabay.com

Související články

Podvodníci to tentokrát zkoušejí přes Lidl

Zejména na sociální síti Facebook se dnes objevila další podvodná reklamní kampaň, tentokrát zaměřená na zákazníky obchodního řetězce Lidl. Přitom naprosto stejné podvodné jednání před několika týdny bylo zaměřeno na zákazníky akvaparku Aquapalace Čestlice. Nebuďte těmi, co naletí ! Podvod je totiž možné rozeznat ihned na první pohled. Obchodní řetězec Lidl má doménu lidl.cz, NIKOLIV lidl-cz.win [...]

Nadace ČEZ podpořila projekt www.internetembezpecne.cz

3/2018 Nadace ČEZ podpořila vzdělávací aktivity pro děti na školách a další rozšíření webu www.internetembezpecne.cz. Nadace ČEZ podpořila realizaci odborných přednášek na školách v Karlovarském kraji. Tyto vzdělávací aktivity proběhly např. v Logistické škole v Dalovicích, na Gymnáziu v Chodově či na Střední průmyslové škole v Ostrově. Celkem bylo realizováno 7 přednášek a zúčastnilo 334 dětí. Hlavními tématy těchto odborných [...]

Co vše o mě ví (nejen) Facebook? Jak stáhnout svá data.

Zkusili jste se někdy zamyslet nad tím, kolik toho na vás jako uživatele ví samotný král sociálních sítí Facebook? Nebo spíše, kolik jste mu toho za ta léta stačili prozradit? A co tedy lze o Vás teoreticky dohledat? V době, kdy se ochrana dat řeší s vysokou prioritou nebude zcela od věci zkontrolovat si, jaká osobní data [...]

Jste škola a přemýšlíte o vzdělávací akci pro své žáky?