Phishing

Phishing a jak se před ním chránit

25.05.2024

Co je phishing a jak jej rozpoznat? Přečtěte si článek, ve kterém se věnujeme jednomu z nejrozšířenějších kybernetických útoků, jehož počet „obětí“ neustále stoupá navzdory stále lepší informovanosti veřejnosti. Ochraňte svoji identitu, cenná data i peníze. Zjistěte, jak se bránit před phishingem.

O čem se dočtete:

Co je phishing

Jak funguje phishing

Jak poznat phishing

Jak se bránit proti phishingu

Jaké druhy phishingu existují

Co dělat, pokud jste se stali obětí phishingu

Bonusové tipy

Co je to phishing?

Phishing je nebezpečný kyberútok, nejčastěji prováděn prostřednictvím zasílání podvodných e-mailů a SMS. Některé se tváří i jako dobře známý spam. Cílem útočníka je zmanipulovat příjemce tak, aby mu svévolně sám předal citlivé osobní informace, které zneužije k nezákonnému obohacení, způsobení škody či – v případě ukradení identity – i k dalším útokům apod. Útočníkům jde ve většině případů o údaje vaší platební karty a přístup do vašeho bankovního konta. Navzdory stále intenzivnější snaze zvýšit povědomí o tomto způsobu ilegální činnosti u laické veřejnosti jsou tyto nezákonné praktiky v současnosti na vzestupu.

Phishing je produktem sociálního inženýrství. Útočník se vydává za osobu nebo firmu, kterou důvěrně znáte, vytvoří situaci, která vás dostane pod tlak a čeká, zda se na tento „háček“ chytíte. Phishing totiž pracuje s emocemi strachu, viny a vytváří naléhavé situace, které si žádají okamžitou reakci. Proč si dát pozor na podvodné e-maily a zprávy? Protože neetičtí hackeři nahazují nebezpečné návnady, kvůli kterým můžete přijít nejen o všechny své úspory, ale v nejhorších případech i o celý majetek.

Jak funguje phishing?

Útočník rozešle e-mail, krátkou textovou zprávu (SMS) nebo napíše komentář pod ten váš na sociální síti, případně vám rovnou přijde zpráva do chatu. Obsah zprávy je převážně koncipován jako výzva na uhrazení nějaké platby, služby nebo na přihlášení se do vašeho bankovního účtu, eventuálně se odkazuje na nutnost přihlášení se do nějakého soukromého konta, informuje o závažném stavu vašeho blízkého a dotazuje se na ověření jeho totožnosti. Častým phishingem je i zpráva, která vás žádá o změnu hesla, protože to původní prý bylo vyzrazeno. Příkladů je opravdu mnoho.

Součástí textu bývá odkaz, na který je nutno kliknout, abyste „situaci“ vyřešili. Stačí jediný klik a vy nevědomky schválíte finanční transakci z vašeho účtu na cizí, a to prakticky bez povšimnutí. Peníze odcházejí na cizí účet. IP adresa je nevystopovatelná, nebo těžko dohledatelná, dokonce i IT specialisty. Útočníkem totiž nebývá jednotlivec, ale organizovaná skupina hackerů, aktivní po celém světě. Kromě loga známé firmy či „slovníku“ přítele, se objevují ve zprávách i fotografie a různé fotomontáže, videa pořízená ve spolupráci s AI (AI phishing je den ode dne dokonalejší), které jsou k nerozeznání od reality. Dokonce už nemusíte ani kliknout na odkaz, najdou se případy, kdy stačí, že otevřete e-mail, přečtete si zprávu či ji přepošlete. Architektura phishingových textů je stále sofistikovanější.

Jak poznat phishing

Tak jak se proti phishingu účinně bránit? Nejprve musíte umět rozpoznat varovné signály. Věřte-nevěřte, ale snad už není nikdo, kdo ještě „nezažil“ phishingový útok. Podvodný e-mail, esemeska, komentář na Facebooku, podivuhodný telefonát či zpráva v Messengeru… Vypadají normálně, ale něco na nich nesedí. Vždyť přece nečekáte na žádný balík z ciziny, za který by bylo třeba zaplatit clo, ani nemáte problém s platební kartou, který by vyžadoval její zablokování, a stejně tak nenakupujete na stránce, jež vám „údajně“ vrací platbu za zakoupené zboží. A ne, bohužel jste ani nemohli vyhrát v soutěži, které jste se nezúčastnili. Níže zmiňujeme ty nejčastější a nejznámější formáty phishingu, s nimiž se můžete setkat jako soukromá i právnická osoba, a základní postup identifikace phishingu.

1. Vyhodnoťte obsah zprávy. Vzbuzuje zpráva silný pocit naléhavosti a vyzývá k urgentnímu jednání? Pokud nevíte, o co jde, na zprávu nereagujte. V žádném případě neklikejte na žádný odkaz. Zprávu ignorujte.

Pokud jste si jisti, že jste si nic neobjednali, nezúčastnili jste se soutěže ani není zvykem, že by vás přítel žádal o půjčení peněz jen tak přes Messenger, s vysokou pravděpodobností se jedná o podvod. Máte zaplatit za nějakou službu, balík nebo objednávku, ale nevzpomínáte si, že byste si nějaké vůbec objednali nebo vytvořili? Hrozí vám zablokováním bankovního účtu, pokud nezaplatíte clo nebo poštovné, vaše zásilka ze zahraničí nebo balík z pošty nebudou doručeny? Váš přítel, kterého máte na sociální síti, vám píše do chatu, že zahynul někdo, kdo vám je blízký, případně, že na „net“ unikly intimní fotky, na kterých jste pravděpodobně vy? Vzorových zpráv bychom našli tisíce. K vyhodnocení rizika stačí použít zdravý rozum.

2. Zkontrolujte gramatiku a stylistiku. V textu jsou zjevné gramatické chyby, popletené vykání s tykáním, překlepy, slova nedávají smysl, části textu, názvy země aj. jsou cizojazyčné? To je velmi podezřelé!

Častokrát se můžete setkat také s e-mailovým phishingem, kterým je přeposlání zprávy z jiné adresy (známé „RE“, „FWD“ v předmětu atd.). Soustřeďte se na předmět zprávy i její další „vizuální znaky“, jako je písmo, různé nesouvisející znaky, symboly namísto písmen, nesmyslné větné konstrukce, chybné skloňování, nechtěné odstavce a odskoky v textu, mezery, nesprávné oslovení nebo špatná interpunkce. Vždyť kdo by neměl tendenci rozkliknout předmět se zněním „RE: Vrácení platby“? Pokud ale víte, že např. vaše banka takto nekomunikuje, případně, že neočekáváte od nikoho žádnou platbu a ani jste nikoho o nic podobného nežádali, raději se tomuto e-mailu/zprávě vyhněte, minimálně si ji vícekrát přečtěte a ověřte informace v ní uvedené.

3. Zkontrolujte si e-mailovou adresu odesílatele. Je-li jiná než oficiální adresa instituce, za kterou se vydává (můžete si ji ověřit přes Google), zpozorněte a obsah mailu si raději dvakrát prověřte.

U e-mailu se častokrát útočníci snaží mít vše dokonalé, ale oficiální adresa domény bývá odlišná od té reálné, která přísluší dané firmě nebo instituci, která „jakože“ e-mail odeslala. Odesílatelem může být i zahraniční firma, která reálně existuje, pravděpodobně však byla její oficiální adresa zneužita. Zkontrolujte si proto např. staré zprávy či e-maily a porovnejte si adresu odesílatele. Případně volejte na zákaznickou linku nebo osobně navštivte pobočku dané společnosti, pokud si nejste jisti. Instituce jako banky, pošta apod. nežádají o heslo, PIN ani údaje o kartě přes e-mail či SMS. Jste starší člověk a neorientujete se ve světě internetu? Zavolejte blízkým a seznamte je se situací, určitě vám pomohou a poradí.

4. Máte pochybnosti? Kontaktujte danou pobočku instituce, e-shop, blízkého, příslušné policejní orgány.

Navštivte oficiální webovou stránku instituce, kontaktujte ji telefonicky nebo osobně, navštivte nejbližší pobočku. Zavolejte známému, napište mu, jestli vám poslal nějakou zprávu apod. Zvýšená obezřetnost je v těchto případech na místě a není ostudou. Jde tu přece o váš majetek, vaši identitu.

Některé banky ve svých aplikacích obvykle informují o podvodech, které jsou vytvářeny jejich jménem, například, když vás kontaktuje zaměstnanec, přijde vám informace do aplikace, že vás kontaktoval jejich zaměstnanec, abyste nenaletěli nějakému podvodu.

Jak se bránit proti phishingu

Nejlepší obranou je použít racionální myšlení a, jak jsme již zmiňovali, zdravý rozum. Stejně se nebojte poprosit o pomoc lidi, kterým důvěřujete. Pokud něco neznáme, nerozumíme tomu, raději se zeptat, než později litovat a plakat nad nulou na účtu. Pojďme si nyní představit 6 způsobů, jak se bránit proti phishingu.

1. Silné heslo. Heslo je klíč, který otevírá dveře do světa vašich citlivých informací. Heslo musí být silné. Optimálně pro každý účet a stránku jiné. Co to znamená? Vytvořte si kombinaci číslic, malých a velkých písmen, interpunkce a různých znaků. Také, pokud je to možné, využijte vícestupňové ověření na svých zařízeních.
2. Budujte si povědomí. Hackeři nespí, kráčejí s dobou. Dělejte to i vy a informujte se a vzdělávejte se o světě počítačových technologií a bezpečném chování na internetu. Rozpoznávejte fakta a nenaleťte na falešné hoaxy.
3. Ochraňte svou síť. Ať už jste jednotlivec nebo firma, investujte do zabezpečení sítě a programů, které je rozpoznají a ochrání síť před útoky. Instalujte si anti–phishing software a chraňte svůj majetek a citlivé údaje. Takový software vás upozorní například na falešnou stránku ještě před jejím ověřením atp.
4. Neotvírejte přílohy. Neklikejte na odkazy a neotevírejte podezřelé dokumenty a obrázky, které neznáte a absolutně netušíte, od koho a odkud přišli. Klidně se může jednat o odkaz na nějaké zábavné video od kamaráda, háček je ale v tom, že ten kamarád vám nepsal už léta.
5. Neposkytujte osobní informace. Samozřejmě zde platí, že je třeba odlišovat, kdy jde o nevyžádanou žádost o citlivé údaje a kdy je to naopak normální. Jste v bance a prosí si fotokopii vašeho OP, to je v pořádku. Píše vám muž na sociální síti, který vypadá na fotce jako velký fešák a slibuje vám, že s ním budete mít nádherný život, a k tomu se vezmete, ALE potřebuje, abyste mu poslali peníze na cestu? Velké ALE zde značí, že toto je do očí bijící podvod. Nenaleťte jen tak někomu a nedávejte jen tak někomu vaše údaje. Ani když jste s ním v kontaktu již několik měsíců, pamatujte, podvodníci mají velkou trpělivost. Vše si ověřujte vícekrát!
6. Kontrolujte si stav účtu. Mějte přehled o svých transakcích, sledujte pravidelné pohyby svých peněz a nastavte si upozornění na transakce. Takovým chováním umíte předejít útokům nebo minimálně včas reagovat na podezřelé aktivity.

Nejznámější typy phishingů

E-mail phishing: Nejčastější forma této ilegální činnosti. E-mail je rozeslán více adresátům ve stejné podobě.

Spear phishing: „Návnada na míru“. Útočníci se předem seznámí s osobou nebo organizací, od které se snaží ulovit cenná data a pošlou jí zprávu, která nepůsobí až tak nesmyslně. Už jste v podstatě „hacknutý“, protože váš účet na sociální síti a celkové chování na internetu je sledováno delší dobu. Čeká se už jen na ten správný moment, například, když si objednáte zásilku ze zahraničí a vám přijde zanedlouho výzva k úhradě dodatečného cla apod. Výjimkou nejsou ani phishingy spojené s vašimi blízkými, kteří jsou také sledováni. Odjedou na dovolenou a zažádají o finanční pomoc nebo úhradu nějakého poplatku na dálku. Kreativita této „profese“ nezná hranice.

Whaling: V souvislosti s významem anglického slovíčka „whale “ (velryba) – jde o rafinovanější phishing, mířený na velké „ryby“, tedy firmy, známé podnikatele a vysoce postavené manažery.

Vishing: Podvody uskutečňované telefonicky. Čísla mají často zahraniční předvolbu, ale mohou být i stejná jako číslo vaší banky. Hlasové zprávy bývají předem nahrané, nebo volající mluví anglicky či lámanou češtinou. Apelují na rychlé úhrady, abyste jim nadiktovali číslo karty, nebo vám sdělí, že si musíte prodloužit licenci programu na počítači, případně máte virus a žádají o připojení na dálku. Případů jsou tisíce. Řada z nich se provádí například i přes aplikaci WhatsApp. Čísla můžete v aplikaci zablokovat i rovnou nahlásit.

Smishing: Zasílání podvodných zpráv, někdy s důvěryhodným číslem.

Quishing: Načtení „infikovaného“ QR kódu mobilním telefonem.

Angler phishing: Vystupování osoby nebo skupiny pod falešnou identitou značky. Častokrát se můžete setkat s populárním příkladem soutěže, který slibuje velmi atraktivní ceny, dovolené prakticky za nic. Známé jsou také cenové „bomby“, když něco můžete koupit za mnohem nižší cenu. Zde je třeba být ostražitý při čtení a ověřování profilu dané stránky, značky. Pokud něco podobného zjistíte, konkrétní značky určitě ocení, pokud je budete o daném phishingu informovat.

Popup phishing: Vyskakovací okno s falešným formulářem nebo žádostí o nějakou platbu apod.

Search engine phishing: Vyhledáváte na Googlu? Dejte si pozor. Mezi prvními výsledky se může objevit falešná stránka nebo výzva k nějakému stažení aplikace, návodu, softwaru, kterým si do svého zařízení „pozvete“ nechtěného sledovatele nebo „okradače“.

MITM (Man in the Middle): Prostředník mezi vámi a institucí, například bankou. Chystáte se platit online? Nebojte se, většinou je to normální a bezpečný způsob. Pozor si ale dejte na nákupy ze stránek, které neznáte, ty, jež mají přesně to, co chcete a za tak málo peněz. Ani si nevšimnete a dojde k přesměrování na platbu přes jinou platební bránu. Sledujte URL adresy (s nimi souvisí zase Homograph phishing) a seznamujte se s těmi, které používáte nejčastěji. Něco je jinak? Ověřte si to.

Bonusové tipy

O phishingu najdete také mnoho dokumentů a podcastů natočených na základě skutečných událostí. Vybíráme pro vás pár tipů, které oslovily nás.

– Dokument o podvodníkovi z Tinderu ( )

– Série Prevíti na síti, podcastová epizoda Vishing aneb phishing po telefonu, seriál o internetové bezpečnosti pro děti od Cyber Academy a mnoho dalších.

Phishingů je opravdu mnoho. Nic vás však neochrání tak, jako vy sami. Doba a technologie se vyvíjejí závratným tempem, a totéž platí i o kvalitě phishingu. Někdy na něj doplatí i ti nejzkušenější. Pokud máte podezření na phishing nebo jste se bohužel stali obětí takové nezákonné aktivity, neváhejte kontaktovat dané instituce či orgány činné v trestním řízení, pokud jde o vyšší částku, klasifikovanou již jako trestný čin. Internet je skvělý pomocník a není třeba se ho bát, jen je třeba se učit umět s ním pracovat.