Phishing … čo to je?

Pripravili sme si pre vás sériu článkov, kde vám postupne priblížime pojmy z “kyberkriminality”. Dnes sa pozrieme na to, čo presne sa skrýva pod pojmom „phishing“.

Phishing je slovo, ktoré môžete počuť, ak vám nejaký kyberzločinec pošle elektronickú správu, v ktorej vás navádza na nejakú aktivitu.

Názov phishing je odvodený od slova “fishing”, čo je v preklade chytanie rýb. Táto metafora vznikla z myšlienky “ chytiť niekoho na háčik a následne ho navinúť (uchopiť).”

Podvodníci tohto druhu (ktorí sa obyčajne nazývajú phishers), používajú e-maily práve preto, lebo je prekvapivo veľmi jednoduché napodobniť správy tak, aby vyzerali skutočne realisticky. Aby bolo jasné, “phishingové” útoky nevyužívajú iba formu e-mailu (aj keď je najčastejšia). Dostať k vám sa môžu aj formou sociálnych médií, SMS správami alebo z iných platforiem na posielanie správ (viber, whatsup…). 

Spear phishing  –  zatiaľ čo klasický phishing spočíva v hromadnom posielaní emailov, “spear” phishing je naopak cielený na adresáta. Útočnik zašle e-mail konkrétnej osobe (zamestnancovi, manažérovi…) – takýto e-mail len ťažko zachytí antispamový filte. 

Pozrite si pár príkladov toho, aké formy phishingu vám môžu pristáť v e-maily: 

->  Príde vám faktúra s podrobným popisom “vášho” nákupu od známeho e-shopu. Faktúra je doplnená o logo a text, ktorý je často kopírovaný z originálnej faktúry. V dolnej časti emailu je dôveryhodne vyzerajúce tlačidlo, ktoré navádza k úhrade platby, overeniu objednávky alebo k prihláseniu sa na stránku. Keďže viete, že ste nákup neuskutončili, máte sklon overiť si danú objednávku. Kliknete ná link v e-maily (napr. na overenie objednávky…) a prihlásite sa. Ak tak urobíte, skončíte na podvodnej stránke a vaše heslo skončí v rukách podvodníkov. 

-> Dostanete e-mail od údajného uchádzača o zamestnanie, ktoré je momentálne inzerované na webových stránkach. K e-mailu býva pripojený súbor, ktorý vyzerá ako dokument obsahujúci životopis. Predpokladáte, že sa jedná o regulérneho uchádzača a prílohu otvoríte. Neúmyselne tak spustíte súbor, ktorý umožňuje podvodníkom implantovať škodlivý softvér do vášho počítača. 

-> Dostanete marketingový e-mail s výzvou na uskutočnenie realisticky vyzerajucého prieskumu výmenou za výhru napr. nákupneho poukazu, nový iPhone či dovolenku. Keďže výhra v súťaži je lákava, prieskum chcete vyplniť. Často sú žiadané vaše osobné údaje ako napr. dátum narodenia, adresa bydliska, údaje o kreditnej karte a pod..  

-> Príde vám e-mail z banky, ktorá z bezpečnostných dôvodov žiada o obnovu vašich údajov, vyplnenie formulára. Email od šéfa, ktorý vás žiada o poslanie peňazí, úhradu faktúry … 

-> Často se môžete stretnúť aj s tzv. vydieračskými e-mailami: “Dostali sme sa k vašej webkamere, nakrútili sme vás, ako sledujete porno stránky/erotické weby. Máme váš email a heslo”. Vydierač od vás bude požadovať peniaze, inak rozpošle vaše fotografie na všetky kontakty z vašej emailovej schránky / messengeru. 

Čo robiť? 

Rozpoznať phishing už nie je také jednoduché ako to bolo kedysi. Útočníci už nerobia také viditeľné chyby ako kedysi. E-maily už často neobsahujú chyby (prekladu) ako zlé hláskovanie, zlý slovosled a jasné gramatické chyby. Phisheri môžu poznať vaše skutočné meno a adresu. Nezačínajú emaily oslovením ako “Dear Sir/ Dear Madam, Vážený pán/pani”, a nepoužívajú už jasne falošnú e-mailovú adresu. 

Pozrite si pár tipov ako bojovať s phishingom. 

-> Nezadávajte heslá do prihlasovacích stránok, na ktoré sa dostanete po kliknutí z e-mailu. 
-> Vyhnite sa otváraniu príloh v e-mailoch od príjemcoch, ktorých 100% nepoznáte. To aj v prípade ak pracujete v oblasti ľudských zdrojov alebo účtovnictva a  často využívate prílohy v elektronickej komunikácií.
-> Ak máte akékoľvek pochybnosti, nikde nezadávajte vaše osobné údaje. Hlavne nie do pochybných súťaži (sociálne siete, e-mail).
-> Odporúčame nastaviť si viacfaktorovú autentizáciu.
-> Nezabúdajte na pravidelné školenia u vás vo firme.
-> V prípade neistoty alepo podozrenia, vždy kontaktujte IT oddelenie.
-> Chránte svoje koncové zariadenia 

Získajte anti-phishing manuál

Máte otázky? K dispozícií sme vám osobne, na emaily alebo telefóne: www.comtec.sk/kontakt

Zdroj: www.sophos.com

Zdieľať článok