Phishing

Co je phishing?

Phishing je typ kybernetického útoku pomocí technik sociálního inženýrství, kdy se útočník snaží získat důvěrná data oběti nebo spustit na zařízení oběti škodlivý kód. Nejčastěji probíhá phishingový útok pomocí podvodného e-mailu s žádostí o informace k naší platební kartě nebo přihlašovací údaje do našeho internetového bankovnictví. Výjimkou ale není ani v chatovacích aplikacích a na sociálních sítích.

Původ termínu

První zmínku o phishingu resp. o celém konceptu útoku můžeme najít v dokumentu „System Security: A hacker´s perspective“, v češtině „Bezpečnost systému: Pohled hackera“, od autorů Jerryho Felixe a Chrise Haucka. Dokument se věnuje technice útoku, kdy útočník imituje důvěryhodnou autoritu nebo službu. Slovo phishing je lehká zkomolenina anglického slova pro lov ryb neboli fishing. Analogie je zřejmá – útočník (lovec) nahodí háček s návnadou například v podobě neodolatelné nabídky a čeká na oběť. Záměna písmena f za ph má původu ze slova „phreaks“, což byla hackerská skupina v USA, která ilegálně experimentovala s telekomunikačními systémy v devadesátých letech.

Typy phishingu

E-mail phishing

Většina phishingových zpráv je zasílána e-mailem, který není adresovaný specifické osobě nebo organizaci a je posílán hromadně na velké množství cílů, proto tento typ phishingu označujeme také jako bulk phishing.

Spear phishing

Jde o cílený phishingový útok, kdy si útočník dopředu získá veškeré dostupné informace o cílové skupině či jednotlivci a vytvoří phishingovou zprávu přesně na míru.

Whaling

Whaling je typem spear phishingového útoku, který cílí tzv. na velké ryby čili na vrcholové manažery a majitele firem.

CEO fraud

Faktickým opakem whalingu je CEO fraud, kdy se phishingové zprávy tváří jako by pocházely právě od vysoce postavených manažerů a cílí na ostatní zaměstnance v podniku.

Vishing

V případě phishingového útoku přes telefonní hovor mluvíme o tzv. voice phishingu nebo zkráceně vishingu, česky také podvodném volání. Útočníci pro tyto útoky mohou využívat předem namluvené a automaticky přehrávané zprávy, někdy vytvořené za pomocí generátorů, které převádí text na řeč. Telefonní čísla útočníků vypadají jako čísla reálné instituce, za kterou se vydávají (tzv. spoofing).

Smishing

V případě smishingu nebo také SMS phishingu zasílají útočníci podvodnou zprávu na mobilní telefon. Zpráva většinou vyzývá ke kliknutí na podvodný odkaz nebo obsahuje telefonní číslo či e-mail, přes které má oběť kontaktovat instituci, za kterou se útočníci vydávají.

Page hijacking

Jedná se o typ phishingu, kdy jsou uživatelé nevědomě směřováni na podvodný web. Útočníci vytvoří duplikát již existující webové stránky a internetové vyhledávače začnou tento web upřednostňovat před původním legitimním webem. Případně útočníci kompromitují legitimní webové stránky, aby uživatele přesměrovali na ty škodlivé.

Catfishing

Podvodná činnost, při které si útočník vytvoří na internetu (zpravidla na sociálních sítích) falešnou identitu za účelem kompromitování oběti, navázání vztahů, kyberšikaně nebo kvůli vidině finančního zisku.

Jak phishing poznat?

E-mailová zpráva může obsahovat oficiální logo i další prvky legitimní komunikace, a přesto může jít o phishing. Níže naleznete několik rad, které vám pomohou phishing rozpoznat.

7 rad na rozpoznání phishingu

  1. Neočekávaný e-mail – Nevyžádané e-maily od neznámých osob není nutné otevírat. A když už, pak rozhodně se zvýšenou pozorností.
  2. Požadavek na osobní údaje – Žádná seriózní banka nebo finanční instituce po vás nebude chtít vyplnění hesla do internetového bankovnictví v e-mailu.
  3. Špatná gramatika – Pokud vám zrovna nenapsal váš známý dysgrafik, pak jsou překlepy a špatná čeština varovným signálem, který by mohl znamenat podvodnou zprávu.
  4. Přílišná naléhavost – Útočníci chtějí uživatele donutit provést požadovanou akci co nejrychleji, aby o tom neměl čas přemýšlet. Pokud tedy na vás e-mail příliš tlačí a nutí kliknout na tlačítko či odkaz, a provést zadání vašich přihlašovacích údajů, změnu hesla nebo provést okamžitou platbu buďte ve střehu.
  5. Velmi výhodná nabídka – Zboží zadarmo, služba za nesmyslně výhodnou cenu, nově nalezený příbuzný milionář z Afriky, to vše je typické pro phishing.
  6. Podezřelá e-mailová doména - E-mail je odeslán z veřejné e-mailové domény (např. gmail.com, yahoo.com, seznam.cz) nebo je název domény špatně napsaný (airbank.cz à airbnak.cz).
  7. Podezřelá URL adresa – Adresa odkazu, na který máte kliknout, neodpovídá odesílateli a povaze zprávy. Při přejetí odkazu myší neodpovídá náhled URL adresy názvu odkazu ve zprávě.

Vyzkoušejte all-in-one antivirus

Antivirus pro pro počítače, mobily nebo tablety. Chraňte svůj digitální svět pomocí ochrany vše v jednom ESET HOME Security.

ZJISTIT VÍCE