Phishing

Reading time icon

5 minut branja

Reading time icon

5 minut branja

Phishing je oblika napada s socialnim inženiringom, pri katerem storilec posnema zaupanja vredno osebo ali organizacijo ter od žrtve zahteva občutljive podatke.

Zaščitite se

Kaj je phishing?

Tehnika, ki se uporablja za pridobivanje dragocenih uporabniških podatkov, ki jih napadalci lahko prodajo ali zlorabijo za zlonamerne namene, kot so izsiljevanje, kraja denarja ali kraja identitete.

Si že kdaj prejel/-a e-pošto, SMS ali drugo elektronsko sporočilo, ki je na videz prišlo iz banke ali katere druge priljubljene spletne storitve, v katerem so te prosili, da “potrdiš” svoje podatke za prijavo, številko kreditne kartice ali druge občutljive informacije? Če je tvoj odgovor da, potem že veš, kako izgleda običajen phishing napad.

Izvor izraza

Koncept je bil prvič opisan leta 1987 v konferenčnem prispevku Jerryja Felixa in Chrisa Haucka z naslovom »System Security: A Hacker’s Perspective« (1987 Interex Proceedings 1:6). Prispevek je obravnaval tehniko, pri kateri napadalec posnema zaupanja vredno entiteto ali storitev. Sama beseda je homofon besede »fishing« (ribolov) – saj uporablja enako logiko »vabe in ulova«. Začetni »ph-« pa se nanaša na »phreaks«, skupino hekerjev, ki so v devetdesetih letih preizkušali in nezakonito raziskovali meje telekomunikacijskih sistemov.

Phishing image

Kako deluje phishing?

Phishing obstaja že več let in v tem času so napadalci razvili široko paleto metod za napadanje žrtev.

Najpogostejša tehnika phishinga je, da se prek elektronske pošte izdaja za banko ali finančno institucijo, da se žrtev zvabi v izpolnjevanje lažnega obrazca v elektronskem sporočilu ali v prilogi k njemu ali v obisk spletne strani, na kateri se zahteva vnos podatkov o računu ali prijavnih podatkov.

Preberi več

Informacije, ukradene žrtvam, se običajno zlorabijo za praznjenje njihovih bančnih računov ali pa se prodajo na spletu.

Podobni napadi se lahko izvajajo tudi preko telefonskih klicev (vishing) ali preko SMS sporočil (smishing).

Spearphishing

Naprednejša oblika phishinga, pri kateri na videz pristna sporočila prispejo v nabiralnike določenih skupin, organizacij ali celo posameznikov. Avtorji spearphishing e-pošte predhodno opravijo podrobno raziskavo o svoji tarči (ali tarčah), zaradi česar je težko prepoznati vsebino kot prevaro.

Whaling

Napadi, usmerjeni na določene, večinoma visokoprofilne poslovne osebe – kot so najvišji vodstveni delavci ali lastniki podjetij – se imenujejo “whaling”, zaradi velikosti morebitnega plena (napadalci ciljajo na “velike ribe”).

Kako prepoznati phishing

V preteklosti so se za ta namen pogosto uporabljala napačno napisana ali zavajajoča domenska imena. Danes napadalci uporabljajo bolj sofisticirane metode, zaradi česar so povezave in ponarejene strani zelo podobne svojim legitimnim prototipom.

E-pošta ali elektronsko sporočilo lahko vsebuje uradne logotipe ali druge znake ugledne organizacije, vendar je še vedno lahko delo phisherjev. Spodaj je nekaj namigov, ki vam lahkopomagajo prepoznati phishing sporočilo.

Sumljivi znaki

  1. Splošni ali neosebni pozdravi – Če sporočilo ni osebno (npr. »Spoštovani kupec«) in ni zapisano v ustrezno formalnem tonu, je to lahko znak za sum. Enako velja za navidezno personalizacijo z naključnimi ali izmišljenimi referenčnimi številkami.
  2. Zahteva po osebnih podatkih – Pogost pristop pri phishing napadih, ki pa se mu banke, finančne ustanove in večina spletnih storitev običajno izogibajo.
  3. Slaba slovnica – Pravopisne napake, tipkarske napake in nenavadne formulacije pogosto kažejo na lažno sporočilo (čeprav njihova odsotnost še ne pomeni, da je sporočilo pristno).
  4. Nepričakovano sporočilo – Nepredviden stik s strani banke ali spletnega ponudnika storitev je zelo nenavaden in zato sumljiv.
  5. Občutek nujnosti – Phishing sporočila pogosto ustvarjajo pritisk, da bi žrtev hitro in nepremišljeno ukrepala.
  6. Ponudba, ki je ne morete zavrniti? – Če se sporočilo zdi preveč dobro, da bi bilo res, potem skoraj zagotovo ni resnično.
  7. Sumljiva domena – Bi ameriška ali nemška banka res pošiljala e-pošto z naslova v kitajski domeni?

Kako se zaščititi pred phishingom

Da bi se izognili phishingovski vabi, bodite pozorni na zgornje kazalnike, po katerih se phishingovska sporočila
običajno izdajo. Sledite tem preprostim korakom:

Bodite pozorni na nove tehnike phishinga

Sledite poročilom medijev o phishing napadih, saj lahko napadalci izumijo nove tehnike za zvabljanje uporabnikov v past.

Ne razkrivajte svojih osebnih podatkov

Vedno bodite pozorni, če vas elektronsko sporočilo od navidezno zaupanja vredne osebe prosi za vaše poverilnice ali druge občutljive podatke.

Premislite dvakrat, preden kliknete

Če sumljivo sporočilo vsebuje povezavo ali prilogo, ne klikajte nanjo in je ne prenesite. S tem bi lahko prišli na zlonamerno spletno stran ali okužili svojo napravo z zlonamerno programsko opremo.

Redno preverjajte svoje spletne račune

Tudi če ne sumite, da bi vam nekdo hotel ukrasti vaše podatke za prijavo, redno preverjajte svoje bančne in druge spletne račune, ali ni na njih sumljivih dejavnosti. Za vsak primer.

Uporabite zanesljivo rešitev proti phishing-u

Uporabite te tehnike in uživajte v varnejši tehnologiji.

History of phishing image

Pomembni primeri

Sistematično phishing je začelo v omrežju America Online (AOL) leta 1995. Da bi ukradli legitimne podatke za prijavo v račun, so napadalci stopili v stik z žrtvami prek AOL Instant Messenger (AIM), pogosto se pretvarjajoč, da so zaposleni v AOL, ki preverjajo gesla uporabnikov. Izraz »phishing« se je pojavil v novičarski skupini Usenet, ki se je osredotočala na orodje imenovano AOHell, ki je avtomatiziralo to metodo, in ime se je prijelo. Ko je AOL leta 1997 uvedel protiukrepe, so napadalci ugotovili, da lahko isto tehniko uporabijo tudi v drugih delih spletnega sveta – in se usmerili v ponarejanje finančnih institucij.

Drugi primeri iz preteklosti

Eden prvih velikih, čeprav neuspešnih poskusov se je zgodil leta 2001, ko so izkoristili kaos po terorističnih napadih 11. septembra. Phisherji so po e-pošti poslali sporočila, v katerih so nekatere žrtve prosili za preverjanje identitete, da bi pridobljene podatke zlorabili za krajo finančnih podatkov iz storitve za digitalno valuto e-gold.

Potrebnih je bilo le še tri leta, da se je phishing trdno uveljavil v spletnem svetu, in do leta 2005 je ameriške uporabnike že stal več kot 900 milijonov ameriških dolarjev.

Glede na APWG Global Phishing Survey je bilo v letu 2016 zabeleženih več kot 250.000 edinstvenih phishing napadov, pri čemer je bilo uporabljeno rekordno število zlonamerno registriranih domenskih imen – več kot 95.000. V zadnjih letih se phisherji osredotočajo predvsem na bančne, finančne in denarne storitve, stranke e-trgovine ter podatke za prijavo v družbena omrežja in e-pošto.

ESET vam ponuja nagrajeno varnost

ESET HOME SECURITY PREMIUM BOX

ESET HOME Security Premium

Močna in enostavna za upravljanje zaščita, ki blokira prevare, šifrira občutljive podatke in varuje mape ter spletne transakcije. Vključuje integrirano VPN za večjo zasebnost. Varuje naprave Windows, macOS, Android in iOS.

Kupite zdaj
Preizkusite brezplačno
 

Največja digitalna varnost za podjetja

Zaščitite končne naprave, poslovne podatke in uporabnike vašega podjetja
z večplastno tehnologijo ESET.

Najvišja raven digitalne varnosti za podjetja

Zaščitite končne točke, poslovne podatke in uporabnike vašega podjetja z večplastno tehnologijo ESET.

Raziščite rešitve
Raziščite rešitve

Povezane vsebine

Trojan horse image

Trojan Horse

Antivirus icon

Antivirus

Malicious cryptominers image

Cryptominers

Firewall image

Firewall

Identity Theft image

Identity Theft

Malware image

Malware

Ransomware image

Ransomware

Spam image

Spam