Tvůrci phishingových spamů mají stejný předmět činnosti jako třeba falešní opraváři. Na rozdíl od nich ale využívají toho, že jsou téměř nepolapitelní a dokážou zasáhnout najednou řádově vyšší množství potenciálních obětí. Napálených uživatelů jsou pouhá promile, při množství obeslaných e-mailových schránek se ale kyberzločincům útok stále vyplatí.

Typický phishingový e-mail se snaží vypadat jako oficiální žádost od banky. "Vaše heslo k bankovnímu účtu vyprší již za 24 hodin,“ píše se v těle zprávy, která odkazuje na falešnou webovou stránku. Ta pak obsahuje formulář sloužící ke změně hesla. Autorům záleží na tom, aby vás ani nenapadlo, že může jít o podvod. K tomu využívají prvky sociálního inženýrství a komunikační styl, který na první pohled nelze rozeznat od běžných informačních e-mailových zpráv.

Tvůrci phishingu sledují souběžně dva trendy. Jeden z nich cílí na co možná nejširší záběr, a tak jsou ve svých zprávách co nejméně konkrétní. Objevíte v nich prosté slovní spojení jako internet banking spolu s dalšími „tradičními“ atributy, většinou v angličtině. Druhý a zákeřnější způsob kopírující aktuální vývoj ve světě spamu se zaměřuje na personifikovanou komunikaci. Přesně zacílená zpráva umí přelstít i zkušenějšího uživatele.

Ostražitost, která by vám zabránila v reakci na snadno odhalitelný podvod, slábne při použití pro vás zajímavých témat, konkrétního produktu, který využíváte, při důvěrném oslovení nebo oslovení netradičním komunikačním kanálem. Phishing totiž nezahlcuje pouze e-mailové schránky. Dnes už na něj narazíte běžně v instant messagingových programech nebo na sociálních sítích.

Antispamové filtry a vzrůstající počítačová gramotnost uživatelů jsou impulsy, které kyberzločinci vnímají a přehodnocují podle nich svou strategii. Majitelé mobilních telefonů budou podle bezpečnostních expertů čím dál častěji čelit SMiShingu, což je phishing šířený prostřednictvím SMS. Umíráček naopak zvoní neadresnému spamu se širokým záběrem.

Zlaté pravidlo obrany proti phishingu říká, že nejpodezřelejší na něm je už samotný způsob oslovení. Fakt, že vás někdo vyzývá ke změně hesla, aktualizaci osobních údajů nebo aktivaci doplňkové služby tímto způsobem je vždy krajně podezřelý. Banky a další seriózní instituce takový postup nikdy nepoužívají! U seriózních institucí navíc takové operace probíhají pouze v zabezpečeném rozhraní (poznáte podle zeleného https v adrese prohlížeče). Jestliže objevíte podezřelý e-mail ve schránce, ignorujte ho a v případě pochybností kontaktujte svou banku oficiální cestou.