Hlavní obsah

Facebook je rájem pro podvodníky. Důmyslným trikům už naletí i zkušení

Lenka Zoulová
6:07
6:07

Poslechněte si tento článek

V posledních měsících je v Česku na vzestupu vishing, tedy podvodné telefonáty. Mohlo by se tak zdát, že kyberšmejdi už neútočí jinak než po telefonu. Opak je ale pravdou, nejčastěji totiž útočí prostřednictvím phishingových zpráv, tedy přes e-mail. Doslova rájem je v tomto ohledu sociální síť Facebook, ale také videohra Roblox.

Foto: Kacper Pempel, Reuters

Phishingové zprávy se nešíří pouze přes e-mailové schránky, vyskytují se také na sociálních sítích či v chatech ve videohrách.

Článek

Aktuální phishingové hrozby zmapovali bezpečnostní experti z laboratoří FortiGuard Labs. Ti poukazují především na to, že kyberšmejdi často zneužívají Facebook.

Jejich taktika se přitom nijak dramaticky nezměnila – rozešlou podvodné e-maily a čekají podobně jako rybáři, kdo se na „návnadu“ chytne.

Zatímco před pár lety bylo možné phishingový útok rozeznat už na první pohled, v současnosti jsou podvodné zprávy daleko sofistikovanější. Nachytat se tak mohou nechat i jinak technicky zdatnější jedinci.

Banky ve velkém varují před důmyslnými podvody na WhatsAppu

Bezpečnost

Personalizované zprávy

„Útočníci stále častěji používají personalizované zprávy a přesvědčivé falešné webové stránky, aby se vyhnuli tradičním bezpečnostním opatřením, což bezpečnostním týmům ztěžuje odhalení,“ varoval Ondřej Šťáhlavský, regionální ředitel společnosti Fortinet pro střední a východní Evropu. Právě Fortinet laboratoře FortiGuard Labs provozuje.

Nejnovější sledování útočných aktivit přitom ukázalo, že Facebook je hlavním cílem phishingových e-mailů. „Jeho rozšířené používání a množství osobních údajů spojených s účty jej činí atraktivním pro kyberzločince, kteří se snaží ukrást přihlašovací údaje nebo zneužít data uživatelů. Mnoho phishingových webových stránek se snaží oklamat uživatele tvrzením, že jejich účet byl zablokován nebo že vyžaduje ověření,“ pokračoval Šťáhlavský.

Když sednou podvodníkům důvěřivci na lep, přijdou zpravidla o přihlašovací údaje, v řadě případů ale pak kyberšmejdi pokračují ve spřádání lží tak, aby z obětí dostali ideálně i nějaké peníze.

Podle zprávy Verizon DBIR 2024 je medián doby, za kterou se uživatel stane obětí phishingového e-mailu, kratší než 60 sekund.

Útočí na hráče

V hledáčků kyberšmejdů, kteří na sítích doslova rybaří, jsou také hráči. „V polovině února došlo k nárůstu pokusů o phishing zaměřených na Roblox, oblíbenou herní platformu mezi mladistvými,“ konstatoval bezpečnostní expert.

„Phishingové e-maily se objevovaly maskované jako upozornění z účtu nebo oznámení o výhrách a vyzývaly oběti ke kliknutí na škodlivé odkazy nebo k poskytnutí citlivých či osobních údajů,“ doplnil Šťáhlavský.

Taktiky kyberšmejdů jsou stále sofistikovanější, a tak nemusí být ani pro zkušenější uživatele snadné phishingový útok rozeznat.

V aktuálních phishingových útocích Facebook a Roblox jednoznačně vedou, experti z laboratoří FortiGuard Labs nicméně zachytili také celou řadu dalších platforem, na které se vykutálení internetoví podvodníci v současnosti zaměřují.

Scénář útoků je přitom vždy podobný, snaží se v nevyžádaném e-mailu uživatele vyděsit, že na dané platformě přišel například o přihlašovací údaje. Aktuálně mají kyberšmejdi v globálním měřítku na mušce tyto platformy:

  • Telegram: hojně používaná a šifrovaná aplikace pro zasílání zpráv
  • Ionos: německý poskytovatel e-mailových, hostingových a cloudových služeb
  • Coinbase: oblíbená burza kryptoměn
  • PayPal: celosvětově používaný online platební systém
  • Lazada: platforma pro elektronické obchodování působící především v jihovýchodní Asii
  • iTrust: platforma pro kryptoměny
  • Vkontakte: ruská platforma sociálních médií

Pokud vám tedy dorazí zpráva pod hlavičkou některé ze zmíněných platforem, měli byste zpozornět. Je zde totiž velká pravděpodobnost, že se vás snaží oklamat počítačoví piráti.

V případě, že si nejste jisti, zda skutečně pochází daný e-mail od provozovatele nějaké webové služby, neměli byste klikat na žádné odkazy ve zprávě. Bezpečnějším řešením je přihlásit se k dané službě napřímo. Případně se spojit s provozovatelem dané platformy prostřednictvím oficiálních kontaktních údajů na jeho webových stránkách.

Díky tomu totiž na první dobrou zjistíte, zda vás kyberšmejdi pouze nevodí za nos.

Co je phishing a vishing?

Internetoví podvodníci neustále hledají cesty, jak napálit důvěřivce. Často k tomu využívají phishing – rozesílají e-maily, které vyvolávají dojem, že pocházejí od důvěryhodné firmy, banky, úřadu nebo webové stránky.

Pomocí těchto zpráv se útočníci snaží vylákat citlivé informace, které se týkají například bankovních kont. Tato data následně využívají k odčerpání financí z účtu postiženého.

V posledních letech se rozšiřuje také vishing, což je obdoba phishingu. Místo e-mailu ale využívají kyberzločinci metod sociálního inženýrství v průběhu telefonních hovorů.

Podvodníci se v tomto případě příjemcům hovorů představují jako pracovníci banky, kteří zjistili napadení bankovního účtu, případně jako bezpečnostní experti, kteří chtějí zabezpečit jejich počítač.

Zneužívají AI

Ještě před pár lety bylo podle špatné češtiny a dalších znaků možné rozeznat phishingové útoky bez nadsázky na první pohled. To se ale v poslední době změnilo, jak varovali bezpečnostní experti z laboratoří FortiGuard Labs.

Anketa

Zaznamenali jste v poslední době e-mail, u nějž jste měli podezření, že jde o phishing?
Ano, dokonce jsem se nachytal/a
5,5 %
Ano, ale poznal/a jsem to.
76 %
Nevybavuju si.
18,5 %
Celkem hlasovalo 805 čtenářů.

Poukazují na to, že taktiky kyberšmejdů se stávají stále sofistikovanějšími, a tak nemusí být ani pro technicky zdatnější uživatele snadné phishingový útok rozeznat. Internetovým podvodníkům totiž značně ulehčuje práci umělá inteligence (AI).

„Využití umělé inteligence tyto techniky dále zdokonalilo, takže pokusy o phishing jsou klamavější a hůře odhalitelné. Útočníci stále častěji používají personalizované zprávy a přesvědčivé falešné webové stránky, aby se vyhnuli tradičním bezpečnostním opatřením, což bezpečnostním týmům ztěžuje odhalení,“ varoval Šťáhlavský.

Nesnadný boj

Podle něj tedy především pro firmy není vůbec jednoduché proti moderním phishingovým útokům bojovat. „Tradiční bezpečnostní prostředky, jako jsou e-mailové filtry a blacklisty, mohou blokovat známé hrozby, jsou ale méně účinné proti nově vznikajícím phishingovým útokům a útokům řízeným AI,“ konstatoval Šťáhlavský.

Tento problém pomáhají podle něj řešit tzv. Real-time anti-phishing (RTAP) řešení, která „využívají AI a strojové učení k identifikaci a zmírnění rozsáhlých phishingových kampaní i cílených spear phishingových útoků v okamžiku jejich vzniku“. Bezpečnostní experti tedy do boje proti hackerům nasazují také umělou inteligenci.

Zmiňovaný Spear phishing je velmi podobný klasickému phishingu. Hlavní rozdíl je v tom, že útočníci své pobídky nerozesílají náhodně, ale cílí je na konkrétní osoby či firmy, aby byly jejich útoky co nejefektivnější.

„Jedním z hlavních důvodů úspěchu phishingových útoků zůstává lidské pochybení, proto je pro obranu zásadní informovanost a vzdělávání zaměstnanců. Školení zaměstnanců v rozpoznávání a hlášení pokusů o phishing může výrazně snížit riziko organizace. Dobře informovaní zaměstnanci slouží jako první linie obrany proti dnešním stále sofistikovanějším taktikám phishingu,“ poradil bezpečnostní expert.

Podle zprávy Verizon DBIR 2024 zahrnuje 68 % všech narušení bezpečnosti nezáměrný lidský faktor buď prostřednictvím sociálního inženýrství, nebo neúmyslných chyb.

V žádném případě neklikejte! Takto vypadají nebezpečné podvodné zprávy na WhatsAppu

Bezpečnost
Související témata:
Kybernetický útok
Phishing
Vishing (voice phishing)
Kybernetická bezpečnost

Výběr článků

Načítám