Článek
Za phishing se označuje klamavé jednání, kdy se útočník pokusí obelhat uživatele a získat nějaké citlivé údaje, například jméno, adresu nebo přihlašovací údaje do nějaké služby. Zcela běžně využívá psychologickou manipulaci. Podle společnosti ESET se nejčastěji phishing šíří e-mailem.
„Možná si pamatujete strojové překlady textů e-mailů, kterým vévodilo oslovení "Drahoušek zákazník“. Nutno říci, že je situace dnes zcela odlišná. Značnou část phishingových e-mailů na první pohled odhalí běžný uživatel mnohem složitěji než dříve,“ říká na úvod Miroslav Dvořák, technický ředitel společnosti ESET.
Phishing útočí na emoce
Odborníci zaznamenávají značný posun u podvodných e-mailů i webů nejen po technické a vizuální stránce. Změnou prošel i samotný obsah.
„V případě domácích uživatelů se často využívá e-mailem zaslaná výhružka exekučního řízení, ověření přístupových údajů do banky, údajná blokace účtu na sociální síti atd. U firem se zase často vyskytují často podvodné výzvy k uhrazení faktury po splatnosti nebo pokyny k převodu peněz. Výsledkem může být odcizení citlivých údajů či přímá finanční ztráta způsobená platbou,“ varuje Dvořák z ESETu.
Přestože se může zdát, že se jedná o aktivitu, kterou adresát snadno prohlédne, opak je pravdou. Důvodem je to, že útočníci mají výborně osvojené techniky sociálního inženýrství.
„Útočníci rozumí elementární psychologii člověka a prostředí, ve kterém žije. Například výhrůžka exekucí vzbuzuje strach a paniku a má tak negativní vliv na naše rozhodování a konání a přiměje nás tímto způsobem konat v souladu se záměry útočníků. Tedy například stáhnout infikovanou přílohu,“ vysvětluje Dvořák.
Do dokonalosti jsou techniky sociálního inženýrství dotaženy v případě tzv. spear phishingu, který je jasně cílený například na konkrétní zaměstnance jedné organizace. Úspěšnost takto cílených podvodných e-mailů je, bohužel, poměrně vysoká, a to jak v Česku, tak za hranicemi.
Lze se chránit selským rozumem
Přestože situace nevypadá příliš dobře, existují cesty, jak misky vah vychýlit tím správným směrem. Uživatel si musí být vědom rizik.
Podezřelé zprávy nikdy neotvírejte, ale nejprve si ověřte jejich pravost, například po telefonu. Banky nikdy nežádají uživatele e-mailem nebo po telefonu o přihlašovací údaje. Pokud obdržíte jakýkoli podezřelý e-mail, neklikejte na odkazy, ani neotevírejte přílohy. Dbejte také na to, z jaké stránky se přihlašujete do služeb a jak dané webové stránky vypadají. Do elektronického bankovnictví vždy přistupujte přes oficiální stránky bank zadáním URL adresy, nikoli kliknutím z vyhledávače či odkazu. V případě pochybností doporučujeme rovněž zkontrolovat, zda se v adresním řádku vyskytuje zámek, po jehož rozkliknutí zjistíte, zda bezpečnostní certifikát vlastní banka, na jejíž web jste přihlásili.
Základem ochrany před škodlivým kódem je samozřejmě také instalace spolehlivého bezpečnostního programu a také aktualizovaný operační systém a prohlížeč.