Zrádný phishing: Víme, jak odhalit triky internetových podvodníků

 

Svěřili byste zcela neznámému člověku své přihlašovací údaje do internetového bankovnictví a dalších účtů, které obsahují citlivé údaje? Zcela jistě ne. Navzdory tomu se vychytralým podvodníkům každou chvíli podaří přimět uživatele internetu, aby jim důvěrné informace naservírovali dobrovolně a takřka pod nos. Jak rafinované internetové útoky, pro něž se vžilo označení „phishing“, ustát?

internetová kriminalitaNenechte se lapit do pastí internetových podvodníků! 

Úvodní otázka může znít až absurdně. Každý příčetný jedinec opatruje své citlivé údaje jako oko v hlavě. Jak je tedy možné, že obětí kybernetických útoků přibývá? Existují triky, jejichž prostřednictvím lidé podvodníkům nevědomky věnují své přihlašovací údaje zcela dobrovolně.

Hackeři se pak bez potíží přihlásí třeba do cizího internetového bankovnictví, aniž by se museli obtěžovat s prolamováním hesla, které může být sebesilnější. Vyzrazení citlivých údajů pak může napadeného přijít pořádně draho – než podvod prohlédne, přijde nejen o peníze, ale i o soukromí. A v anonymním internetovém světě jsou šance na vypátrání pachatele poměrně nízké.

Výraz phishing souhrnně označuje podvodné útoky, jejichž prostřednictvím se internetoví zločinci snaží z lidí vylákat citlivé informace tím, že se vydávají za banky a další instituce. Může jít třeba o údaje k platebním kartám včetně PIN kódu či CVV/CVC kódu (poslední tři číslice vedle podpisového proužku na platební kartě, které umožňují realizaci internetových plateb) či přihlašovací jméno a heslo do aplikací, které slouží k manipulaci s penězi. Jedná se o techniku z oblasti sociálního inženýrství, která se snaží vyhledávat „díry“ ve stávajících bezpečnostních systémech a podovodem získávat důvěru uživatelů internetu.

Ostražitost se vyplácí

S phishingem se nejčastěji můžete setkat ve své e-mailové schránce, kde se bude tvářit jako zpráva od vaší banky či poskytovatele nějaké služby, při níž dochází k finančním transakcím (např. internetová peněženka PayPal, účet na eBay apod.). Stále častěji se ale phishingové útoky objevují také na sociálních sítích a jejich podob přibývá. Stejně tak bohužel roste i vynalézavost podvodníků.

internetové podvodyTakto vypadal falešný e-mail, na nějž své klienty upozornila Česká spořitelna. Zdroj: Česká spořitelna  

Předmět či samotný text e-mailu či zprávy mívá přímou či nepřímou formu výzvy k zadání přihlašovacích údajů, a to třeba pod záminkou aktualizace bezpečnostních údajů nebo žádosti o opakované provedení zamítnuté platby. E-mail také často obsahuje proklikávací odkaz, který majitele účtu obvykle přesměruje do nového okna.

Potíž je v tom, že zpráva může z grafického hlediska či s ohledem na adresu odesílatele nebo URL adresu působit velmi věrohodně, a tak adresáti phishingových e-mailů zkrátka poslušně následují instrukce, protože věří, že provádějí operaci, která pro ně bude prospěšná.

„Dobrým indikátorem toho, zda je vlastníkem stránky daná společnost, jsou také EV certifikáty. Jak je poznáte? Když vstupujete například do internetového bankovnictví České spořitelny, zobrazí se mezi ikonkou zámečku a samotnou URL adresou poznámka, že web patří právě této bance. Takové bezpečnostní certifikáty jsou sice dražší, ale spolehlivěji ověřují majitele stránky. V České republice je používají téměř všechny banky. Zobrazování EV certifikátů ovšem podporují jen nejnovější verze prohlížečů."

- Vojtěch Tůma, IT specialista postálu Ušetřeno.cz
EV certifikátPříklad EV (Extended Validation) certifikátu, který potvrzuje, že danou stránku vlastní společnost ZONER software. Zdroj: www.sslmarket.cz 

 

Zaznamenali jste nesrovnalosti? Zpozorněte!

Podvodné stránky se snaží být více či méně precizní nápodobou oficiální internetové prezentace napadené instituce. Někdy je na první pohled zjevné, že tu něco nehraje, ale jindy se falešná stránka liší od té originální jen v drobnostech, jež běžný uživatel nemusí zaznamenat. 

internetový phishingFalešná stránka napodobující internetové bankovnictví České spořitelny. Povšimněte si podezřelé URL adresy. Zdroj: Česká spořitelna  

Banky ovšem varují, že podobné zprávy nikdy nerozesílají – případné změny nastavení služeb mohou jejich klienti vyřešit po řádném přihlášení do internetového bankovnictví, kde si také mohou vyzvednout nejrůznější upozornění, a v případě jakýchkoliv nesrovnalostí pracovníci dané instituce zákazníky kontaktují telefonicky, nikoliv prostřednictvím anonymního odkazování na jiné stránky či na internetu volně umístěný formulář pro vyplnění citlivých údajů.

5 varovných signálů, které mohou značit pokus o phishing:

  • E-mail, který vám zdánlivě odeslala vaše banka, obsahuje link (proklikávací odkaz), který vás přesměruje na jinou stránku. Tam zpravidla narazíte na formulář, který po vás vyžaduje zadání přihlašovacího jména či hesla nebo třeba podrobné údaje o vaší platební kartě.
     
  • Komunikace není zabezpečená – adresní řádek podvodné stránky začíná protokolem http://, zatímco šifrovanou bezpečnější komunikaci, kterou využívají banky, zpravidla značí protokol https:// opatřený symbolem zámečku.
     
  • Adresní řádek stránky, na kterou vede link v e-mailu, se nepodobá URL adrese, kterou banka či jiná aplikace běžně používá. A pokud se jí podobá, může obsahovat drobné odlišnosti či drobné překlepy, které na první pohled nemusíte zaznamenat.
     
  • Zpráva může být psána lámanou češtinou, obsahovat podivné formulace, překlepy či hrubky. Text je totiž často výtvorem automatického překladače. Ještě podezřelejší jsou e-maily, které se podvodníci ani neobtěžují přeložit z angličtiny.
     
  • Banky či poskytovatelé online peněženek, jako je PayPal, e-mailem posílají pouze obecné informativní zprávy či nabídku nových produktů. Nikdy ale prostřednictvím elektronické pošty nevyžadují zadávání citlivých informací.

phishing na FacebookuTakto může vypadat phishing na Facebooku. Falešné stránky vybízejí k přihlášení do internetového bankovnictví mBank. Zdroj: mBank 

Máte podezření? Nenechávajte si ho pro sebe

Pokud chcete minimalizovat nebezpečí, že se s podvodnými e-maily vůbec setkáte, pak byste měli dbát na pravidelné aktualizování antivirového programu. Vhodné je také používat nejnovější verzi internetového prohlížeče s aktivní službou detekce nebezpečných stránek. Ta zvládne některé hrozby automaticky vyfiltrovat. Pomůže také, když se do internetového bankovnictví nebudete přihlašovat z cizího či jakkoliv nedůvěryhodného počítače.

TIPOdolejte phishingu i dalším pokusům o nabourání účtů. Víme, jak si vytvořit silné internetové heslo!
 

Máte-li přesto pocit, že podvodný mail přistál i ve vaši schránce, ale nevíte, jak byste měli postupovat? Ideální je podezřelou elektronickou poštu vůbec neotevírat a rovnou vymazat, ale to se ne vždy povede. Máme pro vás pětici základních tipů, co dělat, abyste eliminovali případné škody, pokud už jste e-mail zobrazili:

  • Na zprávu, která vyžaduje zadání citlivých údajů, nikdy neodpovídejte. Jesltiže e-mail obsahuje záhadný odkaz, neklikejte na něj.
  • Ať už se zpráva tváří sebedůvěryhodněji, nechte si své přihlašovací údaje a další citlivé informace za každých okolností pro sebe.
  • Informujte banku o podezřelé aktivitě, určitě se za to na vás nebude zlobit. Umožníte jí podniknout ochranné kroky a uchráníte další uživatele od nepříjemností.
  • Opatrní buďte i na sociálních sítích. Pokud vás kamarád na Facebooku překvapí podivnou zprávou vyžadující například zaslání drobné částky na účet, telefonicky si u něj ověřte, zda je jejím skutečným odesílatelem.
  • Používejte selský rozum a intuici. Nemusíte být nutně paranoidní, ale pokud se vám zkrátka zdá, že něco nehraje, dejte to bance či dané společnosti vědět.
 
Hodnocení článku:
Počet hlasů: 10