Hrozby na internete - Phishing ako populárny podvod zneužívajúci dôveru ľudí

Phishing je populrána metóda internetového podvodu, ktorý má za cieľ zneužiť dôveru ľudí na získanie cenných údajov.

Hrozby na internete sú čoraz častejšie a nebezpečnejšie. Niektoré sú zamerané na vylákanie peňazí, iné majú za cieľ zneužiť osobné údaje či zmeniť myslenie ľudí. Preto sme sa v TECHBOX.sk rozhodli viac venovať internetovým hrozbám a na pravidelnej báze vám prinášať tematické články o konkrétnych hrozbách a tiež o spôsoboch, ako sa pred nimi brániť. Ako prvú si predstavíme obľúbenú metódu podvodníkov, tzv. phishing.

Výraz „Phishing“ vznikol od anglického slova „fishing“, čiže rybolov, doslova chytať obeť na návnadu. Písmená „ph“ označujú slovo „phreaks“, výraz, ktorým sa označovala skupina hackerov z 90. rokov 20. storočia pri experimentovaní s možnosťami hackovania telekomunikačných systémov. Iné interpretácie hovoria o skratkách slov password (heslo) a rybolov (fishing). Podvodník, ktorý phishing využíva sa nazýva phisher.

Najčastejším motívom phisherov je finančný zisk, prípadne zneužitie osobných údajov. Phishing spočíva v útoku na dôveru obete. Útočník využíva určitý „typ“ návnady v elektronickej komunikácii, aby neoprávnene získal informácie či prístupy od používateľov.

Phishing patrí medzi populárnu voľbu kyberzločincov, aplikovať sa dá vďaka sociálnemu inžinierstvu na prakticky akúkoľvek cieľovú skupinu. Ľudia totiž nestíhajú držať krok s novými spôsobmi phishingu, medzi ktoré patrí aj obdržanie e-mailu z legitímneho e-mailu, ktorému zvyčajne dôverujete.

Ako píše spoločnosť ESET na svojich stránkach, zločinec sa vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie. Typickým príkladom je mail od banky, ktorá žiada vyplniť osobné údaje či kliknúť na odkaz, ktorý posiela v správe. Mail môže pôsobiť vizuálne dôveryhodne či dokonca môže byť totožný s vizuálom, aký používa oficiálna komunikácia banky, no odosielateľ môže mať pozmenený detail v mailovej adrese. Na Slovensku sa napríklad posledné dni rozmohol phishingový podvod, kde sa zločinci vydávali za Slovenskú poštu.

Phishing však nie je obmedzený iba na mailovú komunikáciu. Príkladom je zneužívanie dôvery cez telefonické rozhovory, tzv. vishing alebo cez SMS správy, tzv. smishing. Väčšinou sa tieto metódy vyžívajú vo veľkom, takže sa napríklad pošle veľký počet mailov hromadne.

V prípade, že ide o cielený útok na určitú skupinu ľudí či na konkrétneho jednotlivca, ide o spearphishing a v prípade, že ide o útok na vysoko postavených jedincov (manažérov, majiteľov, politikov), ide o whaling, čiže lov veľrýb. Takéto podvody sú oveľa premyslenejšie a prispôsobené jednotlivcom. Príkladom whalingu je útok z roku 2016, kedy sa hackeri pomocou phishingu nabúrali do mailovej schránky Johna Podesta, manažéra kampane Hillary Clintonovej.

Ako sa brániť?

V prípade, že neviete rozpoznať, či ide o oficiálny mail inštitúcie alebo phishingový mail, vždy je lepšie kontaktovať konkrétnu inštitúciu a opýtať sa, či takýto mail posielala.

Veľký počet phishingových podvodov pochádza zo zahraničia, takže častým znakom je zlá jazyková úroveň spôsobená rýchlym prekladom v Google prekladači. V tomto má veľkú výhodu zriedkavosť a náročnosť slovenského jazyka.

Ďalším znakom phishingu je žiadosť o osobné údaje, ktoré väčšinou oficiálne inštitúcie nevyžadujú posielať mailom. Naliehavé správy či výhodné ponuky sú tiež častým znakom takýchto mailov.

Taktiež vždy, keď vám príde nejaký mail, nikdy nezadávajte svoje používateľské meno a heslo, rodné číslo či čísla bankových kariet. Taktiež platí, že sa snažte využívať dvojfaktorovú autentifikáciu ako prevenciu.

Vždy si prečítajte informácie o odosielateľovi. Napriek tomu, že môže mať v názve meno inštitúcie, môže ísť o skomolený názov, prípadne môže obsahovať drobnú úpravu, ktorú si na prvý pohľad nevšimnete.

Nikdy tiež neklikajte na prílohy či odkazy v mailoch, pokým si nebudete skutočne istý, že ide o mail oficiálnej inštitúcie.

Otestujte sa

V prípade, že sa chcete naučiť brániť sa pred phishingovými útokmi v praxi, môžete si vyskúšať testy, ako nenaletieť a ako sa naučiť rozpoznávať phishing. Prvý test vytvorila vládna kyberbezpečnostná jednotka CSIRT a skladá sa celkovo zo 17 testovacích otázok. Úlohou je rozhodnúť či je zobrazený e-mail, ktorý prijal Chuck Norris (chucknorris@gmail.sk), legitímny alebo podvrhnutý útočníkom.

Druhý test vytvorila spoločnosť Jigsaw, predtým známa ako Google Ideas a spočíva v krátkom kvíze, ktorý preverí vaše schopnosti odhaliť, či ide phishing alebo hodnoverný mail.