Phishing: 7 tipů, jak ho poznat

Při phishingu se útočník vydává za někoho, komu byste za běžných okolností důvěřovali – za banku, telefonního operátora, streamovací službu či dokonce blízkou osobu. A to není vše. Z pozice této důvěryhodné autority vás oslovuje a vyvolává ve vás pocit naléhavosti či zvědavost a s těmito emocemi pracuje a „mámí“ z vás vaše citlivá data – přihlašovací údaje, údaje kreditní karty aj.

Není ale phishing jako phishing. Podívejme se proto na to, jak se může útočník „zamaskovat“.

Přišel vám e-mail, který vypadá, že ho poslala známá instituce (banka, pošta, kurýrní služba aj.)? Phishingový e-mail často obsahuje nebezpečný odkaz na podvodné internetové stránky, které jsou kopií originálního webu dané instituce a obsahují buď malware, nebo po vás chce vyplnit citlivá data.

Zatímco e-maily, které po vás chtějí a priori citlivé údaje, jsou mnohdy na první pohled podezřelé, o něco sofistikovanější spear phishing už bývá velmi těžko rozeznatelný. V čem tkví jeho rafinovanost? Tento útok není univerzální. Útočník vás po určitý čas sleduje, aby o vás získal potřebné informace. Monitoruje vaše sociální sítě, diskuzní fóra aj. Díky tomu zacílí přesněji. Klidně vám napíše jménem vašeho kamaráda, o kterém se dozví, že je na dovolené, a požádá vás o zaslání peněz. Nebo zjistí, že jste si objednávali zboží ze země mimo EU, a bude po vás chtít zaplatit přes „platební bránu“ poplatek za celní řízení.

Phishingové útoky manipulují s našimi emocemi. Vyvolávají:

• Strach – „Vaše heslo bylo vyzrazeno. Pokud si nezměníte heslo ke svému účtu, vaše osobní údaje mohou být zneužity.“
• Zvědavost – Na Facebooku vám přijde zpráva od „kamaráda“ s odkazem, který „vás zaručeně pobaví“ – kdo by takový odkaz samou zvědavostí nerozklikl, že?
• Naléhavost – „Zásilka Vám nemohla být doručena kvůli nedostatku v doručovací adrese. Prosím, přihlaste se do svého účtu a upravte své údaje. Pokud tak neučiníte do 5 dnů, bude zásilka vrácena odesílateli.“ A to nechcete, že?

Dávno jsou pryč časy, kdy phishingový e-mail odhalila díky jeho lámané češtině i vaše babička a ptala se vás, jestli ten e-mail od arabského šejka nezní trochu zvláštně. Propracované překladače, například DeepL, přeloží obstojně i docela komplikovaný text. Vám usnadní život, když potřebujete napsat e-mail zahraničnímu obchodnímu partnerovi, ale také vám může nepřímo uškodit, když ho využije kyberútočník.

Můžeme si zoufat, jak je phishing těžké rozeznat, ale je potřeba najít cestu. V HPmarketu jsme dali dohromady 7 užitečných tipů, které vám pomohou phishing rozpoznat. Není čas ztrácet čas, jdeme na to!

• Oslovení bez jména. Organizace a instituce se brání phishingu tím, že vás oslovují jménem. Pokud vám přijde e-mail s oslovením pouze „Vážený pane/paní“ bez jména, nebo jen „Dobrý den“, už se mějte na pozoru.
• Výhružky. Žádná organizace po vás nesmí chtít vaše přihlašovací, osobní či jiné údaje pod pohrůžkou zablokování účtu apod. „Pro tuto komunikaci jsou ve většině případů používána speciální hesla, která si zákazník zvolil při zřizování účtu pro danou službu,“ uvádí Národní ústav pro informační a komunikační bezpečnost.
• Očekáváte takový e-mail? U spear phishingu útočník po určitý čas sleduje vaši aktivitu, takže o vás ledacos ví. Ví, kdy slavíte narozeniny, jak se jmenuje váš partner i domácí mazlíček, ví, že je váš šéf na dovolené. Ale opravdu vám šéf z Thajska posílá e-maily se zazipovanými soubory a žádá vás o to, abyste je otevřeli ještě dnes? Když vám přijde takový e-mail a nejste si jistí jeho pravostí, tak odesílateli volejte – není nic snazšího.
• Podezřelé URL adresy. Když vám přijde e-mail s odkazem, zkontrolujte si jeho podobu. Pro phishing je typické používání URL adres, které na první pohled bez důkladnějšího studování působí stejně. Lišit se mohou například pouze v doméně – místo .cz je použito .org či .com. Nebo je písmeno nahrazeno číslicí (microsoft.com a micros0ft.com) – na první pohled si takového rozdílu nemusíte všimnout.
• Lámaná čeština. Je to sice ve světě phishingu trochu retro, ale pořád se s takovými e-maily setkáte. Zprávy, ve kterých nesedí česká gramatika a věty nedávají smysl, jsou na první pohled podezřelé – nenechte se napálit.
• Velmi výhodná nabídka či nečekaná výhra. Vyhráli jste mobilní telefon nebo vám píše milionář ze Saudské Arábie? Pokud si nepamatujete, že byste se účastnili soutěže, kde se hraje o mobilní telefon, a majetné známé v cizině nemáte, nenechte se napálit.
• První kontakt. Píše vám někdo, kdo vám nikdy předtím nepsal? Dostat první e-mail není nic neobvyklého. Microsoft ale doporučuje se pozastavit i u takové zprávy. Outlook identifikuje každého nového odesílatele. Pokud tedy ze své banky dostáváte e-maily pravidelně a najednou vám zpráva z banky přijde a je označena jako e-mail od nového odesílatele, je potřeba zpozornit.

Když už víme, jak phishing poznat, je čas si říct, jak s ním bojovat. Jako to bývá, nejúčinnější je prevence. Jakmile si osvojíte základní zásady kyberbezpečnosti, uděláte pro své soukromí a ochranu citlivých dat nejlépe.

Při ochraně před phishingem je důležité především pečlivě chránit svá hesla. O tom, jak si nastavit bezpečné heslo a jak s hesly zacházet, jsme psali již dříve v naší rubrice o kyberbezpečnosti. V tomto článku se proto posuneme o kousek dál. Jak se bránit přímo před phishingem?

• Naučte se rozeznat phishing (viz výše).
• Využívejte dvoufaktorové ověření. Kromě klasického přihlášení uživatelským jménem a heslem se do daných aplikací budete přihlašovat dalším způsobem – například kódem zaslaným pomocí textové zprávy, autentizací ve speciální aplikaci na mobilním telefonu, otiskem prstu na telefonu či jinak.
• Dbejte na to, abyste měli aktuální verzi antivirového programu. Antivirové programy dokážou odhalit malware i v příloze e-mailu. Nevíte, jak vybrat antivir? I na to máme v HPmarketu návodu. Čtěte zde: Vybíráme antivir pro nový počítač od HP
• Pokud se vám e-mail či jiná zpráva zdá podezřelá, zdržte se jakéhokoliv dalšího kroku – neklikejte na odkazy a nestahujte přílohy. Pokud vás e-mail vyzývá k tomu, abyste se na příslušném odkazu přihlásili, vyhledejte si oficiální web domnělého odesílatele přímo ve vyhledávači a až tam se přihlaste.
• Dostali jste nabídku, která je až příliš snová na to, aby to byla pravda? Pokud před sebou máte e-mail o výhře zájezdu na Maledivy, dřív, než začnete otevírat šampaňské a psát kamkoliv své osobní údaje, zavolejte deklarovanému pořadateli soutěže a výhru si potvrďte.
• Naletěli jste a poskytli kyberútočníkovi svá citlivá data? Nepanikařte, ale co nejrychleji požár haste. Změňte si standardní cestou heslo u dané instituce. Pokud stejné heslo využíváte i jinde, změňte ho i tam. Pokud je ohrožen váš bankovní účet, kontaktujte banku.

Phishing není nic nového pod sluncem. Kyberútočníci ho ale postupem času doladili takřka k dokonalosti. Doufáme, že vám náš průvodce ochranou před phishingem pomohl a posunul vás dál na cestě k o něco větší bezpečnosti v kyberprostoru. V závěru bychom vám za celý HPmarket rádi popřáli, aby byla vaše data vždy v bezpečí!