Citlivé osobní údaje. To je kořist, na kterou cílí internetoví útočníci a podvodníci. Pomocí různých metod dokáží z lidí vymámit třeba informace o kreditní kartě nebo přihlašovací údaje k internetovému bankovnictví. Počty takových případů se v poslední době zvyšují. Je jich mnohem více, než za loňský rok. Jedním ze způsobů, jimiž se z klientů českých bank stávají oběti kybernetických zločinů, je i takzvaný phishing.
Phishing, zkomoleninu slova fishing – anglického výrazu pro rybolov, označuje web ESETu za klamavý útok. Osoba, která ho provádí, totiž před svou obětí vystupuje jako důvěryhodná autorita. Tuto škrabošku ale využívá jen k tomu, aby pro sebe získala citlivé informace. Produkční softwarové společnosti Michaela Horáková pak mluví o formě sociálního inženýrství. Podle ní jsou nejčastějším cílem phishingu choulostivé informace o kreditní kartě či internetovém bankovnictví. K jejich zjištění zpravidla slouží podvodné e-mailové zprávy. Jejich součástí bývají běžně přímo formuláře, kam má často nic netušící oběť zadat číslo své kreditní karty a s ní související CVV kód. Ten slouží k potvrzení online plateb pomocí karty. K zadání těchto údajů mohou vybízet také falešné webové stránky, jejichž adresa se v podvodných e-mailech může nacházet místo formulářů.
Horáková současně uvádí, že phishing je možné rozpoznat na základě několika různých znaků. Prvním z nich je obecné či formální oslovení, jímž na první pohled nevinně vypadající e-mail začíná. Po něm přichází požadavek na uvedení citlivých informací, ať už do formuláře či na webové stránky. Věty těchto nebezpečných vzkazů se obvykle vyznačují pravopisnými chybami a dalšími gramatickým nedostatky. Tento rys však nemusí být pravidlem. V současnosti se vyskytují i e-maily s bezchybně napsanými texty. Nabídka, která si klade za úkol adresáta oslovit, vyznívá až podezřele výhodně. Útočníci takové e-maily rozesílají z pochybných domén. Přesto se tváří jako naléhavá sdělení, jejichž přečtení nesnese odkladu.
„Chránit před phishingem se můžeme především svou opatrností a pozorností. Samozřejmostí je pak kvalitní bezpečnostní řešení, které tvoří součást zabezpečení počítače a dokáže si poradit i s velkým množstvím phishingu,“ konstatuje Horáková. Kromě phishingu existuje i takzvaný spearphishing. Jedná se o zvláštní a velice nebezpečnou variantu phishingu. Spearphishing je útokem s důkladnou přípravou. Něčím, co by se s určitou dávkou nadsázky dalo označit za průzkum bojem. Útočník si totiž o oběti předem a důkladně zjistí všechny dostupné informace. Podle nich poté vypracuje podvodný e-mail, jehož struktura a znění jsou přesně stavěné na danou oběť, případně skupinu obětí. Tento druh phishingu je také náročnější odhalit.
Podle statistik evidovaných Českou bankovní asociací počet phishingových útoků na klienty českých bank rychle roste. Do letošního června se jich objevilo dokonce tolik, co za celý loňský rok. Útočníkům nahrávala pandemie koronaviru. Během ní se převážná část bankovních operací přesunula do virtuálního prostředí, ve kterém se však ne všichni klienti dostatečně orientují.
Podle šéfa výzkumného oddělení ESETu v Praze Roberta Šumana funguje současné zabezpečení bankovních systémů na velmi vysoké úrovni. To ale znamená, že se původci phishingu zaměřují na slabá místa, kam by mohli udeřit. Takovýmto slabým místem jsou právě klienti. „Dlouhodobě představují vysoké riziko phishingové emaily a SMS zprávy, podvodné aplikace a různé druhy škodlivých kódů, které cílí jak na osobní počítač, tak chytrý telefon uživatele. Klíčová je proto neustálá edukace veřejnosti. Jen v takovém případě můžeme riziko bezpečnostního incidentu minimalizovat,“ říká Šuman v článku, který publikoval například server Novinky.cz.
I přes výrazné nebezpečí se ale většinu útoků – necelých devadesát procent – podaří zastavit, aniž by napáchaly dalekosáhlé škody. Jakmile ale uživatel phishingovému útoku podlehne a předá citlivé údaje do nepovolaných rukou, je zle.
Phishing má navíc ještě další varianty. Nejen tu klasickou či výše zmíněný spearphishing. ESET informuje, že v roce 2020 byl zaregistrován také případ takzvaného vishingu. I touto metodou se útočník pokouší získat choulostivé údaje. Nepoužívá k tomu ale e-mail, nýbrž telefonické hovory. Vishing stejně jako phishing zažívá letos strmý nárůst. Počty jeho případů jsou už nyní ve srovnání s předchozím kalendářním rokem šestinásobné. Podvodníci se přitom své oběti nezdráhají kontaktovat třeba i v noci. Jejich požadavek je (stejně jako u phishingu) naléhavý, v hovoru ho pak dokáží popsat a přiblížit za pomoci dobré znalosti českého jazyka.
Šuman podotýká, že největší zbraní (a pro klienty českých bank největším nebezpečím) vishingu je to, že útočník svou oběť prakticky přiměje k překonání všech bezpečnostních překážek. Oběť přitom ovlivňuje strach, stres a časová tíseň. Proto má často tendenci hlasu s naléhavým sdělením – například o neuhrazených platbách – vyhovět.
Obranou proti vishingu jsou dostatečné znalosti klientů bank. ESET a Česká bankovní asociace prováděly loni na podzim u české veřejnosti průzkum znalosti hrozeb a zkušeností s online riziky. Oslovení lidé podstoupili praktický test. Z výsledků šetření vyplývá, že se Češi jako odborníci na kybernetické nebezpečí související s bankovnictvím přeceňují. Jejich průměrná úspěšnost v praktickém testu totiž činila pouhých čtyřicet jedna procent.
Do mobilních telefonů s operačními systémy Android a iOS se pak může dostat bankovní trojský kůň Cerberus. Podle analytiků ESETu ho dokáže stáhnout a spustit takzvaný FakeAdBlocker. Škodlivý kód šířený útočníky, kteří o něm tvrdí, že jde o aplikaci sloužící k blokování reklam. Realita je však taková, že do napadaného zařízení vpouští další nebezpečné soubory. FakeAdBlocker se šíří přes pochybné a podvodné zkracovače URL odkazů.
Případy s bankovním trojským koněm Cerberus jsou známy z Turecka, Polska, Španělska, Řecka nebo Itálie. Nevyhnul se ale ani České republice. Zde se ovšem šíří odlišným způsobem. Oběť má v úmyslu okrást. Používá k tomu funkce pro získání přihlašovacích údajů z relevantních webů bank, případně funkce obcházející dvoufázové ověření plateb.
Pro ochranu před škodlivými kódy včetně zmíněného „trojana“ radí odborníci používat pouze důvěryhodné zkracovače URL. Útočníci je totiž stále častěji používají k tomu, aby zamaskovali stránku, na níž má odkaz směřovat. V případě, že si uživatel není schopen ověřit, kam jej odkaz vlastně zavede, měl by rozhodně zpozornět. Zároveň by neměl věnovat pozornost podvodným reklamám, kterých na internetu koluje celá řada.
Autor: Petr Komárek, Redakce NejPřipojení.cz 23.8.2021
Ze shrnutí vyplývá, že během šestého kalendářního měsíce – tedy června – představovaly riziko především stalkerwares a malwares.
Autor: Redakce NejPřipojení.cz 2.8.2021
Jak je to ale s exekucemi v souvislosti s internetovým připojením? Přesněji, s pořízením připojení k internetu?
Autor: Redakce NejPřipojení.cz 19.7.2021
“Všechny naše osobní elektronické zprávy tak budou kontrolovány, zda náhodou neobsahují podezřelý obsah”, upozorňuje Marcel Kolaja z Pirátů, který byl PROTI.
Autor: Redakce NejPřipojení.cz 12.7.2021
Vánoční svátky jsou za námi a řada lidí našla pod stromečkem nový notebook, stolní počítač, mobil nebo tablet. Pokud dárek splnil očekávání, ale kvůli kvalitě internetového připojení už s ním taková zábava není, je potřeba zjistit, kde může být problém.
Autor: Redakce NejPřipojení.cz 28.12.2020
Poplašné zprávy o tom, že 5G sítě mohou být škodlivé lidskému zdraví, se s nástupem superrychlého internetu objevují na sociálních sítích a ve virtuálních médích v poměrně pravidelných intervalech.
Autor: Redakce NejPřipojení.cz 12.10.2020
Získat „status“ dlužníka či neplatiče není v dnešní době nijak složitá věc. Člověk se dostane do rejstříku SOLUS celkem snadno. V mnoha případech si tak znepříjemní život kvůli banální částce nebo opomenutí.
Autor: Redakce NejPřipojení.cz 1.6.2020
1.4.2020 vejde v platnost novela zákona, která zamezí pokutování zákazníků za předčasné ukončení smluv.
Autor: Redakce NejPřipojení.cz 3.2.2020