Dostali ste už e-mail, ktorý na prvý pohľad vyzeral ako z banky, a v ňom bola žiadosť o potvrdenie prístupových údajov k vášmu účtu alebo čísla kreditnej karty? Ak áno, tak už pravdepodobne máte približnú predstavu o tom, ako asi vyzerá bežný phishingový útok.
V autoškole nás učia, ako sa autom bezpečne prepraviť z jedného miesta na druhé. Počas cesty musíme dodržiavať množstvo pravidiel, napríklad zastaviť na STOP-ke, rozbehnúť sa na zelenú či dodržiavať maximálnu povolenú rýchlosť. Podobne to funguje aj v online prostredí. Keď chceme bezpečne surfovať po webe, musíme dodržiavať základné pravidlá, nekonať neuvážene a informácie radšej dostatočne overovať. To nám môže pomôcť aj v prípade phishingového útoku.
Pomenovanie phishing (čítaj fišing) vzniklo z anglického slova fishing, čo v preklade znamená rybolov, a teda chytanie na návnadu. Aj keď útočníci pri phishingu nechytajú v pravom slova zmysle ryby, technika phishingového útoku je založená na podobnom princípe. Návnadou v tomto prípade môže byť e-mail, klasický telefonát (vishing), SMS (smishing) alebo príspevok či súkromná správa na sociálnej sieti. Rybou, ktorá sa má na ňu chytiť, ste vy a vaše cenné osobné údaje, ktoré môžu útočníci následne predať alebo zneužiť na nečestné účely ako vydieranie, krádež peňazí alebo krádež identity. Počiatky phishingových útokov boli v znamení snahy kybernetických zločincov o preniknutie do bankových účtov, teda tam, kde sa oprávnene očakávala možnosť dostať sa k peniazom. Pred niekoľkými rokmi sme zaznamenávali množstvo e-mailov informujúcich o problémoch s účtom v bankových inštitúciách, o ktorých drvivá väčšina príjemcov nikdy nepočula, nieto aby v nich mala niektorá z obetí účet. Na prvý pohľad tak bolo jasné, že niečo nie je v poriadku a že ide s najväčšou pravdepodobnosťou o podvodné aktivity. V tejto ére phishingu majú opodstatnenie odporúčania hľadať chyby v textoch e-mailov aj na webových stránkach vrátane zlého pravopisu či nesprávneho slovosledu.
Pozor na heslá
V súčasnosti sa naďalej stretávame s phishingovými útokmi, ktoré majú za cieľ získať prístup k nášmu internetovému bankovníctvu. Navyše nám prichádzajú ďalšie falošné e-maily, ktorých odosielatelia sa zameriavajú na získanie hesiel aj od ďalších nami používaných služieb. Pre počítačových zločincov sú obzvlášť zaujímavé účty elektronickej pošty, a to z jednoduchého dôvodu – e-mail je prostriedok na obnovu zabudnutého hesla v mnohých ďalších službách. Zločinci, ktorí majú prístup k vašej elektronickej pošte, môžu vo vašom on-line účte zneužiť položku Obnoviť heslo a následne kliknúť na možnosť Zvoliť nové heslo, pričom odpoveď sa dostaví práve vo forme e-mailu. Heslo jednoducho zmenia a vy ani nezistíte, že niekto o zmenu požiadal. Veľmi cenené sú aj prístupové údaje k sociálnym sieťam, pretože interné informácie na týchto sieťach zvyčajne poskytnú oveľa viac informácií, než by mohli počítačoví zločinci zistiť bežným vyhľadávaním na internete. Útočníci však idú oveľa ďalej – s využitím napadnutého účtu môžu oklamať aj príbuzných a priateľov vlastníka účtu, prípadne ukradnúť celý účet. Útoky zamerané na získanie prístupu k e-mailovým účtom či k sociálnym sieťam sú v súčasnosti častejšie než tradičné pokusy o preniknutie do online bankovníctva, navyše sú čoraz vierohodnejšie. Podobné je to aj v prípade pokusu zameraného na službu Instagram, ktorý nedávno zachytila globálna sieť na skúmanie hrozieb Sophos Labs.
R, spracované podľa informácií spoločností ESET a PRAM Consulting