Co je to phishing a jak vás může připravit o peníze a tajemství
Tipy Technologie / / December 28, 2020
Co je to phishing a jak je to nebezpečné
Phishing je běžný typ kybernetických podvodů zaměřených na kompromitování účtu záznamy a zachycení kontroly nad nimi, krádež údajů o kreditních kartách nebo jakékoli jiné důvěrné údaje informace.
Kyberzločinci nejčastěji používají e-mail: například posílají dopisy jménem známé společnosti a lákají uživatele na falešné webové stránky pod záminkou ziskové propagace. Oběť falešný nerozpozná, zadá přihlašovací jméno a heslo ze svého účtu, a tak uživatel sám předá data podvodníkům.
Kdokoli může trpět. Automatizované phishingové e-maily jsou nejčastěji zaměřeny na široké publikum (stovky tisíc nebo dokonce miliony adres), ale existují i útoky zaměřené na konkrétní cíl. Nejčastěji se jedná o top manažery nebo jiné zaměstnance, kteří mají privilegovaný přístup k podnikovým datům. Tato personalizovaná phishingová strategie se nazývá vailing (angl. velryba), což se překládá jako „lov velryb“.
Důsledky phishingových útoků mohou být zničující. Podvodníci mohou číst vaši osobní korespondenci, posílat phishingové zprávy vašemu okruhu kontaktů, vybírat peníze z bankovních účtů a obecně jednat vaším jménem v širším smyslu. Pokud podnikáte, riziko je ještě větší. Phishers jsou schopni ukrást firemní tajemství, zničit citlivé soubory nebo uniknout data vašich zákazníků a poškodit reputaci společnosti.
Podle zprávyZpráva o trendech phishingové aktivity Pouze v posledním čtvrtletí roku 2019 objevili odborníci na kybernetickou bezpečnost Anti-Phishing pracovní skupinu více než 162 tisíc podvodných stránek a 132 tisíc e-mailových zpráv. Během této doby se obětí phishingu stalo asi tisíc společností z celého světa. Zbývá zjistit, kolik útoků nebylo detekováno.
Ivan Budylin
Architekt technologického centra společnosti Microsoft v Rusku.
Je důležité mít o sobě jasno a sdělit pár věcí svým spolupracovníkům, přátelům a rodině. Zaprvé, průmysl je proti nám. Kyberzločinci již nejsou nadšenými šprýmaři, jsou to zkušení profesionálové, kteří na vás tak či onak chtějí vydělat peníze. Zadruhé, každá informace má hodnotu, i když se nezdá důležitá. A vaše aktivita v sociálních sítích a přezdívka vaší oblíbené kočičky - na všechno lze použít přímé zpeněžení nebo jako útočná fáze k získání přístupu k „dražším“ data. Za třetí, používání vícefaktorového ověřování a přihlášení bez hesla se postupně přesouvá z kategorie silných doporučení do kategorie přísných požadavků změněné reality.
Vývoj a typy phishingu
Termín „phishing“ pochází z anglického slova „fishing“. Tento typ podvodu se opravdu podobá rybaření: útočník hodí návnadu ve formě falešné zprávy nebo odkazu a čeká na kousnutí uživatelů.
V angličtině se však „phishing“ píše trochu jinak: phishing. Místo písmene f se používá digrafické ph. Podle jedné verze se jedná o odkaz na slovo falešný („podvodník“, „podvodník“). Na druhé straně - do subkultury raných hackerů, kterým se říkalo phreakers („phreakers“).
Předpokládá se, že termín phishing byl poprvé veřejně používán v polovině 90. let v diskusních skupinách Usenet. V té době podvodníci zahájili první phishingové útoky zaměřené na zákazníky amerického poskytovatele internetu AOL. Útočníci rozeslali zprávy s žádostí o potvrzení pověření a vydávali se za zaměstnance společnosti.
S rozvojem internetu se objevily nové typy phishingových útoků. Podvodníci začali předstírat celé weby a ovládali různé kanály a komunikační služby. Tyto typy phishingu lze dnes rozlišit.
- E-mail phishing. Podvodníci zaregistrují poštovní adresu podobnou adrese známé společnosti nebo známého vybrané oběti a zasílají z ní dopisy. Falešný dopis může být podle jména odesílatele, designu a obsahu téměř totožný s originálem. Pouze uvnitř je odkaz na falešný web, infikované přílohy nebo přímý požadavek na zaslání důvěrných údajů.
- Phishing pomocí SMS (smishing). Toto schéma je podobné předchozímu, ale místo e-mailu se používá SMS. Předplatitel obdrží zprávu od neznámého (obvykle krátkého) čísla s požadavkem na důvěrné údaje nebo s odkazem na falešný web. Útočník se například může představit jako banka a požádat o ověřovací kód, který jste obdrželi dříve. Ve skutečnosti podvodníci potřebují kód, aby se dostali do vašeho bankovního účtu.
- Phishing na sociálních médiích. S množením instant messengerů a sociálních médií zaplavily phishingové útoky také tyto kanály. Útočníci vás mohou kontaktovat prostřednictvím falešných nebo napadených účtů známých organizací nebo vašich přátel. Zbytek principu útoku se neliší od předchozích.
- Telefonní phishing (vishing). Podvodníci se neomezují pouze na textové zprávy a mohou vám zavolat. K tomuto účelu se nejčastěji používá internetová telefonie (VoIP). Volající se může vydávat například za pracovníka podpory vašeho platebního systému a požadovat data pro přístup do peněženky - údajně k ověření.
- Hledat phishing. Přímo ve výsledcích vyhledávání se můžete setkat s phishingem. Stačí kliknout na odkaz, který vede na falešný web, a ponechat na něm osobní údaje.
- Vyskakovací phishing. Útočníci často používají vyskakovací okna. Při návštěvě pochybného zdroje můžete vidět banner, který jménem známé společnosti slibuje určité výhody - například slevy nebo zboží zdarma. Kliknutím na tento odkaz se dostanete na stránky kontrolované kyberzločinci.
- Zemědělství. Nesouvisí přímo s phishingem, ale farmářství je také velmi častým útokem. V tomto případě útočník zfalšuje data DNS automatickým přesměrováním uživatele místo původních stránek na falešné. Oběť nevidí žádné podezřelé zprávy ani bannery, což zvyšuje účinnost útoku.
Phishing se stále vyvíjí. Microsoft hovořil o nových technikách, které v roce 2019 objevila jeho anti-phishingová služba Office 365 Advanced Threat Protection. Například podvodníci se naučili lépe maskovat škodlivý obsah ve výsledcích vyhledávání: na začátek zobrazit legitimní odkazy, které vedou uživatele na phishingové stránky pomocí více přesměrování.
Kyberzločinci navíc začali automaticky generovat phishingové odkazy a přesné kopie elektroniky dopisy na kvalitativně nové úrovni, která vám umožní efektivněji oklamat uživatele a obejít finanční prostředky ochrana.
Poznejte Office 365
Jak se chránit před phishingem
Zlepšete svou technickou gramotnost. Jak se říká, ten, kdo je předem varován, je ozbrojen. Prostudujte si bezpečnost informací sami nebo se poraďte s odborníky. Dokonce i jednoduchá znalost základů digitální hygieny vám může ušetřit spoustu problémů.
Buď opatrný. Nesledujte odkazy ani neotevírejte přílohy v e-mailech od neznámých partnerů. Pečlivě prosím zkontrolujte kontaktní údaje odesílatelů a adresy stránek, které navštěvujete. Nereagujte na žádosti o osobní údaje, i když zpráva vypadá věrohodně. Pokud zástupce společnosti požádá o informace, je nejlepší zavolat na jeho call centrum a nahlásit situaci. Neklikejte na vyskakovací okna.
Používejte hesla moudře. Pro každý účet použijte jedinečné a silné heslo. Přihlaste se k odběru služeb, které varují uživatele, pokud se hesla k jejich účtům objeví na webu, a okamžitě změňte přístupový kód, pokud se ukáže, že byl prolomen.
Nastavte vícefaktorové ověřování. Tato funkce navíc chrání účet, například pomocí jednorázových hesel. V tomto případě budete kromě hesla muset při každém přihlášení k účtu z nového zařízení zadejte čtyřmístný nebo šestimístný kód, který vám byl zaslán prostřednictvím SMS nebo vygenerován speciálním kódem aplikace. Možná to nevypadá moc pohodlně, ale tento přístup vás ochrání před 99% běžných útoků. Koneckonců, pokud podvodníci ukradnou heslo, bez ověřovacího kódu stále nebudou moci vstoupit.
Použijte přihlašovací zařízení bez hesla. V těchto službách, pokud je to možné, byste měli úplně opustit používání hesel a nahradit je hardwarovými bezpečnostními klíči nebo ověřováním prostřednictvím aplikace ve smartphonu.
Používejte antivirový software. Včasně aktualizovaný antivirus pomůže chránit váš počítač před škodlivými programy, které přesměrovávají na phishingové stránky nebo odcizují přihlašovací údaje a hesla. Nezapomeňte však, že vaší hlavní ochranou je stále dodržování pravidel digitální hygieny a dodržování doporučení v oblasti kybernetické bezpečnosti.
Pokud podnikáte
Následující tipy budou užitečné také pro vlastníky firem a generální ředitele.
Vyškolte své zaměstnance. Vysvětlete podřízeným, kterým zprávám se mají vyhnout a jaké informace by neměly být zasílány e-mailem nebo jinými komunikačními kanály. Zakázat zaměstnancům používat firemní poštu pro osobní účely. Poučte je, jak s hesly pracovat. Také stojí za zvážení zásady uchovávání zpráv: například z bezpečnostních důvodů můžete odstranit zprávy starší než určité období.
Provádějte vzdělávací phishingové útoky. Pokud chcete otestovat reakci zaměstnanců na phishing, zkuste předstírat útok. Zaregistrujte si například poštovní adresu podobnou té vaší a pošlete z ní dopisy podřízeným s žádostí o poskytnutí důvěrných údajů.
Vyberte si spolehlivou poštovní službu. Poskytovatelé bezplatných e-mailů jsou příliš citliví na obchodní komunikaci. Společnosti by si měly vybrat pouze zabezpečené podnikové služby. Například uživatelé poštovní služby Microsoft Exchange zahrnuté v sadě Office 365 mají komplexní ochranu před phishingem a dalšími hrozbami. Abychom čelili podvodníkům, společnost Microsoft každý měsíc analyzuje stovky miliard e-mailů.
Najměte si odborníka na kybernetickou bezpečnost. Pokud to váš rozpočet dovolí, vyhledejte kvalifikovaného odborníka, který bude poskytovat trvalou ochranu před phishingem a dalšími kybernetickými hrozbami.
Co dělat, pokud jste obětí phishingu
Pokud existuje důvod domnívat se, že se vaše data dostala do nesprávných rukou, okamžitě jednejte. Zkontrolujte, zda na vašem zařízení nejsou viry, a změňte hesla účtu. Informujte zaměstnance banky, že vaše platební údaje mohly být odcizeny. V případě potřeby informujte zákazníky o možném úniku.
Chcete-li zabránit opakování takových situací, zvolte spolehlivé a moderní služby pro spolupráci. Nejvhodnější jsou produkty se zabudovanými ochrannými mechanismy: bude fungovat co nejpohodlněji a nemusí riskovat digitální zabezpečení.
Kromě toho služba poskytuje dynamickou kontrolu přístupu s hodnocením rizik a s přihlédnutím k široké škále podmínek. Office 365 obsahuje také integrovanou automatizaci a analýzu dat a také vám umožňuje ovládat zařízení a chránit informace před únikem.
Vyzkoušejte Microsoft Office 365