V dnešní době trávíme na internetu spoustu času. Měli bychom tedy znát i případná rizika. Co je to phishing a vishing? A jak je poznat? Pojďme si vysvětlit v následujícím článku.
Co to je phishing?
Phishing attack neboli phishingový útok je podvodná technika na internetu. Cílem phishingu je krádež citlivých informací. Nejčastěji se jedná o údaje k platebním kartám včetně PINU, přihlašovací údaje, hesla nebo čísla bankovních účtů. Nemusí jít ale jenom o účty bankovní, ale také o účty ostatních organizací, kde dochází k manipulaci s penězi nebo je možné jakýmkoliv způsobem zneužít jejich služeb, např. PayPal, eBay, Skype, Google. Phishing zpravidla probíhá pomocí e-mailů či odkazů na podvodné stránky. Samotný e-mail či stránka vypadá na první pohled identicky, takže si oběť nemusí vůbec všimnout, že je stránka podvodná.
Jak vznikl pojem phishing?
Pojem phishing pochází z anglického slova „fishing“, což znamená rybaření. Do češtiny se tento pojem občas překládá také jako „rhybaření“. Slovo je odvozeno od situace, kdy si vás útočník chytí na háček (stejně jako rybu) a uloví.
Jak poznat phishing?
Dnes jsou phishingové útoky již skoro neroznatelné od skutečných e-mailů. Naštěstí stále existuje několik znaků, podle kterých můžete phishing poznat. Zde jsou několik z nich:
1) E-mail obsahuje pravopisné chyby nebo špatné oslovení.
2) Pochází z podezřelé e-mailové adresy (odpovídá e-mailová adresa jménu odesílatele?)
3) Obsahuje další příjemce, e-mail byl zaslán na několik adres.
4) Vyžaduje okamžitou reakci, slibuje odměnu (např. finanční).
5) Obsahuje odkazy vedoucí na jiné stránky.
6) Odesílatel požaduje zaslání důvěrných informací (přihlašovací údaje, PIN…)
7) E-mail obsahuje přílohy (především pokud se jedná o soubory typu .pif, .scr nebo .exe.) rozhodně je neotevírejte!
8) Stránka není zabezpečená. V URL adrese chybí ikona zámečku a adresní řádek není zbarven zeleně.
Co dělat při podezření na phishingový útok?
Při podezření, že jste se stali obětí phishingu, dodržujte několik zásad:
- Ověřte si e-mail na stránkách Národního úřadu pro kybernetickou a informační bezpečnost.
- V žádném případě na e-mail neodpovídejte.
- Neklikejte na žádné odkazy ani nestahujte žádné přílohy.
- Zprávu nahlaste provozovateli e-mailové schránky jako spam a smažte ji.
- Jestliže se útočník vydává za existující firmu, kontaktujte tuto firmu telefonicky nebo přes oficiální webovou stránku a upozorněte ji na podvodný e-mail.
- Pokud se jedná o e-mail z firemní domény, upozorněte na něj ostatní zaměstnance.
Co to je vishing?
Vishing (vishing attack nebo vishing scam) se snaží z oběti vylákat údaje pomocí telefonního rozhovoru. Pojem „vishing“ vznikl složením dvou anglických slov „voice“ a „phishing“.
Podvodník se může vydávat například za pracovníka banky a po klientech požadovat kupříkladu jejich PIN. Zpravidla oběti sděluje, že jí byl účet zablokován či odcizen a proto je třeba, aby mu sdělila své údaje. Lidé často dostanou strach a citlivá data útočníkovi prozradí.
POZOR! Banky i jiné organizace po svých klientech sdělování hesel či PINŮ nikdy nepožadují.
Další formy útoků
Kromě phishingu a vishingu existují ještě další druhy internetových podvodů.
Jedním z nich je MITM (man in the middle), tzv. „útok z prostředku“. V tomto případě útočník nenápadně zasahuje do komunikace mezi dvěma subjekty (např. klient a banka).
Quid pro quo, v překladu „něco za něco“ je případ, kdy se útočník vydává za technickou podporu. Během řešení problému oběť přiměje k instalaci škodlivého kódu nebo umožnění přístupu k zařízení.
Baiting je specifickým způsobem odcizení údajů. Útočník zanechává malwarem infikované médium (USB disk, CD) na místech, kde je snadné jej najít. Médium bývá označeno např. firemním logem, nebo zajímavým názvem pro vzbuzení pozornosti. Vložením do zařízení se nainstaluje škodlivý kód.
Přečtěte si také 3 Tipy: Jak vyčistit počítač a být v bezpečí na internetu nebo Bezpečnost placení kartou na internetu: Na co dát pozor?