Phishing je podvodná technika využívající informační a komunikační technologie k získávání citlivých údajů – přihlašovacích údajů k různým webovým službám a aplikacím, hesel, čísel kreditních karet apod. Zpravidla je v prvotní fázi celého podvodu užito sociální inženýrství.

Princip celého podvodu spočívá ve velmi věrohodném napodobení žádosti (např. z banky nebo obdobné instituce), upozornění od provozovatele emailové schránky nebo sociální sítě tak, aby uživatel byl „nucen“ zadat své přihlašovací údaje. Tyto zprávy a žádosti jsou šířeny převážně emailem. Ten rovněž obsahuje odkaz, na nějž je nutné kliknout k následnému přihlášení. Po odkliknutí odkazu se však uživatel neocitá na webových stránkách instituce, která je v emailu uváděna, ale na podvržených webových stránkách útočníka, jenž je vytvořil prakticky k nerozeznání od webových stránek instituce uvedené v emailu. Zadáním přihlašovacích údajů do formuláře na takto podvržených webových stránkách je uživatel „předává“ útočníkovi k dispozici a ten je poté využije ke svému prospěchu, ať se jedná o přihlašovací údaje k internetovému bankovnictví, emailové schránce nebo profilu na sociální síti. V poslední době se zprávy s phishingovým odkazem šíří přes sociální sítě. Často i zkušený uživatel může mít problém tento druh podvodu odhalit.

Příklady phishingu

Příběh

Útočník zašle na vybrané emailové adresy zprávu (spam), kterou v rámci sociálního inženýrství bude modelovat tak, aby se tvářila jako urgentní zpráva z banky uživatele:

(… je nutné aktualizovat zabezpečení vašeho internetového bankovnictví, klikněte na tlačítko PŘIHLÁSIT …).

A v případě, že uživatel na tlačítko PŘIHLÁSIT klikne, sociální inženýrství splnilo svou úlohu a může následovat další podvodná praktika, v tomto případě phishing.

Poté se otevřou webové stránky, vizuálně a funkčně totožné jako webové stránky vybrané banky, avšak falešné. Pokud uživatel vyplní přihlašovací údaje do své banky na těchto podvodných webových stránkách, zadané údaje dobrovolně předává útočníkovi.

Jak se chránit?

• Kontrolujte ve webovém prohlížeči korektnost webové adresy, na které se nacházíte.
• Banka, ani žádná podobná instituce, vás nebude žádat o přihlášení, obnovu certifikátu, ověření nebo změnu přihlašovacích údajů prostřednictvím emailu! Ověřujte odesílatele, na vložené odkazy neklikejte a email rovnou smažte.
• Pokud nainstalujete program nebo aplikaci, která bude požadovat přihlášení (např. k vašemu profilu na sociální síti), buďte obezřetní. Zadáním přihlašovacích údajů je vydáváte třetí straně – možnému útočníkovi!
• Při komunikaci s institucemi (jako je např. banka) prostřednictvím webového rozhraní buďte obezřetní. Sledujte, zda jste na správné webové adrese a zda jste připojeni přes zabezpečené spojení.
• Phishingové útoky vedené ze zahraničí lze rozeznat např. ze špatné češtiny v textu emailu zaslaného v prvotní fázi útoku.

Zdroje:
KOHOUT, Roman a Radek KARCHŇÁK. Bezpečnost v online prostředí. Karlovy Vary: Biblio Karlovy Vary, 2016. ISBN 978-80-260-9543-9.
Pictures:
Featured image: https://pixabay.com

Související články