Prozkoumej slovníček kybernetických termínů.
Co je phishing, vishing, smishing či catfishing?

Phishingové útoky patří k velmi častým taktikám kyberútočníků dnešní doby. Jsou tak sofistikované, že ani nemusíš postřehnout, že o jakýsi útok vůbec jde. Netýká se to pouze o technik prováděných online, ale i prostřednictvím SMS nebo telefonátů. Vyvolávají obavy, strach nebo zvědavost. A právě díky jejich emočnímu zabarvení přehlížíme důležité znaky, které umožní rozlousknout jejich záludnost. Prozkoumej, se kterými taktikami se můžeš setkat a jak je jednoduše rozpoznat.

Phishing 

Je typem kybernetického útoku pomocí technik sociálního inženýrství. Tyto netechnické podoby útoku umí oběť zmanipulovat tak, že ve finále ignoruje bezpečnostní nebo jiné postupy a předá útočníkovi důvěrná data, případně na jeho zařízení spustí škodlivý kód.

Phishingový útok má nejčastěji podobu e-mailu, ale také SMS, telefonátu nebo chatů na sociálních sítích. Podezřelým signálem je často urgence, časové omezení a situace, kdy, když něco do nějaké časové lhůty neuděláš, o něco přijdeš. Nejčastějším cílem je vylákat informace o platební kartě nebo přihlašovací údaje do internetového bankovnictví.

Smishing

Je SMS phishing, tedy phishingový útok konaný prostřednictvím textových zpráv. Útočník zasílá podvodnou zprávu na mobilní telefon, která většinou vyzývá ke kliknutí na podvodný odkaz. Kyberútočník se v ní vydává za známou a důvěryhodnou organizaci, například banku, úřad nebo poštu, kdy působí nátlakem a časovou neodkladností. Neobvyklé nejsou ani nabídky bezplatných produktů. Zpráva případně obsahuje telefonní číslo či e-mail, přes které máš kontaktovat instituci, za kterou se útočníci vydávají.

Vishing

Či tzv. voice phishing, je phishingový útok prováděný prostřednictvím telefonního hovoru. Představ si, že tě večer překvapí klasický telefonát z banky, že došlo k napadení tvého účtu, byla zaznamenána neautorizovaná platba nebo potřebují zkontrolovat údaje. Na drátě je člověk s profesionálním přístupem a výbornou češtinou. Spolupracuješ, protože jsi ve stresu. Ani se nenadáš a už sděluješ údaje na své platební kartě. Ráno s překvapením zíráš na vybílený účet. Případně si jeho vysávání koruny po koruně ani nevšimneš.

Vishingovým útokem jsou předem namluvené a automaticky přehrávané zprávy. Většinou vytvořené generátory převodu textu na řeč nebo umělou inteligencí, která napodobí i hlas tvých blízkých. Telefonní čísla navíc vypadají jako čísla reálné instituce, za kterou se vydávají – spoofing.

Náš tip: Chtěl/a bys vědět víc o různých typech kybernetických hrozeb, útoků a zranitelností? V kurzu Kybernetická bezpečnost se to všechno dozvíš. Po jeho absolvování se můžeš věnovat analytice kybernetické bezpečnosti, stát se kybernetickým bezpečnostním inženýrem, Data Protection Executive nebo IT analytikem.

Catfishing (catphishing)

V internetovém rybníčku, zejména pak na sociálních sítích nebo online seznamkách, lze chytit tzv. Catfish (česky sumce). Tito sumci se vydávají za někoho jiného, mají falešnou identitu. Cílem je oběť kompromitovat, navázat s ní vztah, vymoci z ní peníze nebo ji šikanovat (kyberšikana). Varovným signálem je požadování intimních fotografií, žádost o peníze nebo odmítání videohovoru (nefunguje mi kamera) či osobní schůzky. Podezřelá může být i profilová fotografie, která vypadá až moc dobře či genericky.

E-mail phishing

Častým prostředkem phishingu jsou e-maily. Je to velmi jednoduché a ekonomicky nenáročné. Jde cílit na velké množství adresátů a odeslat e-maily hromadně. A co je předmětem těchto zpráv? Kyberútočníci většinou po tobě chtějí něco, co by seriózní organizace nechtěla. Například zadání údajů o platební kartě nebo hesel k internetovému bankovnictví, stáhnutí souboru zaslaného v příloze nebo je součástí podvodného e-mailu škodlivý odkaz. Ten vede třeba na platební bránu, kde útočník získá data tvé karty, pomocí kterých pak vybrakuje tvůj účet.

7  zaručených znaků, jak phishing poznat?

1) Bezejmenné oslovení

Víš o tom, že serióznost organizace poznáš jednoduše podle toho, že tě osloví jménem? Oslovení bez jména může být signál phishingového útoku.

2) Týká se mě to?

Dostaneš e-mail nebo SMS o tom, že očekávanou zásilku od České pošty nedostaneš, pokud nedoplňíš adresní údaje. První myšlenkou by mělo být, zda sis vůbec nebo objednal/a nebo něco očekáváš.

3) Podezřelé odkazy

Typicky napodobují adresu konkrétní organizace. Liší se nejčastěji místem: místo.cz (zaměněné za .eu, .org) nebo má kosmetickou úpravu, které si ani nemusíš všimnout. Například místo O použijí 0 apod.

4) Nedokonalá čeština

Gramatické chyby mohou být první věcí, u které by tě mohlo ťuknout, že něco nehraje. Útočníci se často nachází v zahraničí a do češtiny si věty přeloží přes překladač. Je ale jen otázka času, kdy i tuto bariéru překonají velmi hravě pomocí textového modelu umělé inteligence.

5) Nový a neznámý odesílatel

Máš zprávu nebo e-mail od odesílatele, který ti nikdy předtím nepsal? Nebo dostaneš až moc přívětivou zprávu na chatu od kamaráda s urgentní prosbou, který se ti dlouho neozval?

6) Podezřele výhodná nabídka nebo výhra

„Vyhrál/a jsi tablet. Gratulujeme. Pojď si jej okamžitě vyzvednout.“ Stačí kliknout na tento podvodný odkaz a je to.

7) Výhrůžky, zastrašování a naléhavost

Udělej to či ono hned, jinak se něco stane nebo o něco přijdeš. Žádná seriózní organizace po tobě určitě nebude jakékoli přihlašovací údaje pod pohrůžkou zablokování účtu chtít. Časový nátlak působí stres, ve kterém jednáš bezhlavě. Zpráva typu „udělej tak do 12 hodin, jinak se do účtu už nedostaneš“ pak může být jednoduchým tahákem. Podobně i zprávy probouzející lidskou zvědavost patří k sofistikovaným metodám. Protože když ti přijde zpráva: „Podívej, pamatuješ na tuto společnou fotku?“ Určitě se budeš chtít podívat, co?

Chceš si své nasbírané znalosti hned otestovat? Vyzkoušej si kvíz od Googlu a zjisti, kolik phishingových e-mailů dokážeš rozeznat.

VÍCE O KYBERBEZPEČNOSTI