Internet je místem, kdy pravidlo důvěřovat ale prověřovat platí dvojnásob. Přesvědčili jsme se o tom už několikrát v našich dřívějších článcích například o SPAMu nebo o Fake News. Dnes se podíváme na další druh hrozby, která spadá do škatulky velmi záludných útoků.
Phishing (nebo-li z angličtiny v překladu rybaření) je druh cíleného útoku, který dostává v plném významu svému označení. Útočník je zde v roli pomyslného rybáře číhajícího na svou oběť tak, že nahazuje udičky s vábničkou – emailové zprávy podstrkující domnělé informace, které nutí uživatele k určité interakci. Ty v konečném důsledku pro něj budou znamenat nejen ztrátu důležitých osobních údajů, ale třeba i peníze nebo své soukromí.
Psali jsme dříve:
Nástroje phisingu jsou principiálně jednoduché, ale možná o to více účinné. Využívají neznalosti a určité nepozornosti uživatelů. Snaží se je nachytat na první pohled drobných rozdílech, teoreticky známých úkonech, které vypadají neškodně. Pro útočníky není například problém připravit email, který se může tvářit jako osobní zpráva z banky, která vás bude vyzívat k aktualizaci vašich osobních údajů a bude vám nabízet časově úspornou online variantu bez nutnosti návštěvy pobočky.
Odkaz v těle emailu vás přesměruje na podvodné stránky, které se budou tvářit na první dobrou jako ty skutečné – třeba právě vaší známé banky. Ve skutečnosti půjde o podvrh, na pozadí webu poběží záškodnický kód, který vás buď přinutí stáhnout útočnou aplikaci do vašeho počítače, případně z vás vytáhne pomocí webového formuláře osobní údaje. Třeba i ty pro přihlášení do internetového bankovnictví pod záminkou jejich aktualizace a ověření v jakési pofiderní databázi.
Je důležité si pamatovat, že žádná z předních bankovních a jim obdobných institucí vás nikdy pomocí emailu nebude vyzývat k aktualizaci osobních údajů tímto způsobem. Vždy je nutné se řídit selským rozumem a v případě nejistoty se raději napřímo telefonicky nebo lépe osobně informovat přímo na klientském centru daného úřadu/instituce atd.
Dobré je také sledovat URL adresu daného webu, moderní prohlížeče už dnes samy upozorňují na (ne)zabezpečené spojení (https) s webem. Stejně tak zdůrazňují kořenovou adresu webu pro její lepší vizuální kontrolu uživatelem, aby skutečně věděl, na které stránce se aktuálně nachází. Stejně tak kontrola odesílatele emailové zprávy by měla být jedním z prvních úkonů, které by neměl uživatel u podobných zpráv podcenit.
Chcete se dozvědět ještě více informací o phishingu? Podívejte se do našeho kurzu.