V roku 2014 došlo k úniku údajov troch miliárd používateľov Yahoo. V roku 2016 boli zamestnanci spoločnosti Sony Pictures svedkami úniku citlivých osobných informácií spolu s tisíckami firemných dokumentov. Čo majú tieto dva útoky spoločné? Oba sa začali obyčajným phishingovým e-mailom.
Hrozby sa neustále vyvíjajú. No phishingové e-maily sú stále jedným z najbežnejších spôsobov, akým útočníci získavajú prístup k citlivým informáciám alebo infikujú zariadenia používateľov malvérom. Zatiaľ čo väčšina známych prípadov phishingu sa sústredí na anonymných používateľov, útočníci môžu phishing využívať aj na cielené útoky.
Ako poukazujú výskumníci spoločnosti ESET, v roku 2022 sa tento typ hrozby zvýšil o takmer 30 % oproti predchádzajúcemu roku. A s rozšírením umelej inteligencie je pravdepodobné, že tieto čísla budú ešte narastať.
Phishingové útoky sú formou sociálneho inžinierstva, ktoré používateľa nútia k rýchlej reakcii. Hoci každý z nás sa môže stať obeťou phishingu, je dobré vedieť, ako ho rozpoznať. Pozreli sme sa na niektoré reálne príklady najbežnejších spôsobov phishingových „hlášok“, ktoré útočníci používajú, aby nás oklamali.
1. „Vaša relácia vypršala. Kliknite na odkaz nižšie a prihláste sa znova.“/„Vaša relácia vypršala. Aby ste nestratili prístup k účtu, prihláste sa cez odkaz nižšie.“
Niektoré z najbežnejších foriem phishingu používateľa stručne informujú o odhlásení z účtu a potrebe opätovného prihlásenia zadaním prihlasovacích údajov cez priložený odkaz v tele e-mailu. Kliknutie na odkaz však presmeruje na webovú stránku, ktorá vyzerá veľmi podobne tej skutočnej. Rozdiel je však v tom, že zadaním prihlasovacích údajov ich okamžite odošle útočníkom, ktorí ich potom použijú na prístup k účtom používateľa.
Táto technika sa opiera o zvyk používateľov automaticky reagovať na tieto správy bez premýšľania o obsahu alebo bez kontrolovania typických znakov phishingových e-mailov/správ.
Týmto trikom sa podvodníci snažia vyvolávať pocit naliehavej situácie. Kto by nechcel zabrániť náhlej strate účtu, však? Tieto e-maily obvykle zosobňujú správy od legitímnych služieb, ako sú napríklad Amazon, PayPal, Spotify, Facebook atď.
Koncom roku 2018 vydala americká Federálna obchodná komisia (FTC) varovanie pred phishingovými e-mailmi, ktoré sa vydávali za streamingového giganta Netflix. Tieto e-maily tvrdili, že účet bol pozastavený pre problémy s platobnými údajmi a žiadali ľudí, aby aktualizovali svoje údaje pomocou vloženého odkazu, ktorý bol, samozrejme, škodlivý a slúžil iba na získanie prihlasovacích údajov.
Kyberzločinci to nedávno začali s phishingovými správami vydávajúcimi sa za komunikáciu od Netflixu skúšať aj na Slovensku. Podvodné esemesky začali používateľom navyše odosielať v čase, keď streamovacia platforma skutočne kontaktovala zákazníkov ohľadom zmien pravidiel pre zdieľanie účtu.
Podobné útoky boli v roku 2016 zamerané aj na zákazníkov Apple. Podvodníci sa snažili ukradnúť osobné údaje používateľov pomocou phishingových e-mailov, ktoré tvrdili, že používatelia musia potvrdiť svoje údaje účtu, pretože v databáze Apple iTunes bol „vírus“ nájdený.
2. „Potrebujem, aby ste vykonali urgentnú platbu“
Využívanie phishingu s výzvou k urgentnej platbe dlhodobo patrí medzi úspešné podvodné kampane aj vo firemnom prostredí. Kampane tzv. spearphishingu sa nezameriavajú len na anonymné osoby, ale namiesto toho smerujú na konkrétnu osobu alebo skupinu zamestnancov vo vybranej spoločnosti.
Pred odoslaním týchto falošných e-mailov si podvodníci zisťujú čo najviac informácií o firemnej štruktúre, jazyku, firemnej kultúre a podobne, aby bol phishingový e-mail takmer nerozpoznateľný od skutočného.
Niektoré z týchto e-mailov sa zameriavajú na zamestnancov zodpovedných za prácu s hotovosťou a finančnými záležitosťami. Predstierajú, že sú CEO alebo iní nadriadení, ktorí majú právo finančného prevodu a žiadajú obeť, aby poslala finančné prostriedky na konkrétny účet, údajne patriaci CEO alebo danej spoločnosti.
3. „Vážený uchádzač…“
Tieto phishingové e-maily používajú ako návnadu falošné pracovné ponuky. Môžu oklamať potenciálne obete, aby klikli na phishingový odkaz alebo otvorili škodlivé súbory, ktoré sú spolu s e-mailovou správou zaslané. Žiadajú obeť napríklad o vytvorenie účtu a zadanie svojich osobných údajov ako spôsobu podania žiadosti o prácu.
Napríklad skupina Lazarus vykonala množstvo takýchto kampaní vrátane operácie DreamJob, ktorú nedávno objavili výskumníci spoločnosti ESET.
ESET HOME Security Essential
Komplexná digitálna ochrana. Bezstarostné platby a zabezpečenie súkromia vďaka funkciám, ako je anti-phishingová ochrana a ochrana Wi-Fi.
ESET HOME Security Premium
Zvýšte svoju ochranu pomocou nástroja Password Manager, šifrovania citlivých súborov a špičkovej detekcie hrozieb.
ESET HOME Security Ultimate
Získajte najlepší dostupný plán zabezpečenia doplnený o VPN a funkciu Čistenia metadát a buďte bez obáv.
4. „Vzhľadom na súčasnú situáciu…“
Phishing tiež naberá na intenzite v čase veľkých udalostí, či už ide o športovú udalosť alebo humanitárnu krízu.
Napríklad na začiatku roku 2023 skupina Fancy Bear spustila e-mailovú kampaň súvisiacu s vojnou na Ukrajine. E-maily niesli škodlivý RTF súbor s názvom „Jadrový terorizmus – veľmi reálna hrozba.“ Po otvorení tento súbor nielenže infikoval počítač, ale obsahoval aj článok od známej renomovanej aliancie Atlantic Council, ktorý tvrdil, že pravdepodobnosť, že Putin použije jadrové zbrane vo vojne na Ukrajine, je veľmi nízka – presný opak tvrdenia v názve dokumentu, čo podnietilo obeť otvoriť ho.
ODPORÚČANÝ ČLÁNOK: Počet podvodov cez SMS vzrastá. Ako neprísť o údaje o kreditnej karte?
5. „Veselé Vianoce!“
Podvody počas sviatkov často zneužívajú nákupné šialenstvo. E-maily obsahujú ponuky „príliš dobré na to, aby boli pravdivé“ alebo vytvárajú falošný pocit naliehavej situácie, napríklad časovo obmedzenými výhodnými cenovými ponukami.
Medzi ďalšie postupy patrí zaslanie e-mailov so škodlivými súbormi súvisiacimi so sviatkami vrátane vianočných pohľadníc, poukážok či rôznych reťazových správ.
6. „Nie je potrebná odpoveď“
Niektoré phishingové e-maily neobsahujú skoro žiadny obsah a lákajú obete otvoriť priložený súbor.
Napríklad v roku 2021 objavili výskumníci spoločnosti ESET škodlivú kampaň, ktorá cielila na firemné siete v španielsky hovoriacich krajinách, pričom používala krátke e-maily s prílohami vo formáte PDF.
Predmet e-mailu môže byť jednoduchý ako v tomto prípade: „Vyhlásenie Dublinských služieb“; pričom samotný e-mail okrem podpisu a kontaktného čísla mobilného telefónu vo Venezuele neobsahoval žiadnu správu.
Takéto PDF prílohy zvyčajne obsahujú odkaz, ktorý presmeruje obete na cloudové úložné služby, z ktorých si môžu stiahnuť malvér.
ODPORÚČANÝ ČLÁNOK: Masívna globálna phishingová kampaň napodobňuje stránky známych značiek
Ako sa chrániť pred phishingovými e-mailmi:
- Dôkladne si prečítajte e-mail. Neklikajte neuvážene.
- Skontrolujte, či e-mailová adresa zodpovedá skutočnej doméne.
- Buďte opatrní pri neočakávaných náhlych e-mailoch od banky, služby alebo akéhokoľvek iného subjektu.
- Dávajte si pozor na varovné signály, ako sú urgentné e-maily, ktoré vyžadujú okamžitú odpoveď, alebo žiadosti o prihlasovacie údaje, osobné či finančné informácie.
- Porovnajte priloženú URL adresu s príslušnou doménou skutočnej spoločnosti alebo organizácie. Ak zistíte niečo podozrivé, neklikajte na ňu.
- Buďte obozretní voči ponukám, ktoré sú príliš dobré, aby boli pravdivé, a neočakávaným darčekom.
- Neposielajte žiadne peniaze. Ak vás váš nadriadený náhle požiada o takýto prevod, oslovte ho priamo.
- Nainštalujte si bezpečnostný produkt s integrovanými nástrojmi proti phishingu.
Zaujal vás tento článok? Prihláste sa na odber nášho newslettra a získajte každý mesiac praktické rady o bezpečnosti na internete.
Spracoval: Tím ESET
Zdroj: WeLiveSecurity – Roman Cuprik: Dear all, What are some common subject lines in phishing emails?
