Čo má spoločné phishing s rybárčením?

Rybár chytá obeť na návnadu phishing

Aj keď útočníci pri phishingu ryby nechytajú v pravom slova zmysle, od rybárčenia nemajú ďaleko. Cieľom ich lovu ste totiž vy, respektíve potenciálne obete.

V článku sa dozviete:

  • čo je to phishing,
  • ako vyzerá phishingový útok v praxi
  • a ako sa naučiť nenaletieť podvodníkom.

Phishing je forma útoku s využitím metód sociálneho inžinierstva – teda techník, ktoré prostredníctvom psychologickej manipulácie spôsobujú u používateľa alebo skupiny želanú zmenu jeho správania v prospech útočníka. Výsledkom tejto manipulácie je získanie osobných informácii o používateľovi podvodom.

Phishing sa považuje za veľmi úspešnú a jednoduchú cestu na dosiahnutie zisku podvodným spôsobom. Najčastejšie sa šíri cez klamlivé e-maily, četovacie služby či obyčajný odkaz v príspevku na sociálnej sieti.

Zaujímavosť phishing

Zaujímavosť

Pojem phishing pochádza z anglického slova „fishing“, čo v preklade znamená rybolov. V IT bezpečnosti sa na význam tohto slova pozeráme, ako na chytanie obete na návnadu.

Ako phishing funguje?

Technika phishingového útoku je založená na podobnom princípe ako bežné rybárčenie. Návnadou v tomto prípade môže byť e-mail, klasický telefonát (vishing), SMS (smishing) alebo príspevok či súkromná správa na sociálnej sieti. Rybou, ktorá sa má na ňu chytiť, je používateľ, ktorý je prostredníctvom akéhokoľvek zariadenia pripojený k internetu. Cieľom útočníkov sú jeho osobné údaje, ktoré sa útočníci snažia získať a následne predať alebo zneužiť na iné nekalé účely ako vydieranie, krádež peňazí alebo krádež identity.

Phishingový útok phishing

Ako phishing funguje v praxi?

Aby ste si vedeli predstaviť, ako vyzerá phishignový útok, ukážeme si ho na jednoduchom príklade phishingového e-mailu. Keďže sa však phishing netýka len e-mailovej komunikácie, podobné znaky môžu byť viditeľné aj v prípade iných foriem ako sú vishing (telefonát) alebo smishing (SMS).

  1. Phishingový e-mail na prvý pohľad pôsobí pomerne dôveryhodne. Najčastejšie sa tvári, že prichádza od vašej banky či inej bežne dostupnej online služby narábajúcej s vašimi osobnými údajmi.
  2. E-mail môže obsahovať znaky formálnej komunikácie – oslovenie, logo spoločnosti, adresu, pozdrav a iné prvky, ktoré na prvý pohľad nevyzerajú pre bežného používateľa podozrivo.
  3. V tele e-mailu vás odosielateľ môže vyzvať k vyplneniu formulára s cieľom aktualizácie údajov, napríklad aktualizovať vaše prihlasovacie údaje do konkrétnej služby. Častá je aj výzva k stiahnutiu dokumentu priloženého v prílohe e-mailu, prípadne výzva k návšteve externej internetovej stránky, na ktorej sa vyžaduje vyplnenie podrobností o vašom účte alebo kreditnej karte.
  4. Pätička e-mailu, správa, odkazy alebo falošné webové stránky môžu obsahovať oficiálne logo alebo iné poznávacie znamenia hodnovernej organizácie.

Ako teda rozpoznať, že sa jedná o phishingový útok?

Na základne ukážky e-mailu to na prvý pohľad vyzerá, že je takmer nemožné odlíšiť legitímnu správu od phishingového útoku. Nie je to však pravda. Každej správe a informáciám v nej či už vo vašej e-mailovej schránke, príspevku na sociálnej sieti aleboi telefonickému rozhovoru je potrebné venovať dostatočnú pozornosť, predovšetkým v prípadoch, kedy sa jedná o vaše osobné údaje.

Čo si všímať?

Žiadosť o osobné údaje

Vyžiadanie osobných údajov prostredníctvom e-mailu, telefonátu alebo sms správy je základným znakom phishingu. Podozrenie vzbudzuje už len samotný fakt, že od vás niekto vyžaduje zaslanie citlivých údajov o vás prostredníctvom týchto komunikačných nástrojov. Táto požiadavka môže prísť dokonca aj prostredníctvom správy na sociálnych sieťach.

Banky, finančné inštitúcie či rôzne iné bežne dostupné online služby sa takýmto žiadostiam zväčša zámerne vyhýbajú. Táto neočakávaná korešpondencia od odosielateľa je veľmi nezvyčajná a podozrivá, a to aj v prípade, ak obsahuje logo napríklad vašej banky. Ak sa objaví vo vašej e-mailovej schránke, pred tým ako niečo odošlete, kontaktujte odosielateľa a preverte si legitímnosť takejto správy, napríklad telefonicky.

Ukážka e-mailu z praxe - žiadosť o osobné údaje phishing

Ukážka e-mailu z praxe

Naliehavosť

Phishingové správy sa často svojím obsahom pokúšajú motivovať k rýchlemu a neuváženému konaniu. Napríklad vás odosielateľ v správe vyzve aktualizovať svoje údaje do 48 hodín. Často túto informáciu umiestnia už priamo do predmetu správy, aby naliehavosť ešte viac podporili.

Ukážka e-mailu z praxe - naliehavosť phishing

Ukážka e-mailu z praxe

Všeobecné a neformálne oslovenia

Phishingový e-mail alebo správa obsahuje všeobecné oslovenie, napr. „Milý môj” alebo „Ahoj môj najlepší kamarát“. Nie vaše konkrétne meno, prípadne zaužívané formálne oslovenie „Vážený zákazník“. E-mail môže obsahovať aj oficiálne logo alebo iné poznávacie znamenia hodnovernej organizácie, no i napriek tomu môže ísť o phishing.

Ukážka e-mailu z praxe - naliehavosť phishing

Ukážka e-mailu z praxe

Slabá jazyková úroveň

Pravopisné chyby, preklepy a nezvyčajné vetné formuláre často naznačujú, že ide o phishing. Absencia takýchto chýb však nie je zárukou toho, že ide o pravdivú správu. Útočníci dnes využívajú často služby profesionálnych prekladateľov. Preto si je potrebné všímať aj ďalšie znaky, ktoré phishingový e-mail obsahuje.

Ukážka e-mailu z praxe - slabá jazyková úroveň phishing

Ukážka e-mailu z praxe

Podozrivá príloha

Útočník môže vaše zariadenie infikovať aj skriptom cez e-mailovú prílohu. Napríklad vám odošle súbor pomenovaný, ako názovsúboru.doc.js. Na prvý pohľad sa môže používateľovi javiť ako dokument word, ale je to škodlivý javascript. Zariadenia môžu útočníci infikovať aj cez makra v exceli, worde a pod. Preto je potrebné byť obozretný, špecificky pri správach, ktoré pochádzajú od cudzej osoby, z podozrivej e-mailovej adresy, majú príliš šokujúci alebo nepravdepodobný obsah či obsahujú informáciu o neočakávanej výhre.

Ukážka e-mailu z praxe - podozrivá príloha phishing

Ukážka e-mailu z praxe

Neočakávaná výhra

Často sa objavuje správa obsahujúca ponuku, ktorá sa neodmieta. “Vážený zákazník. Gratulujeme! Vyhrali ste najnovší smartfón. Zašlite nám Vaše kontaktné údaje.” Ak znie správa až príliš dobre na to, aby to bola pravda, takmer vždy ide o podvod. Obzvlášť ak ste vyhrali v súťaži, ktorej ste sa nezúčastňovali.

Ukážka e-mailu z praxe - Neočakávaná výhra phishing

Ukážka e-mailu z praxe

Podozrivá e-mailová adresa alebo doména

Phishingové správy, e-mailové adresy či falošné webové stránky vyzerajú čoraz legitímnejšie. Preto je potrebné, aby ste si všímali doménu v adrese odosielateľa, pretože vaša banka zrejme nebude posielať e-mail napríklad z čínskej domény. Pomerne často využívajú aj verejne a bezplatne dostupné e-mailové služby, napríklad Gmail alebo Yahoo. Pokiaľ vás kontaktuje vaše banka alebo nejaká služba so žiadosťou o vaše citlivé údaje, vždy si overte legitímnosť informácie a to jednoducho telefonátom alebo návštevou pobočky.

Ukážka e-mailu z praxe - podozrivá e-mailová adresa alebo doména - phishing

Ukážka e-mailu z praxe

Hlavné pravidlo

Phishingoví útočníci sú čoraz sofistikovanejší a preto nie je pravidlom, že vyššie spomenuté body sú prítomné pri každom phishignovom útoku. Preto sa v online svete riaďte jedným hlavným pravidlom:

Nikdy nezasielajte vaše osobné údaje prostredníctvom e-mailu alebo iných dostupných komunikačných platforiem.

Zaujímavosť - phishing

Zaujímavosť

Technologický inkubátor spoločnosti Google, Jigsaw, predstavil interaktívny kvíz, pomocou ktorého sa môžete otestovať pri rozpoznávaní škodlivých phishingových e-mailov. V teste vás čaká 8 scenárov, ktoré vás prevedú technikami, ktoré kybernetickí útočníci  používajú  v bežnom živote. Otestovať sa môžete tu: https://phishingquiz.withgoogle.com/.


Autor: Tím ESET