0
1

Podvodné e-maily — phishing

S velkou pravděpodobností jste se již někdy stali terčem tzv.  - phishingového útoku v podobě podvodného e-mailu nebo zprávy na sociálních sítích. Cílem těchto útoků je buď od vás získat vaše citlivé údaje (např. číslo platební karty a přístup do on-line bankovnictví), nebo vás donutit k nechtěnému stažení škodlivého softwaru. Podívejme se blíže na jednotlivé typy útoků.

Phishingové e-maily 

Útočníci v podvodných e-mailech chtějí, abyste udělali něco, co po vás nikdy žádná spolehlivá obchodní společnost či autorita prostřednictvím nevyžádaného e-mailu nebude požadovat: zadání údajů o platební kartě nebo hesel k internetovému bankovnictví, stáhnutí souboru zaslaného v příloze apod. 

Podvodný phishingový e-mail může vypadat třeba takto:

Phishing prostřednictvím videí

Phishingové útoky se mohou dít i prostřednictvím videí, nejčastěji zasílaných e-mailem. Ve videích může vystupovat podvodný bankéř, policista apod. Cílem těchto videí je přimět oběť ke spolupráci, například z důvodu neprovedené transakce nebo nutnosti aktualizace osobních údajů či přístupových hesel. Podvodníci vyzývají oběti, aby klikli na zaslaný link nebo zavolali na podvodné číslo. Následně z nich manipulativními technikami získají potřebné citlivé údaje nebo donutí oběť k instalaci vzdáleného přístupu do počítače.

Phishing přes sociální sítě

Phishingové útoky prostřednictvím sociálních sítí jsou velmi podobné těm uskutečněným prostřednictvím e-mailu. I zde útočníci využívají metod sociálního inženýrství, aby ze svých obětí podvodně vylákali peníze nebo jejich citlivé osobní údaje. Nejčastěji vnikne útočník do profilu oběti na sociální síti a zneužije ho k rozeslání zpráv s podvrženým odkazem jejím přátelům. Útočník často ani nemusí do profilu proniknout, ale jednoduše profil zkopíruje a přátelům z adresáře odešle zprávu, která vypadá, jako by byla odeslána z pravého profilu.  Zpráva často obsahuje žádost o peníze, nebo podvodné linky na webové stránky, jejichž prostřednictvím se z vás útočník snaží vylákat citlivé údaje. 


Phishing ve firmách (BEC — business e-mail compromise)

Tento druh phishingu je jedním z finančně nejškodlivějších online zločinů. Typicky podvodník předstírá, že je pro vás známou autoritou, např. finančním či generálním ředitelem, a v dobře koncipovaném e-mailu zaslaném z podvržené e-mailové adresy vyjadřuje naléhavou potřebu uhradit fakturu nebo převést peníze. Podvodníci mají pečlivě nastudované detaily z pracovního i soukromého života nadřízeného a dokážou tak velmi autenticky předstírat, že jsou někým jiným. Podvodné e-maily bývají zpravidla odeslány pozdě během dne, často ve čtvrtek nebo pátek nebo před státním svátkem. Časté jsou i případy, kdy např. známý dodavatel nebo úřední osoba (např. exekutor) vymáhá uhrazení nějakého poplatku, či dokonce dluhu.

Jak phishing poznat a jak se mu bránit? 

  1. Zkontrolujte jméno a e-mailovou adresu odesílatele. E-mailová doména odesílatele by měla být shodná s názvem obchodní společnosti odesílatele e-mailu. To platí i pro název domény (to, co následuje po @). Na první pohled může vypadat v pořádku, ale ve skutečnosti může být překroucená, jinak napsaná. Může zde být např. „gimletrnedia“ místo „gimletmedia“. I to vás může zmást. Je potřeba si všímat i malých detailů.
    Odpověď na e-mail může být totiž odeslána příjemci odlišnému od odesílatele. Tuto informaci najdete v detailech e-mailu pod odesílatelem jako „Reply-to“ neboli „Odpovědět na“. Pokud je to tak, ověřte i tuto adresu. Jinak mohou informace, které v odpovědi odešlete, skončit u podvodníka. 
  1. Zaměřte se na obsah a gramatiku. Pokud zpráva obsahuje neobvyklé fráze nebo gramatické chyby, může se jednat o podvodný e-mail. Odesílatel mohl k vytvoření celého e-mailu použít online překladač. 
  2. Dejte si pozor na časový nátlak. Podvodný e-mail se často snaží navodit dojem, že je potřeba vykonat něco okamžitě, protože například došlo k zablokování bankovního účtu nebo je třeba obratem uhradit fakturu, jinak spadnete do exekuce. Nenechte se vyprovokovat k neuvážené akci. Zastavte se a přemýšlejte. 
  3. Věnujte pozornost odkazům a přílohám. Pokud jsou v e-mailu nebo ve zprávě na sociálních sítích odkazy a přílohy, musíte být opatrní. Často můžete být nuceni z různých důvodů kliknout na odkaz nebo stáhnout a otevřít přílohu. Tyto přílohy však mohou sloužit k maskování virů nebo malwaru, které po stažení nebo otevření mohou vést buď ke ztrátě osobních údajů, nebo k instalaci škodlivého softwaru do počítače nebo telefonu. I pouhé kliknutí na ně může infikovat vaše zařízení. Ke stránkám se přihlašujte pouze přímo v prohlížeči, nebo aplikaci, nikdy prostřednictvím odkazu nebo přílohy zaslané v e-mailu. Pokud máte pochybnosti, kontaktujte klientské centrum instituce, která vám e-mail poslala. 
  4. Pozor na zrádné ikonky, tlačítka a obrázky, odkazy mohou být skryté právě pod nimi. Webová adresa by měla být vždy shodná s oficiálním webem odesílatele. Předtím než kliknete na ikonku, najeďte na ni myší. Kompletní cílový odkaz se vám pak zobrazí v levém dolním rohu e-mailové aplikace nebo jako tip vedle kurzoru myši.
  5. Mějte na svých elektronických zařízeních nainstalován aktualizovaný antivirový program a spamový filtr (např. Cisco Secure Client).