Mějte se na pozoru před podvodníky
Přijdete do práce, otevřete e-mail a čeká vás šťastná zpráva. Banka vám chce vrátit několik tisíc, které z vašeho účtu údajně odešly za podezřelých okolností. Stačí jen transakci potvrdit kliknutím na odkaz a zadáním přihlašovacích údajů. Vše vypadá v pořádku – tak proč ne? Jeden velký důvod by se našel. Může se totiž jednat o phishing, kybernetický útok, který chce získat vaše data a potenciálně i peníze. Jak ho poznat? A co dělat, pokud jste se nachytali?
V poslední době se šíří vlna propracovaných phishingových útoků, které cílí nejen na jednotlivce, ale i na firmy. Podvodníci se při těchto útocích vydávají za renomované a důvěryhodné společnosti, aby vzbudili co největší důvěru. Zasílají e-maily, ve kterých příjemce informují o údajné změně bankovního účtu pro zasílání plateb. Aby e-maily vypadaly co nejvěrohodněji, často obsahují přílohu s falešným dokumentem nazvaným „Potvrzení o vedení účtů“.
Tyto zprávy se sice tváří jako oficiální sdělení, jejich skutečným cílem je však získat přístup k vašim financím. Útočníci tímto způsobem mohou snadno ohrozit nejen vaše finance, ale i prostředky vašich obchodních partnerů nebo zákazníků. Z tohoto důvodu je nesmírně důležité být při přijímání obdobných e-mailů maximálně obezřetní. Doporučujeme pečlivě ověřovat pravost každé podobné zprávy, zejména když se týká citlivých finančních údajů, než podniknete jakékoli další kroky..
Phishing spadá do skupiny kybernetických útoků, které označujeme jako sociální inženýrství. Ty se zaměřují na nejslabší článek kyberbezpečnosti většiny firem – tedy samotného člověka. Lidský faktor totiž například dle studie kyberbezpečnostní firmy Tessian stojí za 88 % datových úniků, z nichž některé mohly být způsobené třeba právě phishingem.
Jak se proti phishingu bránit? Kromě spolehlivého ochranného softwaru by prvním krokem vždy mělo být pravidelné a dlouhodobé vzdělávání zaměstnanců. Phishing se totiž, stejně jako i zbytek kyberbezpečnostní sféry, neustále vyvíjí. I dnes občas narazíte na jeho zastaralou variantu – na e-maily, které adresátům tvrdí, že se stali dědici nigerijského prince. Dnešní varianty phishingu jsou ale mnohdy mnohem propracovanější a na první pohled se můžou zdát naprosto uvěřitelné.
11. října 2024
3 min
Víte, jaké jsou typické rysy phishingu? Mezi ty nejčastější patří urgence. Kyberzločinci se snaží, abyste jednali rychle a bez rozmyslu. Můžou vám proto třeba hrozit, že pokud na odkaz nekliknete do několika hodin, přijdete o peníze nebo přístup k účtu. Banka by s vámi přitom podobným způsobem nikdy nejednala.
Dalším varovným signálem může být generický pozdrav, například „vážený kliente“. Kyberzločinci totiž phishingové e-maily mnohdy rozesílají širokému spektru potenciálních obětí, a nevyplatí se jim tak každou z nich oslovovat jménem. Zpozorněte i v případě, že v e-mailu či SMS naleznete chyby a překlepy. Phishingové e-maily se často drží zahraniční předlohy a do češtiny ji pak útočníci jen ledabyle přeloží v překladači. Dnešní online slovníky už si ale – v tomto případě bohužel – dokážou velmi slušně poradit i s komplikovanými zprávami.
Komplexní taktiky podvodníků
Někdy se dokonce stává, že kyberzločinci v jednom útoku spojí hned několik taktik. Na našem webu jsme například upozorňovali na případy, kdy útočníci naráz využili smishing, vishing a podvodnou aplikaci George. Oběti nejprve obdržely SMS, ve které jim údajný finanční úřad oznámil, že mají nárok na vrácení daní. Po kliknutí na odkaz v SMS se oběti dostaly na falešnou stránku George. Pokud na ní vyplnily své přihlašovací údaje, zpřístupnily je útočníkům. Zde ale podvod nekončil.
Brzy po vyplnění údajů se obětem ozval údajný pracovník banky s upozorněním, že bylo jejich bankovnictví napadeno. Obětem pak poslal falešný klíč George a vyzval je, aby si v aplikaci snížily limity na kartě a ochránily tak své finance. Doporučil jim, aby v aplikaci také změnily svůj PIN. Ve skutečnosti však oběti nevědomky svůj limit na kartě zvýšily a PIN předaly útočníkovi. Nakonec podvodník obětem poradil, ať si v telefonu aktivují NFC technologii a přiloží k němu kartu, čímž ji zabezpečí. Touto akcí však zasažení poskytli útočníkovi možnost vybrat jejich peníze z jakéhokoli bankomatu.
Taktiky zločinců jsou zkrátka stále komplexnější. Právě proto je třeba nezanedbávat přípravu a sebe i své zaměstnance v oblasti kyberútoků pravidelně vzdělávat.
Jedním z nejspolehlivějších způsobů, jak phishing odhalit, je pak kontrola odesílatele či volajícího. Telefonní číslo si můžete zkusit vygooglit a z oficiálních stránek – ale třeba i recenzí ostatních klientů – zjistit, zda se skutečně jedná o oficiální telefonní číslo například vaší banky. U e-mailů pak koukněte na celou adresu uživatele a případně ji online ověřte. Pokud tedy dostanete e-mail od uživatele s přezdívkou „Česká spořitelna“, rozklikněte si více informací o odesílateli a ujistěte se, že adresa působí důvěryhodně.
Jak může vypadat podvodný e-mail?
Podívejte se na následující ukázku phishingu. Jedná se o skutečný příklad. Rozpoznali byste podvod? Pozorně si jej prohlédněte a pod obrázkem ověřte, že jste rozpoznali všechny varovné signály.
Co poukazuje na podvod?
- Nedůvěryhodná adresa uživatele
- Generické oslovení
- Gramatické chyby
- Vyzvání k rychlé akci
Co když na phishing kliknete?
O phishingu už něco víte a býváte obezřetní? I tak se bohužel může stát, že se jednoho dne na podvodný e-mail, zprávu či telefonát nachytáte. Co v takové situaci dělat? Hlavně nepanikařte a neprodleně kontaktujte svou banku. Vysvětlete jí situaci a popište, jaké údaje jste kyberzločincům předali. Banka může zablokovat vaše účty a znemožnit útočníkům, aby manipulovali s vašimi financemi.
Pohotová reakce je v tomto případě zásadní, jak vysvětluje i Radek Šalša, tiskový mluvčí České bankovní asociace (ČBA): „Pokuste se banku kontaktovat co nejdříve. Šance na záchranu peněz se tak výrazně zvyšuje. Banky mezi sebou totiž v této oblasti velice úzce spolupracují a je šance, že by peníze ještě mohly někde na cestě zachytit.“
Pokud byli útočníci rychlí a o nějaké peníze už jste přišli, kontaktujte také Policii ČR. Až poté můžete podnikat nějaké další kroky, třeba přeposílání peněz z kompromitovaného účtu na účet jiný. Tento krok sám o sobě totiž nemusí vaše finance ochránit. Držte se pokynů banky. Ta v ideálním případě váš účet zabezpečí, vydá vám nové přihlašovací údaje a kartu a útočníkům tak znemožní využití získaných dat.