Nenechte se chytit na udičku. Jak bojovat s phishingem?

Přijdete do práce, otevřete e-mail a čeká vás šťastná zpráva. Banka vám chce vrátit několik tisíc, které údajně z vašeho účtu za podezřelých okolností odešly. Stačí jen transakci potvrdit kliknutím na odkaz a zadáním přihlašovacích údajů. Vše vypadá v pořádku – tak proč ne? Jeden velký důvod by se našel. Může se totiž jednat o phishing, kybernetický útok, který chce získat vaše data a potenciálně i peníze. Jak ho poznat? A co dělat, pokud jste se nachytali?

Phishing spadá do skupiny kybernetických útoků, které označujeme jako sociální inženýrství. Ty se zaměřují na nejslabší článek kyberbezpečnosti většiny firem – tedy samotného člověka. Lidský faktor totiž například dle studie kyberbezpečnostní firmy Tessian stojí za 88 % datových úniků, z nichž některé mohly být způsobené třeba právě phishingem.

Jak se proti phishingu bránit? Kromě spolehlivého ochranného softwaru by prvním krokem vždy mělo být pravidelné a dlouhodobé vzdělávání zaměstnanců. Phishing se totiž, stejně jako i zbytek kyberbezpečnostní sféry, neustále vyvíjí. I dnes občas narazíte na jeho zastaralou variantu – na e-maily, které adresátům tvrdí, že se stali dědici nigerijského prince. Dnešní varianty phishingu jsou ale mnohdy mnohem propracovanější a na první pohled se můžou zdát naprosto uvěřitelné. 

24. května 2024

3 min

Víte, jaké jsou typické rysy phishingu? Mezi ty nejčastější patří urgence. Kyberzločinci se snaží, abyste jednali rychle a bez rozmyslu. Můžou vám proto třeba hrozit, že pokud na odkaz nekliknete do několika hodin, přijdete o peníze nebo přístup k účtu. Banka by s vámi přitom podobným způsobem nikdy nejednala.

Dalším varovným signálem může být generický pozdrav, například „vážený kliente“. Kyberzločinci totiž phishingové e-maily mnohdy rozesílají širokému spektru potenciálních obětí, a nevyplatí se jim tak každou z nich oslovovat jménem. Zpozorněte i v případě, že v e-mailu či SMS naleznete chyby a překlepy. Phishingové e-maily se často drží zahraniční předlohy a do češtiny ji pak útočníci jen ledabyle přeloží v překladači. Dnešní online slovníky už si ale – v tomto případě bohužel – dokážou velmi slušně poradit i s komplikovanými zprávami.

Komplexní taktiky podvodníků

Někdy se dokonce stává, že kyberzločinci v jednom útoku spojí hned několik taktik. Na našem webu jsme například upozorňovali na případy, kdy útočníci naráz využili smishing, vishing a podvodnou aplikaci George. Oběti nejprve obdržely SMS, ve které jim údajný finanční úřad oznámil, že mají nárok na vrácení daní. Po kliknutí na odkaz v SMS se oběti dostaly na falešnou stránku George. Pokud na ní vyplnily své přihlašovací údaje, zpřístupnily je útočníkům. Zde ale podvod nekončil.

Brzy po vyplnění údajů se obětem ozval údajný pracovník banky s upozorněním, že bylo jejich bankovnictví napadeno. Obětem pak poslal falešný klíč George a vyzval je, aby si v aplikaci snížily limity na kartě a ochránily tak své finance. Doporučil jim, aby v aplikaci také změnily svůj PIN. Ve skutečnosti však oběti nevědomky svůj limit na kartě zvýšily a PIN předaly útočníkovi. Nakonec podvodník obětem poradil, ať si v telefonu aktivují NFC technologii a přiloží k němu kartu, čímž ji zabezpečí. Touto akcí však zasažení poskytli útočníkovi možnost vybrat jejich peníze z jakéhokoli bankomatu.

Taktiky zločinců jsou zkrátka stále komplexnější. Právě proto je třeba nezanedbávat přípravu a sebe i své zaměstnance v oblasti kyberútoků pravidelně vzdělávat.

Jedním z nejspolehlivějších způsobů, jak phishing odhalit, je pak kontrola odesílatele či volajícího. Telefonní číslo si můžete zkusit vygooglit a z oficiálních stránek – ale třeba i recenzí ostatních klientů – zjistit, zda se skutečně jedná o oficiální telefonní číslo například vaší banky. U e-mailů pak koukněte na celou adresu uživatele a případně ji online ověřte. Pokud tedy dostanete e-mail od uživatele s přezdívkou „Česká spořitelna“, rozklikněte si více informací o odesílateli a ujistěte se, že adresa působí důvěryhodně. 

Jak může vypadat podvodný e-mail?

Podívejte se na následující ukázku phishingu. Jedná se o skutečný příklad. Rozpoznali byste podvod? Pozorně si jej prohlédněte a pod obrázkem ověřte, že jste rozpoznali všechny varovné signály.

Co poukazuje na podvod?

  • Nedůvěryhodná adresa uživatele
  • Generické oslovení
  • Gramatické chyby
  • Vyzvání k rychlé akci

 

Co když na phishing kliknete?

O phishingu už něco víte a býváte obezřetní? I tak se bohužel může stát, že se jednoho dne na podvodný e-mail, zprávu či telefonát nachytáte. Co v takové situaci dělat? Hlavně nepanikařte a neprodleně kontaktujte svou banku. Vysvětlete jí situaci a popište, jaké údaje jste kyberzločincům předali. Banka může zablokovat vaše účty a znemožnit útočníkům, aby manipulovali s vašimi financemi.

Pohotová reakce je v tomto případě zásadní, jak vysvětluje i Radek Šalša, tiskový mluvčí České bankovní asociace (ČBA): „Pokuste se banku kontaktovat co nejdříve. Šance na záchranu peněz se tak výrazně zvyšuje. Banky mezi sebou totiž v této oblasti velice úzce spolupracují a je šance, že by peníze ještě mohly někde na cestě zachytit.“

Pokud byli útočníci rychlí a o nějaké peníze už jste přišli, kontaktujte také Policii ČR. Až poté můžete podnikat nějaké další kroky, třeba přeposílání peněz z kompromitovaného účtu na účet jiný. Tento krok sám o sobě totiž nemusí vaše finance ochránit. Držte se pokynů banky. Ta v ideálním případě váš účet zabezpečí, vydá vám nové přihlašovací údaje a kartu a útočníkům tak znemožní využití získaných dat. 

Mohlo by vás dále zajímat

Nové standardy kyberbezpečnosti. Je vaše firma připravená na NIS2?

Bezpečnost v digitální éře. Jak firmy reagují na kybernetické hrozby?

Umělá inteligence a ochrana dat. Jak předejít úniku firemních údajů (nejen) skrze ChatGPT?