Phishing a ako sa pred ním chrániť

Čo je phishing a ako ho rozpoznať? Poďte si prečítať náš článok, v ktorom sa venujeme jednému z najrozšírenejších kybernetických útokov, ktorého počet „obetí“ neustále stúpa aj napriek čoraz lepšej informovanosti verejnosti. Ochráňte svoju identitu, cenné dáta i peniaze. Poďte zistiť, ako sa brániť pred phishingom.

O čom sa dočítate:

Čo je phishing

Ako funguje phishing

Ako spoznať phishing

Ako sa brániť proti phishingu

Aké phishingy existujú

Čo robiť, ak ste sa stali obeťou phishingu

Bonusové tipy

Čo je to phishing?

Phishing je nebezpečný kyberútok, najčastejšie vykonávaný prostredníctvom zasielania podvodných e-mailov a esemesiek, niektoré sa tvária aj ako dobre známy spam. Cieľom útočníka je zmanipulovať príjemcu tak, aby mu svojvoľne sám odovzdal citlivé osobné informácie, ktoré zneužije na nezákonné obohatenie, spôsobenie škody či v prípade ukradnutia identity aj na ďalšie útoky a pod. Útočníkom ide vo väčšine prípadov o údaje vašej platobnej karty a prístup do vášho bankového konta. Napriek čoraz intenzívnejšej snahe zvýšiť povedomie o tomto spôsobe ilegálnej činnosti u laickej verejnosti, tieto nezákonné praktiky v súčasnosti zažívajú pokrok.

Phishing je produktom sociálneho inžinierstva. Útočník sa vydáva za osobu alebo firmu, ktorú dôverne poznáte, vytvorí situáciu, ktorá vás dostane pod tlak a čaká, či sa na tento „háčik“ chytíte. Phishing totiž pracuje s emóciami strachu, viny, vytvára naliehavé situácie, ktoré si vyžadujú slepé konanie, bezvýchodiskové riešenia a apelujú na okamžitú reakciu. Prečo si dať pozor na podvodné e-maily a správy? Pretože neetickí hackeri nahadzujú nebezpečné návnady, kvôli ktorým môžete prísť nielen o všetky svoje úspory, v najhorších prípadoch aj o celý majetok.

Ako funguje phishing?

Útočník rozpošle e-mail, krátku textovú správu (sms) alebo napíše komentár pod ten váš na sociálnej sieti, či vám rovno príde správa do chatu. Obsah správy je prevažne koncipovaný, ako výzva na uhradenie nejakej platby, služby alebo na prihlásenie sa do vášho bankového účtu, prípadne sa odvoláva na nutnosť prihlásenia sa do nejakého súkromného konta, informuje o závažnom stave vášho blízkeho a dopytuje sa na overenie jeho totožnosti, častým phishingom je aj správa, ktorá vás žiada o zmenu hesla, pretože to pôvodné vraj bolo vyzradené, príkladov je naozaj veľa.

Súčasťou textu býva odkaz, na ktorý je nutné kliknúť, aby ste „situáciu“ vyriešili. Stačí jediný klik a vy nevedomky schválite finančnú transakciu z vášho účtu na cudzí, a to bez povšimnutia. Peniaze odchádzajú na cudzí účet. IP adresa je nevystopovateľná, alebo ťažko dohladateľná aj IT špecialistami. Útočníkom totiž nebýva iba jednotlivec, ale organizovaná skupina hackerov, aktívna po celom svete. Okrem loga známej firmy či „slovníka“ priateľa, sa objavujú v správach aj fotografie a rôzne fotomontáže, videá vytvorené v spolupráci s AI (AI phishing je zo dňa na deň dokonalejší), ktoré sú na nerozoznanie od reality. Dokonca už nemusíte ani kliknúť na odkaz, nájdu sa prípady, keď stačí, že otvoríte e-mail, prečítate si správu či ju prepošlete. Architektúra phishingových textov je čoraz sofistikovanejšia.

Ako spoznať phishing

Tak ako sa proti phishingu brániť? Najskôr musíte vedieť identifikovať varovné signály. Verte-neverte, ale azda už nie je nikto, kto by ešte „nezažil“ phishingový útok. Podvodný e-mail, esemeska, komentár na Facebooku, podivuhodný telefonát či správa v Messengeri... Vyzerajú normálne, ale niečo na nich nesedí. Veď predsa nečakáte na žiadny balík z cudziny, za ktorý by bolo treba zaplatiť clo, ani nemáte problém s platobnou kartou, ktorý by vyžadoval jej zablokovanie a rovnako nenakupujete na stránke, ktorá vám „údajne“ vracia platbu za zakúpený tovar. A nie, žiaľ, ani ste nemohli vyhrať v súťaži, ktorej ste sa nezúčastnili. Nižšie spomíname tie najčastejšie a najvýznamnejšie formáty phishingu, s ktorými sa môžete stretnúť ako súkromná aj právnická osoba a základný postup identifikácie phishingu.

1. Vyhodnoťte obsah správy. Vzbudzuje správa silný pocit naliehavosti a vyzýva k urgentnému konaniu? Ak neviete, o čo ide, na správu nereagujte. V žiadnom prípade neklikajte na žiadny odkaz. Správu ignorujte.

Ak ste si istí, že ste si nič neobjednali, nezúčastnili ste sa súťaže ani nie je zvykom, že by vás priateľ žiadal o pôžičku peňazí len tak cez Messenger, s vysokou pravdepodobnosťou ide o podvod. Máte zaplatiť za nejakú službu, balík alebo objednávku, no nespomínate si, že by ste si nejaké vôbec objednali alebo vytvorili? Hrozia vám zablokovaním bankového účtu? Ak nezaplatíte clo alebo poštovné, vaša zásielka zo zahraničia alebo balík z pošty nebudú doručené? Váš priateľ, ktorého máte na sociálnej sieti, vám píše do chatu, že zahynul niekto, kto vám je blízky, prípadne, že na „net“ unikli intímne fotky, na ktorých ste pravdepodobne vy? Vzorových správ by sme našli tisícky. Na vyhodnotenie rizika stačí použiť zdravý rozum.

2. Skontrolujte gramatiku a štylistiku. V texte sú zjavné gramatické chyby, popletené vykanie s tykaním, preklepy, slová nedávajú zmysel, časti textu, názvy krajiny sú cudzojazyčné? To je veľmi podozrivé!

Častokrát sa môžete stretnúť aj s e-mailovým phishingom, ktorým je preposlanie správy z inej adresy (známe „RE“, „FWD“ v predmete atď.). Sústreďte sa na predmet správy aj jej ďalšie „vizuálne znaky“, ako je písmo, rôzne nesúvisiace znaky, symboly namiesto písmen, nezmyselné vetné konštrukcie, chybné skloňovanie, neželané odseky a odskoky v texte, medzery, nesprávne oslovenie alebo zlá interpunkcia. Veď kto by nemal tendenciu rozkliknúť predmet so znením „RE: Vrátenie platby“? Ak ale viete, že napr. vaša banka takto nekomunikuje, prípadne, že neočakávate od nikoho žiadnu platbu a ani ste nikoho o nič podobné nežiadali, radšej sa tomuto e-mailu/správe vyhnite, minimálne si ju viackrát prečítajte a overte informácie v nej.

3. Skontrolujte si e-mailovú adresu odosielateľa. Ak je iná, ako oficiálna adresa inštitúcie, za ktorú sa vydáva (môžete si  ju overiť cez Google), spozornite a obsah mailu si radšej dvakrát preverte.

Pri e-maile sa častokrát útočníci snažia mať všetko dokonalé, no oficiálna adresa domény býva odlišná od tej reálnej, ktorá prislúcha danej firme alebo inštitúcii, ktorá „akože“ e-mail odoslala. Odosielateľom môže byť aj zahraničná firma, ktorá reálne existuje, pravdepodobne však bola jej oficiálna adresa zneužitá. Skontrolujte si preto napr. staré správy či e-maily a porovnajte si adresu odosielateľa. Prípadne volajte na zákaznícku linku alebo osobne navštívte pobočku danej spoločnosti, ak si nie ste istí. Inštitúcie, ako banky, pošta a pod. nežiadajú o heslo, PIN ani údaje o karte cez e-mail ani sms. Ste starší človek a neorientujete sa vo svete internetu? Zavolajte blízkym a oboznámte ich so situáciou, určite vám pomôžu a poradia.

4. Máte pochybnosti? Kontaktujte danú pobočku inštitúcie, e-shop, blízkeho, príslušné policajné orgány.

Navštívte oficiálnu webovú stránku inštitúcie, kontaktujte ju telefonicky alebo osobne, navštívte najbližšiu pobočku. Zavolajte známemu, napíšte mu, či vám poslal nejakú správu a pod. Zvýšená obozretnosť je v týchto prípadoch na mieste a nie je hanbou. Ide tu predsa o váš majetok, vašu identitu.

Niektoré banky vo svojich aplikáciách zvyčajne informujú o podvodoch, ktoré sú vytvárané v ich mene, napríklad, keď vás kontaktuje zamestnanec, príde vám informácia do aplikácie, že vás kontaktoval ich zamestnanec, aby ste nenaleteli nejakému podvodu.

Ako sa brániť proti phishingu

Najlepšou obranou je použiť racionálne uvažovanie a, ako sme už spomínali, zdravý rozum. Rovnako sa nebojte poprosiť o pomoc ľudí, ktorým dôverujete. Ak niečo nepoznáme, nerozumieme tomu, radšej sa spýtať, ako neskôr ľutovať a plakať nad nulou na účte. Poďme si teraz predstaviť 6 spôsobov, ako sa brániť proti phishingu.

1. Silné heslo. Heslo je kľúč, ktorý otvára dvere do sveta vašich citlivých informácií. Heslo musí byť silné. Optimálne pre každý účet a stránku iné. Čo to znamená? Vytvorte si kombináciu číslic, malých a veľkých písmen, interpunkcie a rôznych znakov. Taktiež, ak je to možné, využite viacstupňové overenie na svojich zariadeniach.
2. Budujte si povedomie. Hackeri nespia, kráčajú s dobou. Robte to aj vy a informujte sa a vzdelávajte sa o svete počítačových technológií a bezpečnom správaní na internete. Rozpoznávajte fakty a nenaleťte na falošné hoaxy.
3. Ochráňte svoju sieť. Či už ste jednotlivec, alebo firma, investujte do zabezpečenia siete a programov, ktoré ich rozpoznajú a ochránia sieť pred útokmi. Inštalujte si anti-phishing softvér a chráňte svoj majetok a citlivé údaje. Takýto softvér vás upozorní napr. na falošnú stránku ešte pred jej overením atď.
4. Neotvárajte prílohy. Neklikajte na odkazy a neotvárajte podozrivé dokumenty a obrázky, ktoré nepoznáte a absolútne netušíte, od koho a odkiaľ prišli. Pokojne môže ísť o odkaz na nejaké zábavné video od kamaráta, háčik je ale v tom, že ten kamarát vám nepísal už roky.
5. Neposkytujte osobné informácie. Samozrejme, tu platí, že treba odlišovať, kedy ide o nevyžiadanú žiadosť o citlivé údaje a kedy je to, naopak, normálne. Ste v banke a prosia si fotokópiu vášho OP, to je v poriadku. Píše vám muž na sociálnej sieti, ktorý vyzerá na fotke ako veľký fešák a sľubuje vám, že s ním budete mať nádherný život, aj sa vezmete, ALE potrebuje, aby ste mu poslali peniaze na cestu? Veľké ALE znamená, že toto je do očí bijúci podvod. Nenaleťte len tak niekomu a nedávajte len tak niekomu vaše údaje. Ani keď ste s ním v kontakte už niekoľko mesiacov, pamätajte, podvodníci majú veľkú trpezlivosť. Všetko si overujte viackrát!
6. Kontrolujte si stav účtu. Majte prehľad o svojich transakciách, sledujte pravidelné pohyby svojich peňazí a nastavte si upozornenia na transakcie. Takýmto správaním viete predísť útokom, alebo minimálne včas reagovať na podozrivé aktivity.

Najznámejšie typy phishingov

E-mail phishing: Najčastejšia forma tejto ilegálnej činnosti. E-mail je rozposlaný viacerým adresátom v rovnakej podobe. 

Spear phishing: „Návnada na mieru“. Útočníci sa vopred oboznámia s osobou alebo organizáciou, od ktorej sa snažia uloviť cenné dáta a pošlú jej správu, ktorá nepôsobí až tak nezmyselne. Už ste v podstate „hacknutý“, pretože váš účet na sociálnej sieti a celkové správanie na internete je sledované dlhší čas. Čaká sa už len na ten správny moment, napríklad, keď si objednáte zásielku zo zahraničia a vám príde onedlho výzva na úhradu dodatočného cla a pod. Výnimkou nie sú ani phishingy spojené s vašimi blízkymi, ktorí sú tiež sledovaní. Odídu na dovolenku a zažiadajú o finančnú pomoc alebo úhradu nejakého poplatku na diaľku. Kreativita tejto „profesie“ nepozná hranice.

Whaling: V súvislosti s významom anglického slovíčka „whale“ (veľryba), ide o rafinovanejší phishing, mierený na veľké „ryby“, teda firmy, známych podnikateľov a vysoko postavených manažérov.

Vishing: Podvody uskutočňované telefonicky. Čísla majú častokrát zahraničnú predvoľbu, no môžu byť aj rovnaké, ako napr. číslo vašej banky. Hlasové správy bývajú vopred nahraté, alebo volajúci hovorí po anglicky či lámanou slovenčinou. Apelujú na rýchle úhrady, aby ste im nadiktovali číslo karty, alebo vám oznámia, že si musíte predĺžiť licenciu programu na počítači, prípadne máte vírus a žiadajú o pripojenie na diaľku. Prípadov sú tisícky. Veľa z nich sa vykonáva napr. aj cez aplikáciu WhatsApp. Čísla môžete v aplikácii zablokovať aj rovno nahlásiť.

Smishing: Zasielanie podvodných správ, niekedy s dôveryhodným číslom.

Quishing: Načítanie „infikovaného“ QR kódu mobilným telefónom.

Angler phishing: Vystupovanie osoby alebo skupiny pod falošnou identitou značky. Častokrát sa môžete stretnúť s populárnym príkladom súťaže, ktorý sľubuje veľmi atraktívne ceny, dovolenky prakticky za nič. Známe sú aj cenové „bomby“, keď niečo môžete kúpiť za oveľa nižšiu cenu. Tu treba byť ostražitý pri čítaní a overovaní profilu danej stránky, značky. Ak niečo podobné zistíte, konkrétne značky určite ocenia, ak ich budete o danom phishingu informovať.

Popup phishing: Vyskakovacie okno s falošným formulárom alebo žiadosťou o nejakú platbu a pod.

Search engine phishing: Vyhľadávate na Googli? Dajte si pozor. Medzi prvými výsledkami sa môže objaviť falošná stránka alebo výzva na nejaké stiahnutie aplikácie, návodu, softvéru, ktorým si do svojho zariadenia „pozvete“ nechceného sledovateľa alebo okrádača.

MITM (Man in the Middle): Prostredník medzi vami a inštitúciou, napr. bankou. Chystáte sa platiť online? Nebojte sa, väčšinou je to normálne a bezpečný spôsob, pozor si ale dajte na nákupy zo stránok, ktoré nepoznáte, ktoré majú presne to, čo chcete a za tak málo peňazí. Ani si nevšimnete a dôjde k presmerovaniu na platbu cez inú platobnú bránu. Sledujte URL adresy (s nimi súvisí zase Homograph phishing) a oboznamujte sa s tými, ktoré používate najčastejšie. Niečo je inak? Overte si to.

Bonusové tipy

O phishingu nájdete aj veľa dokumentov a podcastov natočených na základe skutočných udalostí. Vyberáme pre vás pár tipov, ktoré oslovili nás.

- Dokument o podvodníkovi z Tinderu (The Tinder Swindler)

- Úspešný podcast Profil zločinu, Share_talks 140: Naleteli sme na phishing e-mail. Vážne, Let´s Talk Business – Expert na online bezpečnosť: Hackeri hľadajú tých najhlúpejších..., podcast pre deti a rodičov od Cyber Academy

Phishingov je naozaj mnoho. Nič vás však neochráni tak, ako vy sami. Doba a technológie sa vyvíjajú závratným tempom, a to isté platí aj o kvalite phishingu. Niekedy naň doplatia aj tí najskúsenejší. Ak máte podozrenie na phishing alebo ste sa, žiaľ, stali obeťou takejto nezákonnej aktivity, neváhajte kontaktovať dané inštitúcie či orgány činné v trestnom konaní, ak ide o vyššiu sumu, klasifikovanú už ako trestný čin. Internet je skvelý pomocník a netreba sa ho báť, len sa treba učiť vedieť s ním pracovať.