Co je to Phishing?

Phishing je typ kyberútoku spočívající v zaslání nějakého typu elektronické zprávy, která příjemce navede k provedení nebezpečné akce. Výraz Phishing je metaforicky odvozen od slova „Fishing“ (rybaření) odkazující se na „chycení se“ na háček podvodníka. Podvodníci používající tento způsob jsou v hantýrce označováni jako „phishers“ (rhybáři). Nejvíce je využíván standardní email, protože je překvapivě snadné napodobit vzhled zprávy od skutečného odesílatele. Phishingové útoky mohou ale také přijít skrze sociální média, SMS nebo jiné komunikační platformy. Zde uvádíme některé reálné příklady druhů podvodných phishingových zpráv.

• Obdržíte fakturu s podrobnostmi skromného nákupu na dobře známé online stránce, doplněnou o loga a text zkopírovaný z reálné faktury. Na konci jsou pak legitimně vyhlížející odkazy nebo tlačítka k odmítnutí platby nebo pro detaily nákupu. Víte, že jste žádný nákup neudělali, takže máte tendenci na odkazy kliknout a přihlásit se. Pokud to ale uděláte, jste navedeni na podvodnou přihlašovací stránku a vaše heslo skončí v rukou podvodníků.
• Obdržíte email od někoho, kdo má zájem o pracovní pozici, která je aktuálně inzerována na vašem firemním webu. K tomuto emailu je připojen soubor, který vypadá jako dokument obsahující vaše CV. Navádí vás to soubor otevřít, pokud to ale uděláte, nechtěně si nainstalujete do počítače malware.
• Obdržíte marketingový email vyzývající vás k účasti na reálně vyhlížejícím průzkumu s nadějí vyhrát nákupní voucher nebo iPhone či dovolenou. Opět vás to svádí k vyplnění dotazníku, v jehož průběhu jste ale mimo jiné požádáni o poskytnutí osobních dat, jako je datum vašeho narození, domácí adresa nebo detaily vaší kreditní karty.

Co dělat? Jak se phishingu bránit?

Phishing lze někdy stěží rozpoznat, podvodníci ne vždy dělají chyby ve výslovnosti nebo gramatice. Možná také znají vaše skutečné jméno a adresu, takže tyto zprávy vždy nezačínají podezřelým „Vážený pane (paní)“ či nějakou obecnou adresou.

Jak na ochranu proti phishingu? Zde je několik tipů, jak nenaletět:

• Nevkládejte hesla do stránek, na které jste navedeni po kliknutí na odkaz v emailu. Používejte oficiální přihlašovací stránky vámi navštěvovaných webů, které máte uloženy v oblíbených nebo vložte URL přímo do prohlížeče.
• Vyvarujte se otevírání příloh zpráv od odesílatelů, které neznáte, dokonce i když pracujete v HR nebo účetním oddělení a při vaši práci přílohy hojně používáte.
• Vytvořte si ve firmě zvláštní „zeptejte se expertů“ emailovou adresu (např. ), na kterou mohou uživatelé posílat své dotazy na radu ohledně nevyžádaných emailů nebo podezřelých příloh.
• Pokud jste na pochybách, nikdy svá osobní data nikomu neposkytujte. Jejich ztráta opravdu nestojí za mizivou šanci vyhrát iPhone u marketingové firmy o které jste nikdy neslyšeli.
• Nechte sebe a své zaměstnance proškolit našimi odborníky na bezpečnost. Díky získaným postupům systematicky zvyšíte úroveň bezpečnosti vaší společnosti.

Zaujalo Vás téma phishingu? Poslechněte si téměř půl hodinový podcast našeho partnera – Sophos, který se na kyber bezpečnost specialuzuje. V podcastu, který se právě phishingu věnuje, diskutují IT odborníci Paul Ducklin (Sophos security proselytiser) a Peter Mackenzie (Sophos malware specialist). Phishing má svého předchůdce již v 70. letech, v podvodech nazývaných phreaking. Hackeři přišli na způsob jak bezplatně volat použitím různých nezákonných postupů k prolomení telefonních systémů např. přehráním speciálních hudebních tónů. Prolomení telefonního systému (freaking) se tak přetvořilo na phreaking a poté analogicky získání uživatelských hesel a jiných osobních dat se stalo známým jako phishing.