Bezpochyby si také všímáte přibývajících úniků osobních údajů, nejčastěji pak ze sociálních sítí. Experti varují před nárůstem hackerských útoků s využitím právě podobně uniklých údajů. Přičemž čím víc dat je pro hackery dostupných, tím větší je ohrožení potenciální oběti. A proto je nejvyšší čas naučit se proti takovým hrozbám efektivně chránit.
Manipulace a zneužití lidských slabostí
Oficiální název zní „sociální inženýrství“. Jde o manipulaci prostřednictvím zneužití lidských slabostí, jakými jsou třeba sklony ke zvědavosti, lítosti, unáhleným reakcím pod tlakem atp. Čili mluvíme o jedné z nejjednodušších a zároveň nejúspěšnějších technik využívaných při počítačových útocích, kdy se vás útočníci snaží oklamat a docílit toho, že jim nechtěně požadované údaje osobně vydáte.
Možná si říkáte, že zrovna o vaše údaje nikdo nestojí a že pro hackery nejste nijak zajímaví. Opak je ale pravdou. Máte přece identitu, která se dá zneužít k trestné činnosti. Jste uzlem v síti, přes nějž se útočníci mohou dostat k vašim přátelům a známým. Na sociálních sítích můžete sdílet různé informace, pravdivé i nepravdivé. Máte počítač, který se dá ovládnout a zneužít na řízené útoky. Máte také hlas ve volbách, který kandidáti touží získat a koneckonců máte (alespoň nějaké) peníze – a ty jsou zajímavé vždycky.
Takto bychom mohli pokračovat ještě hodně dlouho. Ano, právě vy jste velmi důležitý článek. A proto se musíte umět chránit, pokud se nechcete stát loutkou v rukách tzv. sociálních inženýrů. Mezi nejčastější formy útoků patří jednoznačně phishing, o němž se pobavíme níže.
Chraňte svou identitu a peníze
Dost možná jste se s phishingem už někdy setkali. Přijde vám e-mail ze známé instituce či velké společnosti, v němž jste žádáni o úhradu služby, kterou jste si vůbec neobjednali, nebo o vyplnění vašich údajů pod různými záminkami.
V phishingovém e-mailu se obvykle nachází odkaz (link nebo tlačítko), který vás přesměruje na falešnou webovou stránku, leckdy jen těžko rozpoznatelnou od té skutečné. A pokud takovou nepravost včas neodhalíte, zadáte své přihlašovací údaje přímo útočníkovi, případně mu rovnou pošlete peníze.
Bohužel to není tak dlouho, kdy byly podvodné e-maily odesílané i pod naším jménem. Vyzývaly k úhradě platby za údajné prodloužení platnosti domény a například na Slovensku se pár našich zákazníků opravdu stalo obětmi těchto útoků.
Jak jste už asi pochopili, phishing je podvodná technika, pomocí které se od vás útočníci snaží vylákat osobní údaje a často také peníze. Jde o typ scamu (anglicky podvod či švindl) s využitím technik onoho sociálního inženýrství, tedy manipulace.
Obyčejně útočník nejprve sbírá údaje o svých obětech. Při současném trendu masivních úniků dat ze sociálních sítí není žádný problém si potřebné údaje na správných místech jednoduše dohledat či koupit. Jakmile má útočník dostatečné množství dat, pokračuje dál a začíná samotný phishing čili tzv. lovení citlivých údajů od obětí. Nakonec útočník využije získaná data a vy tak můžete přijít (nejen) o peníze.
4 rady, jak se bránit proti phishingu
Představte si, že jste dostali e-mail, jehož odesílatelem má být třeba Česká pošta (dále ČP), která od vás žádá zaplacení za přepravu údajného balíku. Podobné e-maily totiž našim zákazníkům chodí neustále. Jak tedy postupovat při prvním podezření?
1. Zamyslete se nad reálným důvodem, proč jste takový e-mail dostali
Objednali jste si v poslední době nějaký balík? Pokud ano, odkud? Zaplatili jste předem, nebo jste zvolili platbu až při převzetí? Potom by přece ČP nic nemělo vést k tomu, aby vám posílala výzvy k platbě přes e-mail. Navíc, samotná ČP takto nikdy nepostupuje.
2. Zkontrolujte skutečného odesílatele e-mailuV e-mailu se vám vždy zobrazuje jméno odesílatele. Útočník si většinou dá práci s tím, aby celá akce působila důvěryhodně, tudíž to pro vás není směroplatné. Důležité ale je zkontrolovat e-mailovou adresu odesílatele. Ukážeme si to na autentických příkladech podvodných e-mailů, které byly před nedávnem rozesílány na Slovensku a vydávány za e-maily od Slovenské pošty (dále SP).
Je na první pohled zřejmé, že e-mail nepřišel z oficiální adresy SP. Doména ds-up.com je však skutečná a zobrazuje se na ní webová stránka jakési madridské společnosti ve španělštině. Její e-mailový účet tak může být hacknutý.
O tom svědčí i další e-mail, který přišel našemu slovenskému zákazníkovi z totožné e-mailové adresy, dokonce ve stejný den. Tentokrát měla být odesílatelem Tatra banka.
3. Zkontrolujte předmět zprávy
Je text předmětu napsaný správně? Útočníci k upoutání pozornosti adresáta často používají v předmětu e-mailu známé zkratky jako „RE:“ nebo „FWD:“. Takže předmět může znít například „RE: VRÁCENÍ PLATBY“. Ruku na srdce, člověk pak skutečně má silné nutkání takový e-mail otevřít. Cílem je totiž vyvolat u adresáta dojem, že jde o součást již existující konverzace, případně dokonce o odpověď na jeho vlastní e-mail. Tím se tudíž šance na bezmyšlenkovité otevření e-mailu zvyšuje. V případě podvodných e-mailů od SP a Tatra banky ale taková technika použita nebyla.
4. E-mail čtěte pečlivě (klidně dvakrát) a všímejte si jazykového stylu i chyb
Většinou jde o automatické překlady textů z cizího jazyka. Upozornit vás může minimálně to, že sdělení zní nepřirozeně a obsahuje chyby. Vraťme se tedy k našemu slovenskému případu e-mailu s balíkem.
Chyby viditelné na první pohled
Projděme si na základě ukázky výše jasné chyby, které lze snadno odhalit:
- dvojtečka za oslovením,
- absence či nesprávné použití interpunkce v celém textu,
- chybné skloňování,
- slova v cizím jazyce,
- nesprávné označení odesílatele (úplně dole),
- chybějící e-mailový podpis (jméno a příjmení, funkce či oddělení, kontakt atp.).
E-mail postrádá i další standardní údaje jako třeba číslo zásilky, odesílatele balíku, možnosti trackování neboli sledování zásilky, kontaktní osobu, odkaz na zmiňovaná „pravidla“, které dle odesílatele už znáte a podobně.
Rozhodně je k zamyšlení také fakt, proč bychom vlastně měli platit za přepravu balíku a samotný balík zvlášť. Formulace textu má tudíž jediný cíl – donutit adresáta zaplatit za domnělý balík, protože SP jakožto autorita tvrdí, že je tak třeba učinit, a to neprodleně. Tímto je na vás vyvíjený tlak, což může pochopitelně snížit vaši ostražitost. A právě vlivem nátlaku pak můžete nešťastně odevzdat své platební údaje přímo útočníkovi.
TIP: Když v podezřelém e-mailu přesunete kurzor nad link nebo tlačítko, na nějž je dle návodu třeba kliknout, bez kliknutí se vám na spodním (stavovém) řádku prohlížeče / e-mailového klienta ukáže skutečná (cílová) URL adresa. Z té bude zřejmé, má-li opravdu něco společného s oficiální stránkou údajného odesílatele.
Dobrá doporučení na závěr
- Neklikejte na odkazy v podezřelých e-mailech. Pokud si nejste jistí, radši si otevřete stránku poskytovatele služeb přímo z prohlížeče. Už jen tím si můžete ušetřit spoustu peněz, případně se dokonce vyhnout krádeži vaší identity. A to se vyplatí.
- Vypěstujte si návyk rychlé kontroly základních náležitostí v doručeném e-mailu: e-mail odesílatele – správnost textu – link v e-mailu – urgentnost e-mailu – smysl e-mailu.
- Pokud cokoliv nesedí, jděte na oficiální web zadáním jeho adresy do prohlížeče, případně rovnou kontaktujte danou instituci (poštu, banku, poskytovatele hostingu, e-shop atd.).
- V případě, že jste se stali obětí phishingu, ihned si změňte přihlašovací údaje, zablokujte platební kartu a co nejdřív kontaktujte svou banku. Další postup záleží na včasnosti vašeho oznámení a na pravidlech postupu té které banky.
- Aktivujte si dvoufaktorovou autentifikaci všude, kde to jde. Například ve svém Websupport účtu to zvládnete úplně jednoduše.
TIP: Chcete se rychle otestovat v rozpoznávání škodlivých phishingových e-mailů? Vyzkoušejte interaktivní kvíz, který připravil Jigsaw, technologický inkubátor společnosti Google.
Už jste se s phishingem setkali? Máte nějaké osobní tipy, jak ho odhalit? Podělte se s námi v komentářích níže.