V poslední době se objevuje stále více úniků osobních údajů převážně ze sociálních sítí. Tyto údaje jsou pak využívány pro hackerské útoky. Čím víc dat útočník o oběti získá, tím větší je ohrožení potenciální oběti. Proto je nejvyšší čas naučit se efektivně bránit.
Sociální inženýrství
Jde o manipulaci prostřednictvím zneužití lidských vlastností, jakými jsou třeba zvědavost či lítost. Útočník se také snaží dostat oběť pod časový tlak a donutit ji konat unáhleně. Jedná se o jednu z nejjednodušších a zároveň nejúspěšnějších technik využívaných při online útocích.
Možná si říkáte, že zrovna o vaše údaje nikdo nestojí a že pro útočníky nejste nijak zajímaví. Opak je pravdou. Máte svou identitu, která se dá zneužít k trestné činnosti. Jste uzlem v síti, přes který se útočníci mohou dostat k vašim přátelům, známým, spolupracovníkům či obchodním partnerům. Máte počítač, telefon nebo tablet, které se dají ovládnout a zneužít na řízené útoky. Cílem mohou být i vaše účty na sociálních sítích. V neposlední řadě máte peníze, které jsou zajímavé vždycky.
Právě vy jste tak velmi důležitý článek. A proto je nevyhnutelné umět se chránit, pokud se nechcete stát loutkou v rukách tzv. sociálních inženýrů.
Phishing
Patří mezi nejčastější formy útoků a pravděpodobně jste se s ním již někdy setkali. Přijde vám e-mail ze známé instituce či velké společnosti, v němž jste žádáni o úhradu služby, kterou jste si vůbec neobjednali, nebo o vyplnění vašich údajů pod různými záminkami.
V phishingovém e-mailu se obvykle nachází odkaz (link nebo tlačítko), který vás přesměruje na falešnou webovou stránku, která je těžko rozeznatelná od té skutečné. Pokud takovou nepravost včas neodhalíte, zadáte své přihlašovací údaje přímo útočníkovi, případně mu rovnou pošlete peníze. Pokud mu dokonce pošlete údaje své platební karty, umožníte mu platit opakovaně.
Vždy je nutné pečlivě si ověřit adresní řádek v prohlížeči, který musí obsahovat název společnosti, u které budete své citlivé údaje zadávat.
4 rady, jak se bránit proti phishingu
Představte si, že jste dostali e-mail, jehož odesílatelem má být důvěryhodná instituce či dodavatel, který od vás žádá zaplacení za službu. Podobné e-maily totiž našim zákazníkům chodí neustále. Jak tedy postupovat při prvním podezření?
1. Zamyslete se nad reálným důvodem, proč jste takový e-mail dostali
Objednali jste si v poslední době nějakou službu? Blíží se splatnost služby, kterou dlouhodobě využíváte?
2. Zkontrolujte skutečného odesílatele e-mailu
V e-mailu se vám vždy zobrazuje jméno odesílatele. Útočník si většinou dá práci s tím, aby zpráva působila důvěryhodně. Důležité ale je zkontrolovat e-mailovou adresu odesílatele. Ukážeme si to na autentických příkladech podvodných e-mailů.
Je na první pohled zřejmé, že e-mail nepřišel z oficiální adresy.
3. Zkontrolujte předmět zprávy
Je text předmětu napsaný správně? Útočníci k upoutání pozornosti adresáta často používají v předmětu e-mailu známé zkratky jako „RE:“ nebo „FWD:“. Takže předmět může znít například „RE: VRÁCENÍ PLATBY“. Ruku na srdce, člověk pak skutečně má silné nutkání takový e-mail otevřít. Cílem je totiž vyvolat u adresáta dojem, že jde o součást již existující konverzace, případně dokonce o odpověď na jeho vlastní e-mail. Tím se tudíž šance na otevření e-mailu zvyšuje.
4. E-mail čtěte pečlivě (klidně dvakrát) a všímejte si jazykového stylu i chyb
Většinou jde o automatické překlady textů z cizího jazyka. Upozornit vás může minimálně to, že sdělení zní nepřirozeně a obsahuje chyby.
Chyby viditelné na první pohled
Projděme si základní chyby, které lze snadno odhalit:
- dvojtečka za oslovením,
- absence či nesprávné použití interpunkce v celém textu,
- chybné skloňování,
- slova v cizím jazyce,
- nesprávné označení odesílatele,
- chybějící e-mailový podpis (jméno a příjmení, funkce či oddělení, kontakt atp.).
Doporučení na závěr
- Neklikejte na odkazy v podezřelých e-mailech. Pokud si nejste jistí, radši si otevřete stránku poskytovatele služeb přímo v prohlížeči.
- Vypěstujte si návyk rychlé kontroly základních náležitostí v doručeném e-mailu:
- e-mail odesílatele,
- správnost textu,
- link v e-mailu,
- urgentnost e-mailu,
- smysl e-mailu.
- Pokud cokoliv nesedí, jděte na oficiální web, případně rovnou kontaktujte danou instituci či společnost.
- Když v podezřelém e-mailu najedete kurzorem na odkaz nebo tlačítko, na nějž je dle návodu třeba kliknout, bez kliknutí se vám na spodním (stavovém) řádku prohlížeče / e-mailového klienta ukáže skutečná (cílová) URL adresa. Z té bude zřejmé, má-li opravdu něco společného s oficiální stránkou údajného odesílatele.
- V případě, že jste se stali obětí phishingu, ihned si změňte přihlašovací údaje, zablokujte platební kartu a co nejdřív kontaktujte svou banku. Další postup záleží na včasnosti vašeho oznámení a na pravidlech postupu té které banky.
- Aktivujte si dvoufaktorovou autentifikaci všude, kde to jde. Například ve svém Websupport účtu to zvládnete úplně jednoduše.