Phishing a jeho formy v praxi
02.05.2024 21:07
Phishing je forma kybernetického podvodu, jejímž prostřednictvím se útočník pokouší získat citlivé informace od obětí, a to často prostřednictvím falešných e-mailů či webových stránek. Cílem phishingu je nejčastěji snaha o získání přístupu k bankovním účtům nebo osobním údajům oběti, za účelem finančního podvodu či krádeže identity. Phishing může být cílen jak na konkrétní jedince, tak i na široké spektrum veřejnosti a jeho druhů je celá řada. Na následujících řádcích bychom proto upozornili jen na některé z nich.
Spear phishing
Tento druh phishingu představuje cílený útok na konkrétní osobu. Z toho důvodu je nebezpečnější, nežli běžné hromadné či náhodné phishingové útoky. V praxi tento útok vypadá tak, že konkrétní oběti přijde email nebo zpráva od osoby, kterou zná. K těmto útokům dochází často skrz emailové schránky zaměstnanců v rámci společnosti. Útočníci zde sází na to, že oběť zmatou, když se budou vydávat za osobu oběti známou. Ve zprávě pak útočník po oběti žádá rozkliknutí určitého (falešného) odkazu nebo sdělení citlivých údajů. Terčem tohoto druhu útoku se v České republice v minulosti staly například nemocnice, univerzity či finanční instituce, od kterých chtěli útočníci podvodnými e-maily získat finanční prostředky a citlivé údaje o jejich klientech, studentech či pacientech. Prevencí před druhem tohoto útoku je především obezřetné sdělování citlivých údajů v online prostoru.
Whaling
V tomto případě se jedná o útok, jehož terčem jsou vysoko postavení (zpravidla vedoucí nebo řídící) pracovníci. Emaily tohoto typu bývají vysoce sofistikované a precizně formulované tak, aby oběti nebyly schopny rozpoznat jejich podvodnost. V podvodných e-mailech bývá např. uvedeno, že společnosti hrozí za nesplnění určité povinnosti právní důsledky a že je třeba bezodkladně konat (např. kliknutím na odkaz), za účelem prevence vzniku škody nebo za účelem získání dalších informací. Mnohdy je whaling koncipován jako email od kolegy, nadřízeného či důležitého obchodního partnera, kterého oběť dobře zná, a který oběti přikazuje urychleně jednat. Uvedené má za cíl vyvinout na oběť psychologický nátlak a přinutit ji k bezmyšlenkovitému konání. Odkaz ji následně zpravidla přesměruje na stránku, kde je vyzvána k zadání citlivých údajů o společnosti, jako např. čísla bankovního účtu. Součástí podvodného emailu může být i žádost o autorizaci velké platby. Whaling je velice sofistikovaná a cílená forma phishingu, jejímž účelem je ulovení "velryby" (tj. velkého úlovku), od čehož se pak odvozuje i název této formy phishingu.
Smishing
V případě smishingu jde o formu phishingového útoku, která je prováděna prostřednictvím textových (např. SMS či MMS). Útočník se opět vydává zpravidla za věrohodnou organizaci (např. banku) a skrz hromadné zprávy se z obětí snaží vylákat citlivé údaje (např. přihlašovací údaje k bankovním účtům nebo údaje o kreditních kartách). SMS zprávy pak mohou obsahovat odkazy na stažení škodlivého software nebo na internetové bankovnictví dané instituce, které ale není oficiálním webem banky, přestože vypadá identicky. V nedávné době jsme se v České republice mohli setkat s případy, kdy obětem chodily SMS od "České pošty" o tom, že jim je doručován balík, ale nebyly k zastižení, a proto byly požádány o změnu doručovací doby prostřednictvím podvodného odkazu. Po rozkliknutí odkazu se otevřela stránka, která imitovala web České pošty, ačkoliv se ve skutečnosti o službu České pošty nejednalo. Na stránce pak byla možnost změny doručení, avšak pouze při zaplacení drobné částky kartou "online", což však již působilo podezřele. V tuto chvíli by měla potenciální oběť zbystřit, jelikož pokud by platbu na podvodném webu provedla, poskytla by podvodníkům citlivé údaje o platební kartě.
Vishing
Vishing je dalším důmyslně propracovaným druhém phishingového útoku, který má hlasovou podobu. Jedná se o útok prováděný pomocí systémů, které dokáží převést text do hlasového záznamu, jenž se naléhavě snaží přimět oběť k akci. Vishing je možné poznat díky slovním obratům, které útočníci často opakují a také díky naléhavosti, která je z hlasu podvodníka znatelná. Podvodné telefonáty často nezačínají žádným specifickým představením se, nýbrž větou typu: "volám z Vaší banky/pojišťovny" nebo "zjistili jsme podvod na Vašem účtu". Nejčastěji se podvodníci vydávají za zaměstnance banky či investiční makléře a po svých obětech vyžadují sdělení citlivých informací nebo přihlášení se internetového bankovnictví skrz odkaz, který je zaslán během hovoru. Vishingový útok může být zvlášť nebezpečný pro osoby, které mají nižší schopnost rozlišit, že by telefonát z určité respektované instituce (např. banky či pojišťovny) mohl být takto jednoduše "zfalšován" a mohou mít tendenci telefonickému nátlaku podlehnout - zejména pak senioři.
Catphishing
Catphishing představuje další z forem phishingu, při němž si útočník na internetu vytvoří velmi přesvědčivou falešnou identitu, za účelem navázání důvěrného vztahu s obětí tak, aby od ní později mohl získat finanční prospěch. I v tomto případě se jedná o vysoce sofistikovanou a individuálně cílenou formu phishingu, kdy útočník alokuje mnoho času a úsilí jedné konkrétní oběti, z níž se následně snaží vytěžit, pokud možno co nejvíce. S touto formou phishingu se lze setkat třeba na internetových seznamkách, přičemž většinou ani nedojde k osobnímu setkání. Nejlepším příkladem je tzv. Tinder Swindler neboli podvodník z populární aplikace Tinder určené k seznamování lidí, o kterém byl dokonce natočen i stejnojmenný film. Jedná se o osobu, která prostřednictvím aplikace Tinder kontaktuje ostatní uživatele, se kterými posléze naváže intimní vztah a následně z nich vymámí peněžní prostředky.
Jak rozpoznat phishing a jak se mu bránit?
Nejlepší obranou proti phishingovým útokům je vypracování účinné schopnosti útoky rozpoznat a nepodlehnout jim. Základním pravidlem je obezřetnost před jakýmkoliv zadáváním citlivých údajů na internetu, zejména pokud mají být zadávány na popud určité osoby či instituce. Samozřejmě ne všechny emaily z banky či z úřadu, které vyžadují zadání určitých informací online, budou automaticky podvodné - je však třeba být v každém případě nanejvýš obezřetný. Charakteristickými rysy phishingových útoků totiž bývá především špatná gramatika nebo krkolomná čeština (zprávy totiž bývají mnohdy překládány z cizího jazyka), dále podezřelé url odkazy a zvláštní webové stránky (např. s neobvyklou doménou končící .ru namísto .cz), požadavky na sdělení citlivých bankovních údajů (vč. požadavků na provedení platby kartou) a v neposlední řadě i vyvolání intenzivního až podezřelého nátlaku na oběť.
JUDr. Jiří Matzner, Ph.D., LLM., zakladatel advokátní kanceláře Matzner Legal