Pri phishingu sa podvodník vydáva za dôveryhodnú entitu, napríklad banku či štátnu inštitúciu a navedie obeť, napríklad podvodným e-mailom, aby vyzradila svoje citlivé údaje. Takýto útok, ak je úspešný, môže mať zničujúce následky. Predovšetkým vysokú finančnú stratu.
Phishing existuje rovnako dlho ako existujú e-maily. Dlhodobo predstavuje bezpečnostnú hrozbu ako pre súkromné osoby, tak pre organizácie a firmy. Áno, obeťou sa môžu stať aj takí giganti, ako Google či Facebook, ktorí v roku 2017 prišli o stovky miliónov dolárov.
Spôsoby phisingu sa vyvíjajú spolu s technológiami
V dnešnej dobe phishing charakterizujú čoraz sofistikovanejšie útoky: prechod od e-mailu k SMSkám (tzv. smishing), správy cez sociálne siete, telefonáty (tzv. vishing). Jedno však ostáva spoločné. Phishing sa zameriava na najslabší článok bezpečnostného reťazca: ľudí.
Vo svojom pôvodnom význame predstavuje phishing podvodný e-mail, ale ako sme už uviedli, dnes rozlišujeme viacero jeho foriem.
Phishing
Pôvodná e-mailová forma podvodu je stále najrozšírenejšou. Počiatky má už v druhej polovici 80. rokov minulého storočia a dominuje dodnes.
Útočník odošle svojej obeti e-mail, v ktorom sa vydáva za dôveryhodnú entitu, napríklad banku, poštu, či políciu. Cieľom je zmanipulovať osobu k odoslaniu citlivých údajov. Zvyčajne to podvodníci robia tak, že nabádajú obeť, aby klikla na škodlivú URL adresu, alebo si stiahla infikovanú prílohu. Prípadne jednoducho zaslala požadované informácie v odpovedi na e-mail. Ak sa útočníkovi podarí do telefónu či počítača obete dostať škodlivý softvér, môže sa k údajom dostať sám.
Vishing
Vishing je spojením slov voice a phishing, teda hlasový phishing. Zahŕňa použitie telefonátu na oklamanie obete. V istých prípadoch môže takýto podvod pôsobiť mimoriadne autenticky. Volajúci sa môže vydávať za zamestnanca banky, v ktorej má obeť účet a zmanipulovať ju k odovzdaniu citlivých údajov. Prípadne môže ísť o fingovaného policajta, ktorý pôsobením nátlaku a vyvolaním urgencie dosiahne to isté.
Tip na čítanie: 8 znakov dobrého a zodpovedného finančného poradcu
Smishing
Ide o kybernetický bezpečnostný útok uskutočňovaný cez textové správy SMS. Prípadne aplikácie určené na takzvaný instant messaging: Facebook Messenger, WhatsApp, Viber a podobne.
Funkčný princíp je rovnaký, ako pri e-mailovom phishingu: zmanipulovať obeť, aby klikla na škodlivý odkaz, alebo iným spôsobom odovzdala citlivé údaje.
Pharming
Pharming je špecifická forma phishingu, pri ktorej útočník pošle obeť na falošnú webovú stránku, ktorá vyzerá na nerozoznanie od skutočnej. Môže ísť o prihlasovaciu stránku internet bankingu, e-shopu a podobne. Obeť zadá údaje, ku ktorým sa následne dostane útočník, ktorý tak získa reálne prístupy do internetového bankovníctva či na iné miesta.
Aktuálne príklady phishingu
1. Falošný bankár
Ide o pomerne častý podvod, ktorého obeťou sa stávajú klienti bánk.
„Volajúci sa predstaví ako zamestnanec banky a môže sa stať, že sa predstaví dokonca pod menom jej reálneho pracovníka, či dokonca zašle aj falošný identifikačný preukaz,“ približuje priebeh podvodu Ján Adamovský, šéf bezpečnosti Slovenskej sporiteľne. Následne ho informuje o tom, že v jeho mene požiadal niekto o úver a odporučí mu obrátiť sa na pobočku banky pre zrušenie úveru.
„No skôr, ako tak klient stihne spraviť, zavolá mu falošný policajt a informuje ho, že bol spáchaný trestný čin v súvislosti s úverovým podvodom,“ dodáva.
Obeť je potom informovaná, že situáciu môže vyriešiť tak, že si v banke vezme maximálny možný úver, vyčerpá úverový limit a podvodníka predbehne. Ak na túto hru klient pristúpi, v ďalšom kole dostane pokyny, ako má previesť financie na bezpečný účet, až kým sa situácia vyrieši.
„V nám známych scenároch nasmerujú klienta do pobočky banky s tým, aby si vybral celú hotovosť z poskytnutého úveru, napríklad pod zámienkou kúpy auta. Poskytnú mu QR kódy s logom banky a navigujú ho do kryptomatov na nákup bitcoinov,“ upozorňuje Adamovský. Samozrejme, ako pri iných podvodoch, klient príde o peniaze.
Tip na čítanie: Slováci investujú čoraz viac. Ako sa nepopáliť na vidine rýchleho zisku?
2. Balíček na pošte/falošný predaj
Jedným z opakovaných scenárov je falošná SMS, ktorá informuje o uloženom balíku na pošte. V správe je aj škodlivá URL adresa, ktorá vedie k odcudzeniu citlivých údajov.
Ďalším prípadom sú podvodníci skúšajúci šťastie cez rôzne bazáry a inzeráty. Fingujú záujem o predávaný výrobok s tým, že zaplatia kuriéra a všetky ostatné náklady spojené s jeho doručením od predávajúceho ku kupujúcemu. Aby však všetko prebehlo bez problémov, je potrebné, aby predávajúci (teda obeť) zaplatil poistné, ktoré mu však falošný kupujúci sľubuje preplatiť. K tomu však, samozrejme, nedôjde a uhradené prostriedky sú stratené.
Pred rôznymi typmi podvodov na svojom facebookovom profile varuje aj Polícia Slovenskej republiky.
Ako sa chrániť pred phishingom?
1. Všímajte si varovné signály
Jedným z najlepších spôsobov, ako sa brániť, je vedieť rozpoznať phishingové e-maily a správy. Existujú isté varovné signály, pri výskyte ktorých je vysoko pravdepodobné, že ide o podvod:
- neznámy odosielateľ,
- zvláštne či nezmyselné oslovenie,
- gramatické a pravopisné chyby,
- rozhádzané formátovanie,
- umelý pocit urgencie či strachu,
- podozrivé odkazy alebo prílohy,
- žiadosti o osobné údaje,
- nezrovnalosti v e-mailových adresách, odkazoch,
- nezvyčajné požiadavky
- upozornenia, že ste niečo vyhrali,
- ponuky, ktoré znejú až podozrivo dobre.
Nikdy neklikajte na odkazy v takýchto mailoch či správach a v žiadnom prípade nesťahujte ich rôzne prílohy. Okamžite ich zmažte a v ideálnom prípade zablokujte odosielateľa.
2. Používajte viacfaktorové overenie
Niektoré užívateľské účty (napríklad pri internet bankingu) ponúkajú dodatočné zabezpečenie tým, že na prihlásenie vyžadujú dva a viacero krokov/potvrdení. Tento bezpečnostný prvok sa nazýva viacfaktorové overenie (multi-factor authentication).
Môže ísť o kombináciu prihlasovacieho hesla a PIN kódu, alebo odpovede na bezpečnostnú otázku. Prípadne použitie jednorázového overovacieho kódu, ktorý dostanete prostredníctvom SMS či v špeciálnej aplikácii. Modernejšie metódy dokonca zahŕňajú aj sken odtlačku prsta či sietnice oka.
Viacfaktorové overenie sťažuje podvodníkom prihlásiť sa do vašich účtov, ak už získajú vaše používateľské meno a heslo.
3. Chráňte svoje citlivé údaje
Základnou radou je neposkytovať citlivé údaje (prístupy do internet bankingu, osobné údaje, kódy, heslá a podobne) v digitálnej komunikácii. V žiadnom prípade ich neodosielajte mailom, SMSkou, četom či správou v aplikácii. Pamätajte na to, že žiaden skutočný pracovník banky či e-shopu ich od vás nikdy nebude žiadať.
Pri zadávaní citlivých údajov na webe sa uistite, že naozaj ste na stránke, na ktorej máte byť. Skontrolujte URL adresu a to, či je zabezpečená (ikonka zamknutej kladky v prehliadači vedľa URL). Ak stránka vyzerá podozrivo, prípadne vyzerá ináč, než ste zvyknutí, okamžite z nej odíďte.
Používajte antivírusový program na telefóne aj na počítači, ktorý vám pomôže odhaliť podozrivé weby.
Čo ak som sa stal/a obeťou?
Žiaľ, niekedy ani maximálna ostražitosť nestačí. Čo robiť v prípade, ak ste sa stali obeťou phishingu?
Držte sa tohto krátkeho postupu:
1. okamžite kontaktujte svoju banku (alebo iného poskytovateľa), že ste sa stali obeťou phishingu a držte sa rád pracovníka,
2. ak máte takúto možnosť a nie je to v rozpore s prvým krokom, zablokujte svoju kartu či užívateľský účet,
3. zmeňte svoje heslá a prístupy na inom zariadení (neviete, či to, ktoré aktuálne používate, nie je infikované),
4. pomocou overených antivírusových programov preskenujte svoje zariadenie na prítomnosť škodlivých kódov či súborov a prečistite ich,
5. ak u vás došlo k finančnej strate bezodkladne kontaktujte orgány činné v trestnom konaní.
