Co je phishing?
Phishing je jednou z technik kybernetických útoků v rámci sociálního inženýrství, kterou jsme probírali v minulém TIPu.
Termín „phishing“ je odvozen od anglického slova „fishing“ a vždy souvisí se získáváním dat a informací prostřednictvím e-mailu, který slouží k páchání této počítačové trestné činnosti.
Pomocí této techniky tedy kyberzločinec náhodně rozesílá falešnou nebo podvodnou e-mailovou komunikaci různým uživatelům, profesionálům i soukromým osobám.
Při této komunikaci se nejčastěji vydáváme za důvěryhodný kontakt, ať už jde o někoho blízkého (šéfa, příbuzného, přítele), nebo o důležitý subjekt (banka, státní správa, pojišťovna).
Může také souviset s falešným ověřováním přihlášení na platformách (např. Amazon, Facebook, Netflix atd.) nebo s požadavky na změnu hesla.
Tím je zajištěno, že uživatel, který e-mail obdrží, nepojme podezření, že je falešný, a udělá chybu, např. stáhne soubor, klikne na odkaz, poskytne údaje nebo se přihlásí prostřednictvím falešné webové stránky („Pharming“, o kterém budeme hovořit později ve zvláštním TIPu).
To pak může vést ke skryté instalaci viru nebo malwaru, tj. škodlivého softwaru, který poškodí počítač a informace, nebo ke shromažďování kontaktů, hesel a dalších údajů, k nimž chce kyberzločinec získat přístup.
Jak se tomu můžeme vyhnout?
- Zlatým pravidlem zůstává dávat si pozor na jakoukoli neobvyklou komunikaci a „dvakrát si ji ověřit„. Abychom se o tom přesvědčili, měli bychom se obrátit na údajného odesílatele (našeho šéfa, příbuzného, banku atd.) jiným oficiálním způsobem a zeptat se, zda je doručená pošta pravá.
- Dokud nezkontrolujete výše uvedené, neprovádějte žádnou z výše uvedených činností. To znamená, že nebudete stahovat soubory ani obrázky, nebudete klikat na odkazy a rozhodně nebudete zadávat osobní údaje nebo hesla na propojených webových stránkách.
- Odkazy můžeme zkontrolovat, aniž bychom na ně klikali, a vyhnout se tak zadávání údajů na falešné webové stránky. Toho lze dosáhnout pohybem myši nad odkazem, jak říkáme, bez přímého kliknutí. Při tomto postupu se zobrazí zpráva s původním názvem webové stránky, na kterou odkaz přesměrovává, a vy budete moci zkontrolovat, zda se jedná o oficiální nebo podvodnou webovou stránku.
- Pokud máte podezření na obsah sdělení, na e-mail neodpovídejte. To by mohlo kyberzločince varovat a mohl by použít alternativní prostředky, aby nás znovu oklamal (například Vishing nebo Smishing, o kterých budeme hovořit v příštích TIPECH).
- Nevynechávejte je nebo je jednoduše neodstraňujte. Pokud jsme výše uvedené zkontrolovali a v některém z bodů jsme zjistili nepravdivost sdělení, neměli bychom ho jednoduše vymazat. Tuto událost musíme oznámit týmu IT podpory v práci a na osobní úrovni poskytovateli technologické e-mailové služby (Microsoft, Google atd.), aby ji mohl analyzovat, vyřešit a my mohli tuto službu nadále bezpečně používat, a to jak pro sebe, tak pro všechny ostatní uživatele.