Co je to „PHARMING“?
Z předchozích TIPŮ již víte o technikách sociálního inženýrství: Phishing (e-mail), Vishing (telefonát) a Smishing (textová zpráva). Zejména u prvního a třetího z nich, tedy Phishingu a Smishingu, je velmi časté, že narazíme na podvodné odkazy a kyberzločinec nás výslovně požádá, abychom na ně klikli.
Tyto odkazy často vedou na falešné webové stránky, které na první pohled vypadají podobně jako oficiální stránky (např. stránky naší banky). Kyberzločinci si dávají záležet na tom, aby se podoba webových stránek a způsob jejich fungování co nejvíce shodovaly se skutečnými webovými stránkami.
Tento kybernetický útok spočívající ve vytvoření falešné webové stránky se nazývá „Pharming“, což pochází ze zemědělského termínu „pěstovat“ (v angličtině), tj. zasadit něco (webovou stránku), aby se sklidily plody (údaje zadané uživateli). Jedná se tedy o kybernetický útok, který může existovat samostatně nebo může být propojen s útoky popsanými v předchozích TIPECH a zvýšit počet návštěv falešných webových stránek.
Jak můžeme zjistit, zda je webová stránka bezpečná?
Než kliknete na odkaz v e-mailu nebo textové zprávě, zkontrolujte si to. To lze v počítači provést tak, že na odkaz najedete myší (aniž byste na něj klikli), takže se zobrazí adresa (URL) webové stránky, na kterou nás odkaz přesměruje. A v případě textové zprávy zkontrolujte, zda to, co je v ní požadováno, lze provést nebo ověřit jinými prostředky (oficiální webové stránky vyhledané na internetu, oficiální aplikace daného subjektu atd.).
- Příklad 1: Obdrželi jsme e-mail nebo SMS s upozorněním na problém s odesláním nebo přijetím balíčku s určitým číslem a jsme vyzváni, abychom klikli na odkaz ve zprávě. V takovém případě je lepší si číslo zapsat, otevřít internet, vyhledat oficiální webové stránky daného poskytovatele balíkových služeb (UPS, SEUR, DHL atd.) a zadat toto číslo. Pokud je skutečná, sledování se zobrazí, pokud je falešná, informace se nenajdou.
- Příklad 2: Dopravní pokuta oznámená poštou nebo SMS. V takovém případě bychom mohli s pomocí registrační značky vozidla vyhledat stejné informace na oficiálních internetových stránkách příslušného orgánu a zjistit je s jistotou, aniž bychom museli klikat na jakýkoli odkaz, který by mohl být falešný.
- Příklad 3: Reklamované přečerpání nebo nezaplacení. Než klikneme na odkaz pro řešení této události nebo finančního dluhu, raději si v internetovém bankovnictví nebo bankovní aplikaci ověříme, že tuto částku skutečně dlužíme.
Pokud na odkaz přesto klikneme, měli bychom vědět, že v dnešní době musí mít všechny webové stránky určité vlastnosti, aby mohly být považovány za bezpečné, a to následující:
Webový „zámek“ (🔒) nám umožňuje zjistit, zda webová stránka šifruje údaje na ní zadané, tj. chrání je. K tomu se musíme podívat také na adresu dané webové stránky (URL), kde by místo „HTTP:“ mělo být uvedeno „HTTPS:“. Kdykoli se zobrazípísmeno „S„, dává nám na vědomí, že pokud zadáváme údaje, např. platební údaje, budou od okamžiku zadání chráněny.
Ale v případě falešné webové stránky, která může mít také tyto visací zámky, můžeme kliknutím na ni (což by v tomto kontextu bylo bezpečné) také zkontrolovat, kdo stránku vlastní. Tímto způsobem se za méně než minutu dozvíme, zda jméno vlastníka odpovídá například jménu naší banky, nebo zda se jedná o falešnou webovou stránku. Doporučujeme proto nejen důvěřovat existenci visacího zámku, ale před zadáním jakýchkoli osobních nebo platebních údajů na webových stránkách také zkontrolovat informace, které visací zámek poskytuje.
V každém případě je také důležité vědět, že současné prohlížeče (Google Chrome, Exchange a další), jakmile vstoupíme na webovou stránku buď přímým zadáním adresy, nebo prostřednictvím vyhledávače, pokud zjistí, že by se mohlo jednat o falešnou, podezřelou nebo nebezpečnou webovou stránku, okamžitě se zobrazí výstražná zpráva, a to přesně v místě, kde se obvykle nachází ikona visacího zámku.
DŮLEŽITÉ UPOZORNĚNÍ: Pokud se domníváte, že jste poskytli osobní nebo profesní informace, které jste neměli tímto způsobem zveřejnit, oznamte to v pracovním prostředí IT oddělení, CISO nebo DPO a v osobním prostředí policejním orgánům.
*Datum odeslání: 07. dubna 2025