Čo je to phishing a ako vás môže pripraviť o peniaze a tajomstvá
Tipy Technológia / / December 28, 2020
Čo je phishing a aké nebezpečné je
Phishing je bežný typ kybernetických podvodov zameraných na ohrozenie účtu záznamy a odpočúvanie kontroly nad nimi, krádež údajov o kreditných kartách alebo akékoľvek iné dôverné údaje informácie.
Útočníci najčastejšie používajú e-mail: napríklad posielajú listy v mene známej spoločnosti a lákajú používateľov na jej falošné webové stránky pod zámienkou ziskovej propagácie. Postihnutý nerozpozná falošný údaj, zadá používateľské meno a heslo zo svojho účtu, a teda sám používateľ prenesie údaje podvodníkom.
Trpieť môže každý. Automatizované phishingové e-maily sú najčastejšie zamerané na široké publikum (státisíce alebo dokonca milióny adries), existujú však aj útoky zamerané na konkrétny cieľ. Najčastejšie ide o cieľových manažérov alebo iných zamestnancov, ktorí majú privilegovaný prístup k firemným údajom. Táto personalizovaná stratégia phishingu sa nazýva vailing (angl. lov veľrýb), čo sa prekladá ako „lov veľrýb“.
Následky phishingových útokov môžu byť zničujúce. Podvodníci môžu čítať vašu osobnú korešpondenciu, posielať phishingové správy vášmu okruhu kontaktov, vyberať peniaze z bankových účtov a spravidla konať vo vašom mene v širšom zmysle. Ak podnikáte, riziko je ešte väčšie. Phisheri sú schopní ukradnúť firemné tajomstvá, zničiť citlivé súbory alebo uniknúť údaje vašich zákazníkov, čo poškodzuje dobré meno spoločnosti.
Podľa správySpráva o trendoch phishingovej aktivity Pracovná skupina pre boj proti phishingu, len v poslednom štvrťroku 2019, odborníci na kybernetickú bezpečnosť odhalili viac ako 162 tisíc podvodných stránok a 132 tisíc e-mailových kampaní. Za tento čas sa obeťou phishingu stalo asi tisíc spoločností z celého sveta. Uvidí sa, koľko útokov nebolo zistených.
Ivan Budylin
Architekt technologického centra spoločnosti Microsoft v Rusku.
Je dôležité mať v sebe jasno a komunikovať niekoľko vecí so svojimi spolupracovníkmi, priateľmi a rodinou. Po prvé, priemysel je proti nám. Kybernetickí zločinci už nie sú nadšenými vtipálkami, sú to skúsení profesionáli, ktorí si na vás tak či onak chcú zarobiť peniaze. Po druhé, každá informácia má hodnotu, aj keď sa to nezdá dôležité. A vaša aktivita v sociálnych sieťach a prezývka vašej obľúbenej mačičky - na všetko sa dá použiť priame speňaženie alebo ako útočná fáza na získanie prístupu k „nákladnejším“ údaje. Po tretie, používanie viacfaktorovej autentifikácie a prihlásení bez hesla sa postupne posúva z kategórie dôrazných odporúčaní do kategórie prísnych požiadaviek zmenenej reality.
Vývoj a typy phishingu
Pojem „phishing“ pochádza z anglického slova „fishing“. Tento typ podvodu sa skutočne podobá na rybolov: útočník hodí nástrahu vo forme falošnej správy alebo odkazu a čaká, kým používatelia uhryznú.
Ale v angličtine sa phishing píše trochu inak: phishing. Namiesto písmena f sa používa digraf ph. Podľa jednej verzie ide o odkaz na slovo falošný („podvodník“, „podvodník“). Na druhej strane - do subkultúry raných hackerov, ktorí sa nazývali phreakers („phreakers“).
Predpokladá sa, že pojem phishing sa prvýkrát začal verejne používať v polovici 90. rokov v diskusných skupinách Usenetu. V tom čase podvodníci podnikli prvé phishingové útoky zamerané na zákazníkov amerického poskytovateľa internetu AOL. Útočníci rozposlali správy so žiadosťou o potvrdenie poverenia, ktoré sa vydávali za zamestnancov spoločnosti.
S rozvojom internetu sa objavili nové typy phishingových útokov. Podvodníci začali fingovať celé weby a ovládali rôzne kanály a komunikačné služby. Dnes môžeme tieto typy phishingu rozlíšiť.
- Phishing e-mailov. Podvodníci zaregistrujú poštovú adresu podobnú adrese známej spoločnosti alebo známeho vybranej obete a pošlú jej listy. Falošné písmeno môže byť zároveň menom odosielateľa, dizajnom a obsahom takmer totožné s originálom. Iba vo vnútri sa nachádza odkaz na falošný web, infikované prílohy alebo priama žiadosť o zaslanie dôverných údajov.
- Phishing (smishing) pomocou SMS. Táto schéma je podobná predchádzajúcej, ale namiesto e-mailu sa používajú SMS. Predplatiteľ dostane správu od neznámeho (zvyčajne krátkeho) čísla so žiadosťou o dôverné údaje alebo s odkazom na falošnú stránku. Napríklad sa môže útočník predstaviť ako banka a požiadať o overovací kód, ktorý ste dostali skôr. Podvodníci v skutočnosti potrebujú kód, aby sa nabúrali na váš bankový účet.
- Phishing na sociálnych sieťach. S rozširovaním okamžitých správ a sociálnych médií zaplavili tieto kanály aj phishingové útoky. Útočníci vás môžu kontaktovať prostredníctvom falošných alebo napadnutých účtov známych organizácií alebo vašich priateľov. Zvyšok princípu útoku sa nelíši od tých predchádzajúcich.
- Phishing (vishing) telefónu. Podvodníci sa neobmedzujú iba na textové správy a môžu vám volať. Najčastejšie sa na tento účel používa internetové telefonovanie (VoIP). Volajúci sa môže vydávať napríklad za podporného pracovníka vášho platobného systému a vyžadovať údaje na prístup do peňaženky - údajne na overenie.
- Vyhľadajte phishing. Priamo vo výsledkoch vyhľadávania sa môžete stretnúť s phishingom. Stačí kliknúť na odkaz, ktorý vedie na falošnú stránku, a nechať na nej osobné údaje.
- Pop-up phishing. Útočníci často používajú kontextové okná. Pri návšteve pochybného zdroja môžete vidieť banner, ktorý v mene známej spoločnosti sľubuje určitý druh výhody - napríklad zľavy alebo tovar zadarmo. Kliknutím na tento odkaz sa dostanete na stránku kontrolovanú počítačovými zločincami.
- Farmárčenie. Nesúvisí priamo s phishingom, ale veľmi častým útokom je aj poľnohospodárstvo. V takom prípade útočník sfalšuje údaje DNS a automaticky presmeruje používateľa namiesto pôvodných stránok na falošné. Obeť nevidí žiadne podozrivé správy ani bannery, čo zvyšuje účinnosť útoku.
Phishing sa neustále vyvíja. Spoločnosť Microsoft odhalila nové techniky, ktoré jej anti-phishingová služba Office 365 Advanced Threat Protection objavila v roku 2019. Napríklad podvodníci sa naučili lepšie zamaskovať škodlivé materiály vo výsledkoch vyhľadávania: navrch zobrazovať legitímne odkazy, ktoré vedú používateľa na phishingové stránky pomocou viacerých presmerovania.
Kybernetickí zločinci navyše začali automaticky generovať phishingové odkazy a presné kópie elektronickej verzie listy na kvalitatívne novej úrovni, ktorá umožňuje efektívnejšie klamať používateľov a obchádzať finančné prostriedky ochrana.
Spoznajte Office 365
Ako sa chrániť pred phishingom
Zlepšite svoju technickú gramotnosť. Ako sa hovorí, ten, kto je vopred varovaný, je ozbrojený. Naštudujte si informačnú bezpečnosť na vlastnej koži alebo sa poraďte s odborníkmi. Aj jednoduchá znalosť základov digitálnej hygieny vám môže ušetriť veľa problémov.
Buď opatrný. Nesledujte odkazy ani neotvárajte prílohy v listoch od neznámych účastníkov rozhovoru. Starostlivo skontrolujte kontaktné údaje odosielateľov a adresy stránok, ktoré navštevujete. Nereagujte na žiadosti o osobné informácie, aj keď správa vyzerá vierohodne. Ak zástupca spoločnosti požiada o informácie, je lepšie zavolať do call centra a nahlásiť situáciu. Neklikajte na vyskakovacie okná.
Používajte heslá múdro. Pre každý účet používajte jedinečné a silné heslo. Prihláste sa na odber služieb, ktoré upozorňujú používateľov, ak sa na webe zobrazia heslá ich účtov, a ak sa ukáže, že došlo k zneužitiu, okamžite zmeňte prístupový kód.
Nastavte viacfaktorové overenie. Táto funkcia dodatočne chráni účet, napríklad pomocou jednorazových hesiel. V takom prípade budete musieť okrem hesla vždy, keď sa prihlásite do svojho účtu z nového zariadenia zadajte štvor- alebo šesťmiestny kód, ktorý vám bude zaslaný prostredníctvom SMS alebo vygenerovaný špeciálnym kódom žiadosť. Možno sa to nezdá veľmi vhodné, ale tento prístup vás ochráni pred 99% bežných útokov. Ak totiž podvodníci ukradnú heslo, bez overovacieho kódu stále nebudú môcť vstúpiť.
Používajte možnosti prihlásenia bez hesla. V týchto službách by ste, ak je to možné, mali úplne opustiť používanie hesiel a nahradiť ich hardvérovými bezpečnostnými kľúčmi alebo autentifikáciou prostredníctvom aplikácie v smartfóne.
Používajte antivírusový softvér. Včasne aktualizovaný antivírus pomôže chrániť váš počítač pred škodlivými programami, ktoré presmerujú na phishingové stránky alebo ukradnú prihlasovacie údaje a heslá. Pamätajte však, že vašou hlavnou ochranou je stále dodržiavanie pravidiel digitálnej hygieny a dodržiavanie odporúčaní v oblasti kybernetickej bezpečnosti.
Ak podnikáte
Nasledujúce tipy budú užitočné aj pre majiteľov firiem a riadiacich pracovníkov.
Školte svojich zamestnancov. Vysvetlite podriadeným, ktorým správam sa majú vyhnúť a aké informácie by sa nemali posielať prostredníctvom e-mailu a iných komunikačných kanálov. Zakázať zamestnancom používať firemnú poštu na osobné účely. Poučte ich, ako majú pracovať s heslami. Za zváženie tiež stojí politika uchovávania správ: napríklad z bezpečnostných dôvodov môžete mazať správy staršie ako určité obdobie.
Vykonávajte vzdelávacie phishingové útoky. Ak chcete vyskúšať reakciu zamestnancov na phishing, skúste predstierať útok. Zaregistrujte si napríklad poštovú adresu podobnú tej vašej a pošlite z nej listy podriadeným so žiadosťou, aby vám poskytli dôverné údaje.
Vyberte si spoľahlivú poštovú službu. Poskytovatelia bezplatných e-mailov sú príliš citliví na obchodnú komunikáciu. Spoločnosti by si mali zvoliť iba zabezpečené podnikové služby. Napríklad používatelia poštovej služby Microsoft Exchange zahrnutej v Office 365 majú komplexnú ochranu pred phishingom a inými hrozbami. Aby spoločnosť Microsoft mohla čeliť podvodníkom, každý mesiac analyzuje stovky miliárd e-mailov.
Najmite si odborníka na kybernetickú bezpečnosť. Ak to váš rozpočet umožňuje, vyhľadajte kvalifikovaného odborníka, ktorý bude nepretržite poskytovať ochranu pred phishingom a inými kybernetickými hrozbami.
Čo robiť, ak ste obeťou phishingu
Ak existuje dôvod domnievať sa, že sa vaše údaje dostali do nesprávnych rúk, okamžite konajte. Skontrolujte, či vo vašich zariadeniach nie sú vírusy, a zmeňte heslá účtov. Informujte zamestnancov banky, že mohlo dôjsť k odcudzeniu vašich platobných údajov. V prípade potreby informujte zákazníkov o možnom úniku.
Ak chcete zabrániť opakovaniu takýchto situácií, vyberte si spoľahlivé a moderné služby pre spoluprácu. Najlepšie sa hodia produkty so vstavanými ochrannými mechanizmami: bude fungovať čo najpohodlnejšie a nebudete musieť riskovať digitálne zabezpečenie.
Táto služba navyše poskytuje dynamickú kontrolu prístupu s hodnotením rizika a so zohľadnením širokej škály podmienok. Office 365 obsahuje aj zabudovanú automatizáciu a analýzu údajov a tiež vám umožňuje ovládať zariadenia a chrániť informácie pred únikom.
Vyskúšajte Microsoft Office 365