Phishing je typ kybernetického útoku, při kterém se subjekt s nekalými úmysly vydává za důvěryhodný subjekt nebo firmu, aby oklamal lidi a získal jejich citlivé informace – například údaje o platební kartě, uživatelská jména, hesla apod. Vzhledem k tomu, že phishing používá psychologickou manipulaci a spoléhá na selhání člověka (místo hardwaru nebo softwaru), jde o útok, který využívá metod sociálního inženýrství.
Při phishingových útocích se obvykle používají podvodné e-maily, které uživatele přesvědčí, aby zadal své citlivé informace na podvodný web. Tyto e-maily obvykle žádají uživatele o obnovení hesla nebo potvrzení údajů o platební kartě a vedou na falešnou webovou stránku, která vypadá velmi podobně jako ta pravá. Mezi hlavní typy phishingu patří tzv. clone phishing, spear phishing a pharming.
Phishingové útoky se používají i v oblasti kryptoměn, kde se subjekty s nekalými úmysly snaží uživatelům ukrást bitcoiny nebo jiné digitální měny. Může k tomu dojít například tak, že útočník zfalšuje skutečnou webovou stránku a změní adresu peněženky na svou vlastní. V uživatelích vyvolá dojem, že platí za legitimní službu, zatímco ve skutečnosti je okrádá o peníze.
Jaké typy phishingu existují?
Existuje mnoho různých typů phishingu, které se obvykle dělí podle cíle a vektoru útoku. Tady je seznam několika běžných příkladů.
Clone phishing: útočník použije už jednou odeslaný legitimní e-mail a zkopíruje jeho obsah do podobného e-mailu, který obsahuje odkaz na podvodný web. Útočník pak může tvrdit, že se jedná o aktualizovaný nebo nový odkaz, nebo případně uvést, že platnost starého odkazu vypršela.
Spear phishing: tento typ útoku je zaměřen na konkrétní, obvykle obecně uznávanou osobu nebo instituci. Tento útok je sofistikovanější než jiné typy phishingu, protože je vyprofilovaný. To znamená, že útočník nejdřív shromažďuje informace o oběti (např. jména přátel nebo členů rodiny), a na základě těchto údajů vytvoří zprávu, jejímž hlavním úkolem je přesvědčit oběť, aby navštívila podvodný web nebo si stáhla škodlivý soubor.
Pharming: útočník napadne záznam DNS, který v praxi přesměruje návštěvníky legitimní webové stránky na podvodnou stránku, kterou vytvořil předem. Jedná se o nejnebezpečnější typ útoku, protože záznamy DNS nejsou pod kontrolou uživatele, takže se proti tomu nemá jak bránit.
Whaling: forma spear phishingu, která se zaměřuje na bohaté a důležité osoby, jako jsou generální ředitelé a vládní úředníci.
E-mailový spoofing: phishingové e-maily obvykle falšují komunikaci od legitimních společností nebo osob. Phishingové e-maily mohou neznalým obětem nabízet odkazy na škodlivé weby, na kterých útočníci pomocí chytře maskovaných přihlašovacích stránek shromažďují přihlašovací a osobní údaje. Na těchto webech se mohou nacházet trojské koně, keyloggery a další škodlivé skripty, které kradou osobní údaje.
Přesměrování webových stránek: přesměrování webových stránek posílá uživatele na jiné adresy URL, než chtěli navštívit. Subjekty, které zneužívají různé zranitelnosti, mohou do počítačů uživatelů vkládat přesměrování a instalovat škodlivý malware.
Typosquatting: typosquatting směřuje provoz na falešné weby, které využívají cizojazyčného pravopisu, běžných překlepů nebo drobných variací domény nejvyššího řádu. Útočníci používají domény, které napodobují rozhraní legitimních webů, a zneužívají tak uživatele, kteří špatně zadali nebo přečetli adresu URL.
Útok typu Watering Hole: při tomto typu útoku útočníci vytvářejí profil uživatele a vymezují weby, které často navštěvují. Útočníci pak na těchto webech hledají zranitelná místa, a pokud je to možné, vkládají na ně škodlivé skripty, které se při příští návštěvě zaměří na profilované uživatele.
Vydávání se za někoho jiného a soutěže o ceny: další technikou používanou při phishingu je vydávání se za vlivné osobnosti na sociálních sítích. Útočníci se mohou vydávat za klíčové představitele společností a podle typu sledujících mohou propagovat soutěže nebo používat jiné klamavé praktiky. Na oběti tohoto podvodu mohou dokonce cílit individuálně pomocí procesů sociálního inženýrství, které se zaměřují na vyhledávání důvěřivých uživatelů. Útočníci se mohou nabourat do ověřených účtů a úpravou uživatelského jména se vydávat za skutečnou ověřenou osobu. U zdánlivě vlivných osob je mnohem pravděpodobnější, že s nimi budou uživatelé komunikovat a poskytnou jim osobní údaje, což útočníkům dává příležitost je zneužít.
V poslední době se útočníci ve velké míře zaměřují na platformy, jako je Slack, Discord a Telegram, kde falšují chaty, vydávají se za někoho jiného a napodobují legitimní služby.Reklamy: další phishingovou taktikou jsou placené reklamy. Tyto (falešné) reklamy využívají typosquattované domény, za které útočníci zaplatili, aby se zobrazovaly mezi předními výsledky vyhledávání. Tyto weby se dokonce mohou při hledání legitimních společností nebo služeb, jako je například Binance, objevovat jako hlavní výsledek vyhledávání. Často se používají jako prostředek k vylákání citlivých informací, které mohou zahrnovat přihlašovací údaje k obchodním účtům.
Škodlivé aplikace: útočníci mohou jako vektor pro zavedení malwaru používat také škodlivé aplikace, které sledují vaše chování nebo kradou citlivé informace. Tyto aplikace se mohou vydávat za nástroje ke sledování cen, peněženky a další kryptoměnové aplikace (které mají základnu uživatelů, u kterých se předpokládá, že obchodují nebo drží kryptoměny).
Textový a hlasový phishing: dalšími způsoby, kterými se útočníci pokoušejí získat osobní údaje, jsou SMS phishing, což je forma phishingu používající textové zprávy, a vishing, což je jeho hlasová/telefonická obdoba.
Phishing vs. pharming
Přestože je pharming některými považován za druh phishingového útoku, spoléhá se na jiný mechanismus. Hlavní rozdíl mezi phishingem a pharmingem spočívá v tom, že phishing vyžaduje, aby oběť udělala chybu, zatímco pharming vyžaduje od oběti pouze pokus o přístup na legitimní web, jehož DNS záznam byl napaden útočníkem.
Jak předcházet phishingovým útokům?
Buďte obezřetní: nejlepší obranou proti phishingu je se nad doručenými e-maily zamyslet. Očekávali jste, že vám někdo o dané věci pošle e-mail? Máte podezření, že na informace, které se dotyčný snaží získat, nemá právo? V případě pochybností se pokuste kontaktovat odesílatele jiným způsobem.
Zkontrolujte obsah: můžete zkusit zadat část obsahu (nebo e-mailovou adresu odesílatele) do vyhledávače, abyste zjistili, jestli neodhalíte nějakou souvislost s phishingovým útokem.
Vyzkoušejte jiný způsob: pokud se domníváte, že vám přišla legitimní žádost o potvrzení přihlašovacích údajů k účtu služby, kterou používáte, zkuste to udělat jiným způsobem než přes odkaz v e-mailu.
Zkontrolujte adresu URL: najeďte na odkaz, aniž byste na něj klikali, a zkontrolujte, jestli začíná na HTTPS a ne jen na HTTP. Upozorňujeme ale, že to samo o sobě není zárukou, že je stránka legitimní. Pečlivě kontrolujte adresy URL, jestli neobsahují pravopisné chyby, neobvyklé znaky a další nesrovnalosti.
Nesdílejte své soukromé klíče: nikdy nikomu neposkytujte soukromý klíč k bitcoinové peněžence a před odesláním kryptoměny si pečlivě ověřte, jestli je produkt nebo prodejce legitimní. Rozdíl v používání kryptoměn oproti kreditním kartám spočívá v tom, že pokud jste neobdrželi sjednané zboží nebo službu, neexistuje žádný centrální orgán, který by mohl platbu zpochybnit. Proto musíte být při transakcích s kryptoměnami obzvlášť opatrní.
Phishing je jedna z nejrozšířenějších a nejběžnějších technik kybernetických útoků. E-mailové filtry běžných služeb sice při filtrování podvodů od skutečných zpráv odvádí dobrou práci, ale i přesto byste měli být opatrní a držet poslední linii obrany. Dávejte si pozor na pokusy vylákat z vás citlivé nebo soukromé informace. Pokud je to možné, vždy si prostřednictvím jiného komunikačního prostředku ověřte, že odesílatel a žádost jsou legitimní. Neklikejte v e-mailech na odkazy o bezpečnostních incidentech – přejděte na web sami a hlídejte si, jestli adresa URL začíná na HTTPS. V neposlední řadě buďte obzvlášť opatrní u kryptoměnových transakcí, protože v případě, že obchodník nedodrží svou část dohody, neexistuje žádný způsob, jak je zvrátit. Soukromé klíče a hesla udržujte vždy v tajnosti a nikdy nepovažujte něčí důvěru za samozřejmost.