Článek
Říjen je Evropským měsícem kybernetické bezpečnosti, a tak je jistě na místě si připomenout a osvětlit, s jakým „svinstvem“ se teď na těch internetech můžeme nejčastěji setkat. Co jsou zač a co mohou způsobovat?
Phishing ještě frčí?
Protože naše firma BOIT Cyber Security rozeslala za poslední dva roky více než 18 000 phishingových mailů v rámci objednaných testů, máme na téma phishing v Čechách docela kvalifikovaný náhled. Spoiler allert: výsledky byly děsivé. A ano, většina lidí phishing stále nepozná. Co to teda ten phishing vlastně je a jak ho poznáme?
Phishing je jednou z metod sociálního inženýrství a využívá jeho techniky pro manipulaci oběti. Obvykle cílí na pocity jako je zvědavost (Kdo mě to označil na Facebooku?), hrabivost (Jé, vyhrál jsem iPhone 15 Pro!), či strach (Když tu fakturu do dvou dnů nezaplatím, přijde mi domů exekutor!).
Dávno jsou pryč doby, kdy byl phishing znám špatnou češtinou, aktuálně se díky zkvalitnění automatických překladačů jako je DeepL dá i celkem složitý text přeložit správně, navíc při cílených kampaních útočníci neváhají použít oficiální překlad od agentury či rodilého mluvčího.
Z podvodného e-mailu je pak obvykle nutné buď přejít na podvodnou stránku, kde je nutné se přihlásit či provést jinou akci, nebo otevřít přílohu, která s sebou nese nějakou přidanou hodnotu – rozumějte malware.
Tím dochází ke zcizení přihlašovacích údajů, nebo kompromitaci malwarem – a je jedno, jestli se jedná o keylogger nebo ransomware. Phishing svůj účel splnil – je ostatně úspěšný cca v 65 % případů.
Dobře, jak phishing poznám?
Phishingu existuje více druhů, které se od sebe odlišují. Všechny však mají obdobný záměr.
Obecný phishing – je odesílán masivně ve vlnách, často říkáme, že funguje podobně jako horoskopy – je napsán tak, aby se v tom našel každý a uvěřil tomu. Občas může obsahovat gramatické chyby, webové stránce občas chybí HTTPS certifikát, necílí přímo na vás osobně. Vypadat může třeba jako na následujícím obrázku.
Obecný phishing
Spear phishing – cílí konkrétně na vás či vaši organizaci, útočníci si dali nějakou práci (OSINT), aby vypadali věrohodně, často se vydávají za někoho, koho znáte, aby navodili vztah důvěry. Je zpracován profesionálně, bez chyb, podvodné stránky obsahují platný HTTPS certifikát a jsou k nerozeznání od originálu. Odesílatel je často podvrhnut, využívají se pokročilé techniky jako typosquatting či homoglyfy. Poznává se dost obtížně. Tento typ útoku využíváme nejčastěji při phishingových testech zaměstnanců. Zajímá vás to? Mrkněte se na nás.
Vishing – jedná se o podvodné telefonáty, které mají za cíl vylákat z vás co nejvíc informací, které jsou pak obvykle použity pro phishing. Druhá varianta je pak taková, že je zapotřebí cíl zmanipulovat k provedení nějaké akce – otevření e-mailu či stažení aplikace pro vzdálenou plochu.
Notoricky známé se staly takzvané Microsoft tech support SCAMy, kdy vám volal někdo anglicky hovořící, obvykle se silným indickým přízvukem a vymyšlenou historkou o tom, že z vaší firmy probíhá nějaký útok na vládní subjekty, a on je tu od toho, aby vám pomohl problém vyřešit – stačí když si stáhnete TeamViewer, či Anydesk a necháte ho, aby se připojil k vám do počítače. Tak určitě.
Smishing – jedná se o phishing pomocí SMS zprávy. Touto formou se útočníci obvykle snaží obejít antiphishingové a antispamové nástroje, které jsou dostupné v počítačích a spoléhají na to, že v mobilním telefonu žádný podobný software neběží. Také zde využívají různé zkracovače odkazů, protože v SMS zprávě si jejich použití běžný uživatel sám omluví a odůvodní. Vypadat to může třeba jako na obrázku, ale určitě už sami znáte i další.
Smishing
Quishing – využívá k podvodům QR kódy. Nejčastěji je koncipován tak, že na nějaký obrázek či web, kde je QR kód vystaven, je přidán QR kód podvodný, který vede na stránku útočníka, kde následně dojde ke zcizení přihlašovacích údajů. Bacha na to!
No a pak tu máme ještě jednu libůstku - phishing pomocí sociálních sítí. Nevěřili byste, jak častý jev to je. Dá se říct, že v tomhle případě se jedná spíš o sociální inženýrství jako takové. Může mít nejrůznější podoby a většina z nich může neznalému oku připadat nevinná. Až na to, že není. Nejčastěji se jedná o různé soutěže či kvízy. Na sítích se jim bohužel dobře daří a jejich cílem často bývá vylákat z vás odpovědi na bezpečnostní otázky, které můžete mít nastavené jako pojistku na svém účtu.
Ok, tak teď se bojím. Co s tím?
Je mi jasné, že dokud se o to člověk nezajímá, ani zdaleka neodhalí všemožné podvůdky, které na internetu číhají ve všech možných koutech. Bránit se proti tomu ale dá a vlastně to často není zas taková kovbojka. Nejjednodušší kroky, které může každý podniknout, jsou přitom často i ty nejúčinnější. Udělal jsem z nich sympatické desatero jako v Bibli, ať se to dobře pamatuje.
- Neotevřeš! Nebudeš otevírati odkazy a přílohy od neznámých odesílatelů.
- Nepolevíš! Budeš pozorně zkoumati adresu odesílatele, aby tě neoklamal.
- Neposkytneš osobní údaje přes e-mail či zprávy.
- Zdvoufaktoruješ! Budeš používat dvoufaktorovou autentizaci, aby tvé účty byly chráněny.
- Zaktualizuješ (pravidelně)! Budeš pravidelně aktualizovati software i antivir.
- Nenalítneš! Nebudeš slepě věřiti naléhavým zprávám bez ověření jejich pravdivosti.
- Zkontroluješ! URL adresy budeš kontrolovati, než zadáš citlivé informace.
- Zahesluješ! Budeš používat silná a unikátní hesla pro každý účet (a do správce hesel si je uložíš)
- Moudrost šířiti budeš! Nepřestaneš vzdělávati sebe i své okolí o hrozbách phishingu.
- Verifikuješ! Budeš ověřovati pravost zpráv přímo u zdroje.
To by pro dnešek stačilo, abych vás nepřehltil. O scamech si něco povíme zase příště.
Zdroj: Spajk.cz
