Co je phishing? Naučte se ho rozpoznat a ochránit svá data
Informují o něm v hlavních zprávách a několikrát za rok na něj upozorní třeba i vaše banka. Řeč je o phishingu, nejčastějším typu kybernetických útoků. Myslíte si, že ho poznáte? Nejnovější trendy vás překvapí svou sofistikovaností.
Už na začátku letošního roku informoval specialista na kybernetickou bezpečnost ze společnosti Cisco Milan Habrcetl v podcastu Lupa.cz, že co se týče šíření kybernetických útoků, stále dominuje varianta phishingu. Během pandemie se pak vyrojila hlavně řada e-mailů nabádajících lidi k soudržnosti a podpoře ohrožených a znevýhodněných podniků, které vedly právě ke ztrátě osobních dat.
Počátky phishingu přitom sahají až do 90. let, což z něj dělá jeden z nejstarších kybernetických útoků vůbec. Forma útoku se ale od té doby značně změnila a od jeho předchůdce, tzv. „phone phreaking“ hackingu, který zahrnoval přehrávání zvukových tónů do telefonních sluchátek za účelem získání telefonních hovorů zdarma, jsme dospěli až k dnešním falešným bankovním e-mailům nebo prolomením protokolů, kupříkladu RDP (Remote Desktop Protocol).
Bezpečné mailboxy i IT infrastruktura
Zajistěte bezpečné prostředí pro své servery i zaměstnance. V MasterDC vám navrhneme bezpečnostní řešení, na které budou i nejmodernější útoky krátké.
Jak phishing probíhá?
Cílem phishingu je zjišťovat a shromažďovat osobní údaje (hesla, údaje o platebních kartách, rodná čísla nebo čísla bankovních účtů) prostřednictvím e-mailů a webových stránek. E-mail z phishingové kampaně přichází obvykle pod hlavičkou důvěryhodné instituce nebo známé společnosti. Cílem je příjemce přesvědčit, že se skutečně jedná o zprávu dané instituce, na niž je nutné neprodleně reagovat kliknutím na vložený link, případně stažením přílohy.
Co phishing odlišuje od jiných spamových e-mailů, je právě „maskování“ se za známou instituci, společnost, případně věrohodnou osobu či podnik, aby se zvýšila pravděpodobnost navázání spolupráce s příjemcem. S tím vlastně souvisí i samotný název útoku, jehož základem je anglické slovo fishing, tedy lov ryb – hacker nahazuje udičku v podobě e-mailu a čeká, jestli se na ni příjemce chytne.
Typy phishingových útoků
E-mail phishing – Nejčastější forma phishingu. Většinou se jedná o hromadné e-maily (bulk phishing) vydávající se za oficiální komunikaci společností (často finanční, streamovací nebo cloudové služby), které vedou k přímému odcizení peněz či osobních informací nebo k dalšímu šíření malware.
Spear phishing – Probíhá také pomocí e-mailu, tentokrát jde ale o zacílené e-maily na konkrétní společnost/osobu. Útočníci většinou používají takové informace o příjemci, které zvyšují věrohodnost dané zprávy, a tím i pravděpodobnost spolupráce.
Whaling – Typ spear phishingu zacílený na vysoce postavené zaměstnance společností. Obsah zpráv je sestaven tak, aby příjemce zajímal (často jde o předvolání k soudu nebo stížnost zákazníka). Opakem whalingu je tzv. CEO fraud, jež cílí na řadové zaměstnance pod falešnou identitou vedoucích pracovníků s cílem vyvolat akci u konkrétního zaměstnance.
Catfishing a catphishing – Na oba narazíme na sociálních sítích nebo v seznamovacích aplikacích. U catfishingu si útočník „uloví“ někoho do vztahu, z koho pak v ideálním případě vyloudí vedle pozornosti i nějaký finanční obnos. Catphishing je podobný, cílem je ale získat přístup k cenným informacím.
Clone phishing – Při tomto útoku dojde k odstranění původního legitimního doručeného e-mailu obsahujícího přílohu nebo odkaz. Šablona je použita k vytvoření identického e-mailu a jeho přílohy nahrazeny škodlivou verzí. E-mail pak zdánlivě odchází pod stejnou adresou, aby se zpráva jevila jako omylem opětovně odeslaná či aktualizovaná verze originálu.
Voice phishing (vishing) – K provedení phishingu využívá telefonní hovor. Útočníci vytočí velké množství telefonních čísel a přehrají automatizovanou nahrávku. Číslo volajícího se obvykle zobrazuje jako skutečné číslo např. banky. Oběť má následně kontaktovat číslo útočníka, kde je buď vyzvána ke sdělení citlivých informací, případně přepojena na skutečnou osobu, která už oběť zmanipuluje.
SMS phishing (smishing) – Podobný e-mail phishingu, textová zpráva vyzývá ke kliknutí na odkaz, vytočení uvedeného telefonního čísla, případně ke kontaktování prostřednictvím e-mailu. Takové zprávy mohou přicházet od telefonních čísel v netypickém formátu.
Phishingovou kampaň dnes zvládne i někdo s minimálními technickými dovednostmi, a to hlavně díky tzv. „phishing kits“. Jedná se o sady obsahující nástroje, jež stačí pouze nainstalovat na server a bezprostředně poté začít rozesílat e-maily potenciálním obětem. Phishingové sady i seznamy e-mailů jsou dostupné například na dark webu.
Některé sady jsou přímo uzpůsobeny k vydávání se za známou důvěryhodnou značku. Společnost Akamai v rámci svého výzkumu Phishing – Baiting the Hook zjistila, že existuje 62 dostupných sad pro Microsoft, 14 pro PayPal a 7 pro Dropbox.
Co dalšího je cílem phishingu?
Kromě získání finančních prostředků nebo citlivých dat je cílem phishingu přimět oběť ke stažení malware. Příjemcem takových zpráv bývají v různých společnostech třeba personalisté, kteří v příloze nacházejí životopis uchazeče typicky v podobě souboru ZIP nebo dokumentu Microsoft Office.
Tyto přílohy však v případě útoku obsahují škodlivý kód, s vysokou pravděpodobností ransomware, který šifruje počítačový systém a za opětovné získání dat a obnovení přístupu vyžaduje výkupné.
Jak poznat phishing? 5 věcí, na které si dát pozor
- Zpráva je zaslána z veřejné e-mailové domény (žádná legitimní organizace nebude posílat e-maily zakončené @gmail.com).
- Název domény je napsán chybně (např. oficiální doména vasedomena.cz bude zapsána jako vasedornena.cz, tj. v-a-s-e-d-o-r-n-e-n-a, čehož si na první pohled nemusíte všimnout).
- Špatná gramatika, očividný strojový překlad.
- Podivná příloha nebo odkaz (cílová adresa často neodpovídá kontextu zprávy).
- Zpráva naléhá, prezentuje důležitou informaci, na niž je nutné reagovat okamžitě.
Phishing v Česku a aktuální trendy
Frekvence phishingových útoků roste naneštěstí i u nás. Na podvodné e-maily i telefonáty pravidelně upozorňují bankovní společnosti působící na českém území, Česká pošta, české univerzity i vládní instituce.
Podle společnosti Eset za poslední tři roky roste především počet phishingových e-mailů, které se vydávají za zprávy cloudových služeb. V tomto případě se jedná o whaling cílící na firmy migrující svou infrastrukturu do cloudu. Imitují se především společnosti Microsoft nebo Google.
Nejproslulejší případy phishingu ze světa
- V roce 2016 se útočníkům podařilo přimět předsedu předvolební prezidentské kampaně Hillary Clinton, Johna Podestu, aby poskytl své heslo k Gmailu.
- Během tzv. „Fappening“ útoku byly zveřejněny intimní fotografie řady celebrit. Původně se myslelo, že jde o bezpečnostní mezeru na iCloud serverech společnosti Apple, ve skutečnosti šlo o výsledek řady úspěšných phishingových pokusů.
- Rovněž v roce 2016 odpověděli zaměstnanci univerzity v Kansasu na phishingový e-mail a umožnili tak přístup k výplatním páskám. Jejich výplata se pak připsala na účet hackera.
Společnost Kaspersky upozorňuje na celosvětově rostoucí oblibu rozesílání hromadných e-mailů zaměstnancům firem pod identitou technické podpory nějakého interního systému nebo CRM.
V těchto zprávách nabádají útočníci příjemce k přihlášení se do systému za účelem zvýšení bezpečnosti a minimalizace rizika napadení malwarem i jinými typy útoků. Ve výsledku ale příjemce takovým krokem předá své přihlašovací údaje a tím i přístup k interním datům přímo do rukou hackera. Nemá o tom přitom ani zdání, protože se přihlašuje přes webové rozhraní, na které je zvyklý.
Ochrana před phishingem – pomůže osvěta zaměstnanců
Nejlepší ochranou před phishingovými útoky je obezřetnost. U firem, institucí a velkých společností je jedním z nejdůležitějších bodů pravidelné vzdělávání zaměstnanců v oblasti kyberbezpečnosti a hrozeb, s nimiž se mohou setkat nejen ve svém mailboxu.
Vysokou pozornost pak vyžaduje firemní IT infrastruktura. Vedle e-mailů a telefonních hovorů dochází stále častěji k prolomení FTP (protokol pro přenos souborů mezi počítači a sítěmi), napadení poštovních či webových serverů nebo VPN (virtuální privátní síť). Nezapomeňte proto na školení svého admin týmu a kvalitní bezpečnostní řešení.