Článek
Stále častější a dokonalejší. Tak dnes mluví odborníci z oblasti kybernetické bezpečnosti o desetiletí známém digitálním podvodu zvaném phising (vyslovuje se fišink).
I když toto cizí slovo možná neznáte, je velmi pravděpodobné, že jste se s ním už setkali na vlastní kůži.
E-maily, které vyzývají adresáta k zadání osobních údajů na falešné webové stránce, jejíž podoba je takřka identická s tou oficiální, se podle dat společnosti Cisco řadí mezi čtyři nejčastější internetové hrozby. Kromě samotného phishingu jsou na dalším místě neoprávněná těžba kryptoměn na cizím zařízení, trojské koně a ransomware (program, který blokuje počítačový systém nebo šifruje data a za odemknutí požaduje výkupné). Tyto čtyři formy jsou podle Cisca 10krát četnější než ostatní případy kybernetického ohrožení.
Jasnější představě o tom, jak se v dnešní době stále častěji setkáváme s internetovými útoky v podobně phishingu, poslouží čísla v boxu níže:
Phishing v číslech
Celkem 86 % firem zaznamenalo minimálně jeden pokus uživatele připojit se na phishingový web.
Každý 99. došlý e-mail obsahuje phishingový útok.
30 % z těchto e-mailů někdo otevře.
90 % všech kyberútoků začíná právě phishingovým e-mailem.
Zdroj: Data Cisco
Ačkoliv jsou čísla vysoká, phishingových útoků každoročně stále přibývá.
„Počet útoků roste každoročně, nicméně akcelerace v posledních dvou letech je způsobena dynamickým rozvojem digitalizace. Roste počet aplikací a veřejnost bere digitální prostředí jako samozřejmou součást života, bohužel stále velké procento veřejnosti není schopno detekovat podvodné jednání, internet skýtá svojí podstatou možnost v krátkém čase atakovat obrovské množství uživatelů a i při nízké míře procentuální úspěšnosti je výdělek oproti nutné investici zajímavý,“ vysvětlujete Luděk Tichý, manažer specializovaného útvaru ICT bezpečnosti České pošty.
Jak jsou na tom vaše znalosti základních principů bezpečného chování na internetu, si můžete vyzkoušet v online interaktivním kybertestu, který v rámci vzdělávací kampaně spustila Česká bankovní asociace.
Falšované logo a náklady na dopravu balíků
Právě Česká pošta od roku 2018 bojuje v rámci phishingových útoků s rostoucím počtem zneužití jejich loga, které představuje pro veřejnost jistou důvěryhodnost.
„Portfolio našich služeb bohužel vytváří ideální prostředí pro podvodné jednání, zvláště ve spojení s nakupováním po internetu a zasílání zboží, no a v neposlední řadě poskytování peněžních služeb ve spolupráci se státem,“ popisuje Tichý z České pošty.
Anketa
Z pohledu charakteru podvodu se podle jeho slov nejčastěji jedná o falešné oznámení nedoplatku za poštovní zásilku (balík), kdy se útočník pod záminkou doplatku formou elektronické platby dostane k údajům o platební kartě a obratem oběti konto „vybílí“.
Dalším úspěšným klonem podvrhu je spuštění platební aplikace GooglePay a nebo ApplePay a podvrhem zadání platby na daleko větší částku, než inzeruje, oběť provede platbu na konto útočníka v zahraničí (mimo EU).
„Základním verifikačním údajem je číslo balíku, které lze ověřit v aplikaci Pošta on-line, pokud číslo neexistuje, jedná se o podvrh. V poslední době se objevuje i podvrh formou oznámení výplaty přeplatku na dani a snaha vymámit z oběti opět údaje k platební kartě a zaútočit na bankovní účet,“ doplňuje manažer specializovaného útvaru ICT bezpečnosti České pošty.
Rozpoznání tohoto podvodu ale není složité, protože Česká pošta platbu formou on-line karet neprovádí. Nedoplatek na jakékoli službě není možný, protože platbu provádí vždy odesílatel, a pokud se jedná o dobírku, platí příjemce přímo doručovateli při předání.
Podvodný e-mail předstírá, že byl odeslán z České pošty. Informuje zákazníka, že se mu včera pokusili doručit jeho balíček, ale v době doručení nikdo nebyl k dispozici. Má pokračovat v platbě druhého pokusu o doručení. Náklady na dopravu činí 52 Kč. Pro změnu termínu balíčku má potvrdit platbu kliknutím na odkaz.
Podvodný e-mail předstírá, že byl odeslán z České pošty, pod hlavičkou Zásilkovny. Požadují platbu za dokončení transakce 42,99 Kč.
Podvodná SMS zpráva předstírá, že byla odeslána z České pošty. Informuje zákazníka o neúspěšném pokusu o doručení zásilky. Má přejít na odkaz a potvrdit svou adresu k dalšímu doručení.
Podvodný e-mail předstírá, že byl odeslán z České pošty. Informuje zákazníka, že jeho balík čeká na zpracování z důvodu nezaplacených nákladů na dopravu 2,99 EUR. Balík nechali čekat na jeho platbu.
Další z podvodných e-mailů, které Česká pošta zveřejnila na svých webových stránkách.
O trochu mladší varianta, která se k uživatelům dostává stále častěji, je pak takzvaný SMS phishing. Ten se začal rozšiřovat právě s vývojem smartphonů. Není proto výjimkou, že uživateli přijde například autorizační SMS nebo přihlášení do Apple Pay. I v těchto případech se podvodné zprávy snaží z uživatele vylákat citlivé osobní údaje.
Útok z mailu vlastního šéfa
Další speciální a velmi nebezpečnou formu phishingu představuje takzvaný Business E-mail Compromise (BEC), což je útok cílený na firmy. Tento druh phishingu je jedním z finančně nejškodlivějších online zločinů.
„Typicky podvodník předstírá, že je např. finančním či generálním ředitelem firmy a v dobře koncipovaném e-mailu zaslaném do finančního oddělení firmy vyjadřuje naléhavou potřebu uhradit fakturu nebo převést peníze,“ upozorňuje Milan Habrcetl, bezpečnostní expert Cisco.
Kampaň #nePINdej!
- Patří k nejrozsáhlejším kampaním v oblasti kyberbezpečnosti u nás. Zapojily se jak orgány státní správy, tak klíčové firmy českého byznysu, jichž samotných nebo jejichž klientů se podvodné útoky také týkají.
- Kromě ČBA a Policie České republiky se kampaně zúčastnily i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), Balíkovna, O2, Visa, ČEZ, ČSOB, Česká spořitelna a Komerční banka.
Velkou komplikací, která dělá tento druh podvodu složitě rozpoznatelný, je fakt, že podvodníci mají pečlivě nastudované detaily z pracovního i soukromého života nadřízeného, a dokážou tak velmi autenticky předstírat, že jsou někým jiným.
„Podvodné e-maily bývají zpravidla odeslány pozdě během dne, často ve čtvrtek nebo pátek nebo před státním svátkem. Časté jsou i případy, kdy například známý dodavatel nebo úřední osoba (např. exekutor) vymáhá uhrazení nějakého poplatku, či dokonce dluhu,“ doplňuje Habrcetl.
Podle zprávy americké FBI dosahují ztráty z této formy phishingu za rok 2021 více než 40 miliard dolarů (zhruba bilion korun), přičemž mezi lety 2019 a 2021 došlo k nárůstu těchto případů o 65 procent. FBI přitom zároveň udává, že s těmito útoky se setkaly skutečně všechny země na světě.
Tipy, jak se bránit phishingovému útoku ve firmě:
- Důležité finanční pokyny nemají být nikdy zadávány e-mailem, ale například přes informační systém firmy.
- Pokud si nejste jisti, že zpráva opravdu přišla od nadřízeného, hned se mu ozvěte.
- Buďte velmi opatrní na všechny výzvy, které požadují rychlou reakcí, vytvářejí dojem vysoké urgentnosti a snaží se vás připravit o čas, abyste si je nemohli dobře promyslet.
Zdroj: Cisco
S kybernetickými podvody se ale setkávají prakticky veškeré oblasti napojené na internetovou síť. Podle dat Národní centrály proti organizovanému zločinu v Česku bylo do letošního července zachyceno přes deset tisíc trestných činů páchaných v kyberprostoru.
Například podle dat České bankovní asociace zaznamenalo pokus o útok v loňském roce 81 procent bankovních institucí. Na klienty bank jen za prvních sedm měsíců letošního roku směřovalo přes 20 tisíc útoků, za celý rok 2020 to přitom bylo zhruba čtyřikrát méně.
„Dramaticky narostly hlavně podvodné telefonáty, tzv. vishing, které patří k těm nejzákeřnějším,“ popisuje výkonná ředitelka České bankovní asociace Monika Zahálková. Problém je navíc i to, že se zvyšuje úspěšnost útoků.
Téměř každý druhý podvodný telefonát v současné době bohužel končí škodou pro klienta. Průměrná částka, o kterou klienti při phishingových útocích přijdou, se na jednoho klienta pohybuje kolem 73 tisíc korun, ukazují data ČBA.
Tipy pro uživatele, jak se bránit phishingovému útoku:
- Lidé si často myslí, že útočník použije špatnou češtinu, nebo že e-mail bude obsahovat zjevné gramatické chyby. Není to tak, dnešní phishingové útoky jsou psány velmi kvalitně.
- E-mail může přijít na první pohled od někoho známého, jméno v hlavičce mailu se dá zfalšovat a e-mailová adresa odesílatele také. Pozor tedy na zprávy s neobvyklými výzvami, které jsou na první pohled od známého člověka (například – „potřebuji pomoc, klikni na tuto stránku a vyplň tam údaje“).
- Adresa pro kliknutí může v mailu vypadat neškodně – když na ni najedete myší, ukáže se skutečná adresa, kam byste se proklikli. Pokud neodpovídá adrese napsané v textu, může být nebezpečná. Útočníci také umí webové adresy různě zřetězit, takže se nakonec ocitnete na úplně jiné stránce, než na jakou jste klikli.
- Na internetu jsme si zvykli, že „bezpečné“ webové stránky mají v adrese „HTTPS:“. Nicméně i útočníci si mohou založit web s tímto zabezpečením.
- Nikdy nesdělujte osobní nebo finanční údaje nikomu mailem.
Zdroj: Cisco
Seznam Zprávy jsou mediálním partnerem kampaně #nePINdej.
