Phishing je rozšířený typ kybernetického podvodu, při kterém se útočníci snaží podvodem získat vaše citlivé informace, jako jsou hesla, čísla platebních karet nebo jiné osobní údaje. K tomu využívají falešné e-maily, zprávy nebo webové stránky, které vypadají jako důvěryhodné. Přečtěte si, jak phishing odhalit a efektivně se proti němu bránit.
Co je phishing?
Phishing je jeden z nejčastějších a nejzákeřnějších typů kybernetických podvodů, jehož cílem je vylákat z oběti citlivé informace – zejména:
– přihlašovací údaje (např. do internetového bankovnictví),
– údaje o platebních kartách (číslo karty, CVC kód),
– osobní údaje (např. rodné číslo, číslo občanského průkazu, hesla),
– nebo dokonce přímo přístup k financím.
Název „phishing“ vznikl spojením slov password (heslo) a fishing (rybaření), čímž se metaforicky vyjadřuje, že útočník „nahodí návnadu“ a čeká, kdo „zabere“.
Jak phishing funguje (princip útoku)
Phishing je typ sociálního inženýrství – techniky, při níž se útočník snaží manipulovat oběť, aby sama dobrovolně poskytla informace. Neprobíhá tedy technickým prolomením zabezpečení, ale využívá lidskou důvěřivost, zmatek, nebo strach.
Útočník vytvoří falešnou zprávu – e-mail, SMS, zprávu na sociální síti, případně falešnou webovou stránku.
Zpráva se tváří jako od důvěryhodné instituce – např. od vaší banky, České pošty, Finanční správy, PayPalu, Netflixu, Amazonu, ale klidně i kolegy, lékaře nebo kurýra.
Zpráva obsahuje naléhavé sdělení – typicky tvrdí, že:
– váš účet byl napaden a musíte si změnit heslo,
– musíte ověřit svou totožnost kvůli platbě,
– hrozí vám blokace účtu či služby,
– čeká vás zásilka, ale musíte doplnit údaje,
– dostanete vrácení přeplatku, stačí jen „ověřit účet“.
Zpráva obsahuje odkaz – ten vás přesměruje na falešnou webovou stránku (např. padělek stránky ČSOB, České pošty, Google aj.), která vypadá téměř totožně s originálem.
Na falešné stránce vyplníte své údaje – např. přihlašovací jméno, heslo, číslo karty, ověřovací kód z SMS – a tyto údaje se okamžitě odešlou útočníkům.
Nejčastější formy phishingu:
1. E-mailový phishing
Nejčastější varianta.
Falešné e-maily vypadají jako od banky, úřadu nebo firmy.
Často obsahují loga, profesionální jazyk, ale bývají zde i překlepy, divná gramatika nebo neobvyklý jazyk.
2. Smishing (SMS phishing)
Phishing přes SMS zprávy.
Typicky: „Vaše zásilka je pozastavena, klikněte zde pro ověření“ nebo „Byla zjištěna podezřelá aktivita, ověřte účet“.
3. Spear phishing (cílený útok)
Útok zaměřený na konkrétní osobu, firmu nebo organizaci.
Útočník si dopředu zjistí informace o oběti (např. z LinkedIn, Facebooku).
Používá osobní tón, reálné údaje, někdy se vydává za konkrétního kolegu, šéfa nebo partnera.
4. Pharming
Oběť je přesměrována na falešnou webovou stránku bez jejího vědomí (např. pomocí škodlivého softwaru nebo manipulací DNS).
Stránka se může tvářit jako např. váš internetový bankovní účet.
Jaké jsou důsledky phishingu?
Pokud se útočníkovi podaří získat přístupové nebo platební údaje, může:
– vybílit bankovní účet,
– zneužít platební kartu k nákupům nebo převodům,
– získat vaši digitální identitu (tzv. identity theft),
– přistupovat k dalším účtům (např. přes e-mail, sociální sítě),
– napadnout i firemní systémy (např. ransomwarem),
– zneužít údaje k dalším podvodům.
Jak se chránit před phishingem
1. Buďte obezřetní při čtení e-mailů a SMS zpráv.
2. Zkontrolujte adresu odesílatele (často bývá podvržená nebo podivná).
3. Neotevírejte odkazy v podezřelých zprávách.
4. Neotevírejte přílohy, pokud nevíte, co obsahují.
5. Nevyplňujte údaje přes odkazy ze zpráv.
6. Používejte dvoufázové ověření (2FA).
7. Pokud má útočník heslo, ale nemá ověřovací SMS, může být zablokován.
8. Nikdy neposkytujte PIN, heslo nebo kód z SMS. Banka, policie ani žádná důvěryhodná instituce je po vás nikdy nebudou chtít.
9. Zadávejte adresy ručně. Pokud chcete navštívit web banky nebo úřadu, napište adresu ručně do prohlížeče.
10. Používejte antivirový software a aktualizujte zařízení. Pomáhá detekovat škodlivé odkazy a soubory.
11. Ověřujte informace. Pokud si nejste jistí, zavolejte bance nebo instituci oficiální cestou.
Závěr
Phishing je nebezpečný, protože útočí na naši důvěru, emoce a nepozornost. Může vypadat neškodně, ale následky mohou být fatální. Každý e-mail, SMS nebo zpráva, která působí naléhavě a chce po vás citlivé údaje, je podezřelá.
Buďte obezřetní, vzdělávejte sebe i své blízké a nevěřte všemu, co vám na internetu nebo v telefonu říkají – i když to zní důvěryhodně.