Lámaná čeština, mírně zkomolená adresa odesílatele nebo odkazy vedoucí na nedůvěryhodné domény. Podvodné e-maily mívají různé příznaky. Když se ale stanete jejich obětí, zabolí to vždycky – útočníci z vás mohou vylákat přihlašovací údaje nebo číslo platební karty. Zjistěte, jak odhalit vetřelce ve své schránce a jak se před tzv. phishingem bránit.
Vážený/vážená klient,
došlo k nabourání naší databáze, zkontrolovat, prosím, rychle vaše osobní údaje na tomto linku.
Děkujeme, Vaše banka.
Četli jste už někdy něco podobného? Pokud ano, měli jste tu čest s phishingovým útokem. A doufáme, že jste takový e-mail rovnou vymazali.
Citlivá data v hlavní roli
Stručně řečeno je phishing podvodná technika, jak z vás na internetu vymámit osobní údaje, přístupová hesla nebo peníze. Útočníci to nejčastěji zkouší přes e-mail, který se tváří, jako by ho odeslala:
- banka, která upozorňuje na nutnost aktualizovat osobní data,
- on-line platební platforma, která po vás chce potvrdit číslo karty,
- kurýr, který vám krouží pod okny s nečekanou zásilkou,
- finanční úřad nebo exekutor, který chce vidět výpis bankovního účtu, nebo
- loterijní společnost, která potřebuje ověřit pár drobností, aby vám na účet poslala výhru.
Důvody i kvalita zpracování e-mailu se liší, ale obsah zprávy se obvykle točí kolem vašich osobních dat. Něco se s nimi údajně stalo a vy musíte ve vlastním zájmu co nejdříve reagovat. Ideálně rovnou kliknout na vložený webový odkaz, kde vás stručný text vybídne k vyplnění nebo ověření osobních údajů.
Kvalita zpracování phishingových e-mailů se značně liší.
Pokud tak učiníte a zmáčknete tlačítko Odeslat, máte zaděláno na problém – útočník přeprodá vaše jméno, e-mail nebo rodné číslo, stáhne vám přes platební kartu peníze z účtu, připraví vás o přístup k e-mailové schránce, ukradne vám identitu nebo se vám nabourá do schránky a využije ji k cílenému útoku na člověka, kterého znáte (a on proto velmi pravděpodobně podcení obranu) – tzv. spear phishing.
Připravení skeptici jsou na tom nejlépe
Phishing bohužel není výjimečná záležitost. Podle globálních statistik stojí podvodné e-maily za 90 % úspěšných útoků na uživatelská data. Příjemci otevřou neuvěřitelných 30 % doručených phishingových zpráv a každý měsíc vznikne přibližně 1,5 milionu nových phishingových stránek.
Stejně jako u jiných kyberhrozeb je základem obrany proti podvodným e-mailům kombinace obezřetnosti a technologické vyspělosti. Přeloženo do praktického jazyka:
-
podivné e-maily vůbec neotvírejte (populární e-mailové služby od Google nebo Seznamu podezřelé zprávy rovnou filtrují do složek na spam),
-
preventivně si zřiďte speciální e-mail, tzv. spam e-mail, který využívejte ke všem on-line registracím,
-
pravidelně aktualizujte antivirový program s phishingovým modulem, který podvodné zprávy rozpozná,
-
nezapomínejte ani na aktualizaci operačního systému, webového prohlížeče a pluginů jako Java nebo Adobe Flash.
Pokud si podezřelý e-mail přeci jen otevřete, stále nemají útočníci vyhráno – pokud se budete držet následujících doporučení.
1. Ta čeština je nějaká zvláštní
Podvodné zprávy jsou obvykle rozesílány tisícům adresátů a vznikají v globálním prostředí, kde vládne pevnou rukou angličtina. Jazyk 10 milionů lidí je proto v internetovém oceánu relativně bezpečnou zátokou, do které se phishingoví piráti příliš nevydávají.
Kliknutí na takovýto link v e-mailu není dobrý nápad – ani ve spěchu.
Když už podvodníci píšou česky, využívají automatické překladače. Ty se sice neustále vylepšují, ale stále nejsou dokonalé. Proto u každého e-mailu napsaného lámanou češtinou zpozorněte.
2. Rychle, rychle, rychle
Většina phishingových e-mailů se ve vás bude snažit vyvolat dojem naléhavosti. Máte reagovat obratem a na nic nečekat. Správný postup je ale úplně obrácený – nejednejte impulzivně a nenechte se dotlačit k akcím, které nepůjdou vrátit. Myslete na prověřenou radu „better safe than sorry” nebo česky „dvakrát měř, jednou řež”.
3. Kdo že mi to vlastně píše
Pečlivě zkontrolujte, z jaké adresy vám odesílatel píše. V řádku odesílatele můžete objevit velmi kostrbaté slovo, nebo naopak jméno, které se od očekávaného kontaktu liší jen v malém detailu:
- podpora@air.bank.cz místo podpora@airbank.cz,
- star0sta@hornidolni.cz místo starosta@hornidolni.cz.
Útočník očekává, že detaily nezkoumáte nebo si jich nevšimnete. Při kontrole si taky ověřte, jestli vám banka nebo kurýr nepíšou z Gmailu, Seznamu nebo jiné veřejné e-mailové domény – takhle totiž instituce určitě nekomunikují.
4. Kam vedou odkazy
Primárním cílem phishingu je přivést vás na podvodný web, který se často vizuálně velmi podobá očekávané stránce. Proto si ověřte, kam odkazy v e-mailu vedou – stačí na odkaz najet kurzorem myši. Opět si dejte pozor na zkomolené názvy domén a nenaleťte ani na zkracovače URL adres. Mezi ty nejčastější patří:
- bit.ly,
- goo.gl,
- TinyURL.
Najeďte nad odkaz kurzorem myši, abyste ověřili, kam vás kliknutí odvede.
Varováním by pro vás mělo být i chybějící zabezpečení webu – pro spolehlivé služby je dnes standardem protokol https, nikoli zastaralé http.
5. Neznámé přílohy
Vykřičník by se vám měl před očima rozsvítit i v situaci, kdy je součástí doručeného e-mailu neznámá příloha. V žádném případě ji neotevírejte, abyste se nestali obětí ransomware útoku nebo nevědomky poskytli svůj počítač k DDoS útoku.
Neznámé přílohy určitě nestahujte.
Pozor si dejte především na soubory ve formátu .exe, .bat, .js, .jar, .pdf a .zip. Pamatujte ale i na to, že škodlivý kód mohou obsahovat i dokumenty MS Office.
6. Proč by mi to psali mailem
Pamatujte také na to, že banky, úřady ani technologické startupy po lidech téměř nikdy nevyžadují zaslání citlivých údajů e-mailem. Ano, při registraci k jakékoli on-line službě musíte určité osobní údaje vyplnit, ale vždy kriticky přemýšlejte, jestli styl doručeného e-mailu zapadá do očekávané komunikace dané instituce.
7. Příliš dobrá zpráva
A užitečným pomocníkem je i mírná dávka skepticismu – řekněte si, jestli není nabídka iPhonu zdarma, vstupenky na finále extraligy nebo zpráva o vítězství v celonárodní loterii až příliš dobrá na to, aby byla pravdivá.
S cizími lidmi (a vetřelci) se nehraje
Říkali nám to už rodiče, když museli odběhnout od pískoviště: s cizími lidmi se nehraje. A v on-line prostředí by to nemělo fungovat jinak. Spamy a podvodné e-maily ignorujte – už jen načtením obrázků nebo dokonce kliknutím na tlačítko Odhlásit dáte útočníkovi vědět, že se trefil správně a váš e-mail je aktivní.
Pokud si ale přeci jen chcete zahrávat s neznámými e-maily, buďte opatrní a ve webových formulářích nic nevyplňujte. Když to uděláte, nezbyde vám než rychle změnit heslo, pustit antivir a doufat, že útočník nevyužije nahrávku na smeč.