Tak tedy popořadě. Phishing je metoda nelegálního sběru osobních dat, přihlašovacích údajů nebo údajů o kreditních kartách. Prostě všeho, na čem můžete vydělat. Slovo nemá český ekvivalent, nejlépe by se dalo přeložit asi jako rhybaření, ale tento termín se prakticky nepoužívá.
96 % všech phishingových útoků přichází skrz e-mail. Proč? Protože to funguje nejlépe. Hackerským praktikám cílícím na uživatele systému se říká sociální inženýrství. Cílem je obelstít uživatele tak, aby si do počítače sám stáhl zavirované soubory nebo rovnou útočníkovi poskytl přihlašovací údaje. Phishingové e-maily se obvykle vydávají za e-mail od nějaké autority (vaše banka, zaměstnavatel, e-shop, kde nakupujete) a pod vymyšlenou záminkou žádají o vaše přihlašovací údaje. Pokud jim je poskytnete, můžete se se svým účtem rozloučit.
Stejná metoda se používá při pronikání do systémů obchodních společností, tam phishingové e-maily cílí na vaše zaměstnance a snaží se vám ukrást data. Přinejlepším je to nepříjemnost, přinejhorším vás to bude stát velkou spoustu peněz.
Jak tedy takové e-maily poznat? Postupně si rozebereme tři hlavní skupiny poznávacích znaků:
Jak již bylo řečeno, odesílatel e-mailu se bude vydávat za někoho, koho znáte. Často ho ale prozradí vlastní internetová adresa. Nikdy totiž nemůže být úplně stejná jako adresa vaší banky nebo kolegy z práce. Pokud si nejste jistí, porovnejte přijatou zprávu se staršími emaily.
Americká studie prokázala, že předměty phishingových e-mailů nejčastěji obsahují slova jako: Naléhavé! Žádost, Důležité, Platba nebo Pozor! Odesílatel podvodného e-mailu se ve vás snaží vytvořit dojem časové tísně, abyste o celé situaci příliš nepřemýšleli a nevšimli si mnoha nepřesností a chyb.
V samotném textu e-mailu se skoro vždy nacházejí pravopisné a gramatické chyby, protože útočník je ve většině případů ze zahraničí. Prozradit ho také může příliš neformální tón.
Bohužel, phishingové e-maily se neustále mění a zlepšují. Přečtení jednoho článku vám kybernetickou bezpečnost nezaručí. Kromě běžného phishingu existuje i něco, čemu se říká spearphishing. Základní rozdíl spočívá v tom, že spearphishing je cílem na jednoho konkrétního uživatele. Útočník nejprve nějakou dobu pozoruje jeho chování na internetu a teprve potom mu zašle spearphishingový e-mail dělaný přesně na míru. Takový e-mail se rozpoznává výrazně hůř, proto je dobré mít nainstalovaný dobrý rozpoznávací antivirový a antispamový software.
Pro bezpečnost vaší firmy je bezpodmínečně nutné zvýšit bezpečnostní povědomí a znalosti vašich zaměstnanců. Právě oni jsou vaší největší slabinou, na kterou kybernetické útoky velice často cílí. Proto nabízíme školení bezpečnosti na internetu, jak pro úplné laiky, tak pro pracovníky z oboru. Nezanedbejte ochranu svých dat a domluvte si u nás školení kybernetické bezpečnosti.
Odolnost svých zaměstnanců můžete prověřit samotným phishingovým testem. Přečtěte si, jak přesně phishingové a penetrační testování funguje.