Co je útok phishing?
Útoky phishing mají za cíl odcizit nebo poškodit citlivá data poté, co trikem přimějí oběti k odhalení osobních údajů, jako jsou hesla nebo čísla platebních karet.
Různé typy phishingových útoků
Útoky phishing páchají podvodníci maskovaní jako důvěryhodné zdroje a jejich cílem může být získání přístupu k jakémukoli typu citlivých dat. S tím, jak se vyvíjejí technologie, jdou dopředu i kybernetické útoky. Seznamte se s nejrozšířenějšími typy útoků phishing.
E-mailový phishing
Taktikou při tomto útoku, který představuje nejběžnější formu phishingu, jsou například falešné hypertextové odkazy, jejichž účelem je přimět příjemce ke sdílení osobních údajů. Útočníci se často maskují jako významný poskytovatel účtů, například Microsoft nebo Google, ale můžou vystupovat i jako kolega z práce.
Phishing s použitím malwaru
Tento typ útoku představuje další častý způsob phishingu. Spočívá v zanesení malwaru maskovaného jako důvěryhodná e-mailová příloha (například životopis nebo výpis z účtu). V některých případech může otevření malwarové přílohy paralyzovat celé IT systémy.
Cílený phishing
Zatímco většina útoků phishing spočívá v širokém „rozhození sítí“, cílený phishing míří na konkrétní osoby, přičemž se snaží zneužít informace shromážděné během sledování jejich pracovního i běžného života. Tyto útoky jsou vysoce uzpůsobené, takže jsou zvláště účinné ve své schopnosti obejít základní kybernetickou bezpečnost.
Whaling
Když škodliví aktéři zacílí na „velkou rybu“, třeba na vysoce postaveného manažera nebo celebritu, jde o tzv. whaling. Tito podvodníci často své cíle intenzivně sledují, aby našli vhodný moment k odcizení přihlašovacích údajů nebo jiných citlivých informací. Pokud toho může oběť hodně ztratit, můžou tito útočníci hodně získat.
Smishing
Pojmenování vzniklo z kombinace slov SMS a phishing. Spočívá v odesílání textových zpráv maskovaných jako důvěryhodná komunikace od společností, jako jsou Amazon nebo FedEx. Lidé jsou obzvláště zranitelní vůči podvodům v textových zprávách, protože se doručují ve formátu prostého textu a působí osobněji.
Vishing
Při vishingových kampaních se útočníci v podvodných call centrech snaží přimět uživatele, aby poskytli své citlivé údaje po telefonu. V mnoha případech se při těchto podvodech využívá sociální inženýrství s cílem dotlačit oběti k instalaci malwaru ve formě aplikace na jejich zařízení.
Běžné taktické postupy při phishingu
Vychytralá komunikace
Útočníci jsou zdatní manipulátoři, kteří dokáží své oběti přimět k předání svých citlivých údajů tím, že škodlivé zprávy a přílohy skryjí v místech, kde uživatelé nejsou tak pozorní (například v e-mailové poštovní schránce). Spousta lidí automaticky předpokládá, že zprávy doručené do jejich poštovní schránky jsou legitimní, ale buďte opatrní – phishingové e-maily často působí bezpečně a nijak nevyčnívají. Proto zpomalte a před kliknutím zkontrolujte hypertextové odkazy a e-mailové adresy odesílatelů, abyste nenaletěli.
Pocit naléhavosti
Lidé útoku phishing často podlehnou kvůli pocitu, že musí jednat bezodkladně. Oběť si například může stáhnout malware maskovaný jako životopis, protože má na starost urgentní nábor, nebo zadá své bankovní přihlašovací údaje na podezřelém webu s cílem zachránit si účet v důsledku falešné zprávy, že končí jeho platnost. Vyvolání falešného pocitu naléhavosti je velmi častým trikem proto, že se útočníkům osvědčuje. Aby vaše data zůstala v bezpečí, vše si pečlivě prověřujte nebo si nainstalujte technologii ochrany e-mailu, která za vás udělá hrubou práci.
Falešná důvěryhodnost
Škodliví aktéři oklamou uživatele vyvoláním falešného pocitu důvěry – a někdy se nechají nachytat i ti nejpozornější. Díky zosobnění důvěryhodných zdrojů, jako je Google, Wells Fargo nebo UPS, vás phisheři mohou dotlačit k nějakému kroku a vy si až následně uvědomíte, že šlo o podvod. Mnoho phishingových zpráv projde bez povšimnutí, pokud nejsou zavedena pokročilá opatření v oblasti kybernetické bezpečnosti. Chraňte své soukromé informace pomocí technologie pro zabezpečení e-mailu, která je navržená tak, aby identifikovala podezřelý obsah a vyřazovala ho dříve, než se dostane do vaší poštovní schránky.
Citová manipulace
Škodliví aktéři používají psychologické taktické postupy s cílem přimět oběti k tomu, aby konaly dříve, než o tom začnou přemýšlet. Po získání důvěry zosobněním známého zdroje a následném vyvolání falešného pocitu naléhavosti zneužijí útočníci emoce, jako je strach a úzkost, aby získali to, co chtějí. Lidé se často rozhodují impulzivně, když jim někdo řekne, že přijdou o peníze, budou mít problémy se zákonem nebo ztratí přístup k velmi potřebnému zdroji. Buďte opatrní u všech zpráv, které vyžadují, abyste „konali bezodkladně“ – může jít o podvod.
Nebezpečí phishingových e-mailů
Úspěšný útok phishing může mít vážné následky. Může jít o odcizení peněz, podvodné platby z platebních karet, ztrátu přístupu k fotkám, videím a souborům – a dokonce i ohrožení dalších osob, když se kyberzločinci budou falešně vydávat za vás.
V pracovním prostředí mohou rizika pro vašeho zaměstnavatele zahrnovat ztrátu firemních financí, vystavení osobních údajů zákazníků a spolupracovníků, odcizení nebo zpřístupnění citlivých souborů, a v neposlední řadě poškození reputace společnosti. V mnoha případech mohou být tyto škody nenapravitelné.
Naštěstí existuje mnoho řešení pro ochranu před útoky phishing – doma i v práci.
Rychlé tipy, jak nepodlehnout útokům phishing
Nedůvěřujte zobrazovaným názvům
Než otevřete zprávu, zkontrolujte e-mailovou adresu odesílatele – zobrazované jméno může být falešné.
Věnujte pozornost překlepům
Typickým rysem phishingových e-mailů jsou pravopisné chyby a špatná gramatika. Pokud něco působí divně, neignorujte to.
Před kliknutím si vše zkontrolujte
Najeďte myší na hypertextové odkazy v obsahu, který působí jako pravý, a zkontrolujte jejich adresy.
Přečtěte si oslovení
Pokud autor e-mailu zdraví „váženého zákazníka“ a nikoli vás osobně, buďte opatrní. Je to pravděpodobně podvod.
Zkontrolujte podpis
Zkontrolujte kontaktní údaje v zápatí e-mailu. Legitimní odesílatelé je vždy uvádějí.
Všímejte si výhrůžek
Fráze vyvolávající strach, třeba „Váš účet byl zablokován“, jsou ve phishingových e-mailech velmi časté.
Chraňte se před kybernetickými hrozbami
I když se phishingové podvody a další kybernetické hrozby neustále vyvíjejí, je mnoho věcí, které můžete provést, abyste se ochránili.
Dodržujte principy nulové důvěry (Zero Trust)
Principy nulové důvěry (Zero Trust), jako je vícefaktorové ověřování, přiměřená míra přístupu a komplexní šifrování, vás chrání před neustále se vyvíjejícími kybernetickými hrozbami.
Chraňte své aplikace a zařízení
Microsoft Defender pro Office 365 vám pomůže předcházet útokům phishing a dalším kybernetickým útokům, detekovat je a reagovat na ně.
Zabezpečený přístup
Chraňte uživatele před sofistikovanými útoky a svou organizaci před hrozbami založenými na identitách.
Časté otázky
-
Primárním cílem phishingového podvodu je odcizit citlivé informace a přihlašovací údaje. Buďte opatrní při veškeré komunikaci (ve formě telefonního hovoru, e-mailu nebo textové zprávy), kdy jste žádáni o citlivé údaje nebo prokázání identity.
Útočníci se usilovně snaží napodobit známé entity, takže použijí stejná loga, design a rozhraní jako značky nebo osoby, které jsou pro vás důvěrně známé. Buďte ostražití a neklikejte na odkaz ani neotevírejte přílohu, pokud si nejste jistí, že je zpráva legitimní.
Tady je několik tipů pro rozpoznání phishingového e-mailu:
- Naléhavé výhrůžky nebo výzvy k akci (například: „Ihned otevřete.“)
- Nový nebo zřídkakdy píšící odesílatel – kdokoli, kdo vám píše e-mail poprvé.
- Špatný pravopis a gramatika (často kvůli mizernému překladu).
- Podezřelé odkazy nebo přílohy – u textu s hypertextovým odkazem se objevuje jiná IP adresa nebo doména.
Drobné změny v zápisu (například „micros0ft.com“ nebo „rnicrosoft.com“)
-
- Zapište si všechny podrobnosti o útoku, na které si dokážete vzpomenout. Poznamenejte si všechny informace, které jste mohli předat, například uživatelská jména, čísla účtů nebo hesla.
- Okamžitě změňte hesla u napadených účtů a kdekoli jinde, kde případně používáte stejné heslo.
- Potvrďte si, že používáte vícefaktorové (neboli dvoustupňové) ověřování u každého svého účtu.
- Upozorněte všechny relevantní protistrany, že vaše údaje byly prolomeny.
- Pokud jste přišli o peníze nebo vám byla odcizena identita, nahlaste to místní policii a agentuře Federal Trade Commission. Poskytněte podrobnosti zaznamenané v kroku 1.
Pokud se domníváte, že jste nevědomky podlehli útoku phishing, měli byste udělat několik kroků:
Mějte na paměti, že když předáte informace útočníkovi, je pravděpodobné, že o tom budou brzy vědět další škodliví aktéři. Očekávejte, že vám budou chodit další phishingové e-maily, SMS a telefonní hovory.
-
Pokud se vám v doručené poště Microsoft Outlooku zobrazí podezřelá zpráva, zvolte na pásu karet Nahlásit zprávu a pak vyberte Phishing. Toto je nejrychlejší způsob, jak zprávu z doručené pošty odebrat. Ve službě Outlook.com zaškrtněte políčko vedle podezřelé zprávy v doručené poště, vyberte šipku vedle položky Nevyžádaná pošta a pak vyberte Phishing.
Pokud jste přišli o peníze nebo vám byla odcizena identita, nahlaste to místní policii a kontaktujte agenturu Federal Trade Commission. Ta provozuje celý web, který se specializuje na řešení problémů tohoto druhu.
-
Ne. E-mailový phishing je nejčastější, ale aktéři útoků phishing k získání citlivých informací zneužívají také telefonní hovory, textové zprávy, a dokonce i vyhledávání na webu.
-
Spamové e-maily jsou nevyžádané zprávy s irelevantním nebo komerčním obsahem. Můžou inzerovat rychlá finanční schémata, nezákonné nabídky nebo falešné slevy.
Útoky phishing jsou cílenější (a obvykle lépe maskované) pokusy o získání citlivých dat tím, že oběti přimějí k dobrovolnému předání přihlašovacích údajů a informací o účtech.
Sledujte zabezpečení od Microsoftu