Phishing je jednou z největších hrozeb, kterým čelí uživatelé internetu, protože při úspěšném provedení útoku dochází ke zcizení přihlašovacích údajů či dokonce přístupových údajů k bankovním účtům.
Princip spočívá v tom, že útočník zašle uživateli emailovou zprávu, ve které pod nějakou záminkou přiměje uživatele, aby na odkazované stránce (samozřejmě podvržené a zřízené útočníkem) zadal svoje přihlašovací údaje (typicky například stránka pro přihlášení do internetového bankovnictví). Odkazovaná stránka vypadá vizuálně úplně přesně jako správná stránka, takže uživatel často nic nepozná a přihlašovací údaje skutečně zadá. Ta jsou okamžitě po zadání odeslány útočníkovi, který může údaje využít k páchání trestné činnosti, například někomu ukrást z účtu peníze.
Vznik a historie phishingu
Název je odvozen od anglického slova fishing = rybaření (útočník "loví" informace a přihlašovací údaje, někdy se také uvádí termín rhybaření). Technika útoku byla detailně popsána již v roce 1987 a termín phishing poprvé použit v roce 1996. K prvnímu reálnému útoku pak došlo v roce 1995 v síti giganta AOL ve Spojených státech.
Další generace útoků se objevila v roce 2001, kdy došlo k napadení první finanční instituace (E-gold). Tehdy ještě nedošlo k masivnímu rozšíření problému, protože se podařilo útok v čas zastaivt. K masivním útokům začalo docházet až od poloviny roku 2003.
K nám doputoval phishing zřejmě někdy v průběhu března 2006 a jednalo se o podvrh zprávy od bankovního domu Citibank. Zpráva upozorňovala klienta, že došlo k přijetí částky a k jejímu připsání na účet je třeba transakci potvrdit. Odkaz v emailové zprávě na přihlášení na účet už samozřejmě nevedl do Citibank, ale na webové stánky útočníka. Od té doby došlo k útokům na Komerční banku či Českou spořitelnu. Poslední významnější útok phishingem se objevil začátkem roku 2011 a jednalo se o Raiffeisenbank.
Jak se proti phishingu bránit
I když se útočníci snaží co nejvíce svůj útok zamaskovat, existuje několik znaků, podle kterých lze poměrně snadno útok poznat. Pokud se budete těchto pravidel držet, šance napálit Vás bude velice malá. Samozřejmě platí, že je velmi užitečné používat antivirový program.
Jak poznat phishing
- Banky ani jiné solidní instituce NIKDY nežádají v emailových zprávách přihlášení k účtu.
- Hypertextové odkazy ve zprávě vedou na jinou adresu, než je uvedeno v textu.
- Je přitomná podezřelá spustitelná příloha nebo na ni vede odkaz.
- Je vyžadováno okamžité sdělení citlivých údajů pod pohrůžkou, že dojde k omezení, zrušení nebo zamezení nějaké služby.
- Zpráva přijde v netypickém jazyce.
Pokud není zpráva označená elektronickým podpisem, není vůbec jisté, kdo zprávu opravdu odesílá. Lze velice snadno podvrhnout emailovou zprávu, i když neznáte přihlašovací údaje (v podstatě lze s vyhodnými prostředky odeslat zprávu od kohokoliv). Podvodná emailová zpráva zpravidla odkazuje na stránky, které vypadají stejně nebo velice podobně jako ty správné. Adresa podvržené stránky (URL) je ale jiná. Například může obsahovat číslo (http://147.228.1.1/ebanka.html), nebo je velice podobná originálu (např. http://www.paypa1.com s jedničkou v názvu vypadá parkticky stejně jako správná doména http://www.paypal.com, a nebo http://servis24-csas.cz není to samé jako http://servis24.csas.cz).
Zásady chování
Stejně jako u jakékoliv jiné nevyžádané pošty a ochrany dat pak platí:
- Neodpovídejte na žádné nevyžádané zprávy, byl by to signál, že je adresa používaná a spamů by chodilo o mnoho více.
- Otevírejte pouze zprávy od lidí, které opravdu znáte.
- Buďte opatrní při klikání na odkazy v obdržených emailech.
- Nikdy nikomu nesdělujte čísla účtů, PINy, hesla atd.
- Neposílejte a nevkládejte osobní data nebo bankovní informace na nezašifrované, případně podezřelé stránky.
Používejte antispam a antivir
I když moderní webové prohlížeče často umí phishing rozpoznat, je vhodné nainstalovat na svůj počítač antispamový program, který chrání před nevyžádanou poštou (Cloudmark DesktopOne, Cloudmark Server Edition, SPAMfighter Pro nebo SPAMfighter Exchange Module) v kombinaci s antivirem (Avast Premium Security, AVG Internet Security, ESET Internet Security, ESET NOD32 Antivirus).