Jak se vyvíjí metody internetových podvodníků, na co si dát pozor a jak se phishingu bránit?
Stále platí, že phishing je způsob, jak vylákat přístupové údaje pomocí předstírání identity a vyvolání pocitu naléhavosti a že vše probíhá metodami online komunikace. Soustředíme se tak jen na ni a o příbuzných podvodných metodách si něco řekneme někdy příště.
Vydávání se za zástupce banky, online platebního portálu, úřadů nebo IT administrátora není ničím novým. I po letech mediální pozornosti i ty nejjednodušší podvody stále fungují. Nové nebezpečí spočívá ale v možnostech stále lepšího cílení a stále větší důvěryhodnosti.
Stále lepší maskování neodpovídajících adres
Mail s hlavičkou vaší banky přišel ze soukromého účtu? Odkazuje na cizí web? Pozor na to. Ještě pořád je vaší nejlepší obranou to, když víte, kam se podívat. Váš bankéř nebo finanční úřad nikdy nebude psát z adresy google nebo yahoo. Může to být ale mail na doméně, která důvěryhodnou instituci jenom připomíná. Všimnete si, co je špatně na adrese rnicrosoft.com? Správně, písmeno “m” je nahrazeno dvěma písmeny “r n, čili rn”.
Pozor na subdomény
I velmi zkušený uživatel se může nechat nachytat na adresu, která vypadá naprosto dokonale. Odkaz https://konkretninabidka.vasebanka.cz míří na web vaší banky, ale https://vasebanka.konkretninabidka.cz na web konkretninabidka.cz a nejspíš pošlete svůj login nějakým zlodějům.
Rady, které stále platí
Pokud na vás někdo spěchá, nejspíš vám lže. Jakmile mail obsahuje nějakou formu hrozby - jestli se nepřihlásíte, budete zablokování, asi to znovu bude lež. Překlepy a příliš obecné oslovení nebo pozdrav bývají indikátorem phishingu, ale nemusí být podmínkou. Maily od nečekaných, neznámých lidí, ve kterých je příloha nebo odkaz na něco zajímavého, jsou prakticky na sto procent pokusem o útok.
Řada firem kvůli riziku infekce celé podnikové sítě zakazuje zaměstnancům přístup k soukromým mailům a není těžké pochopit proč.
Jaké nové metody může phishing používat?
Pokud je útok plánovaný dopředu a rozdělený na fáze, může finální pokus obsahovat množství osobních a důvěryhodných informací. Přijde jakoby z banky, kde máte skutečně účet, nebo od skutečně spolupracující firmy, osloví vás jménem, popřeje k narozeninám.
Opravdový malér nastává, pokud už v minulosti útočník získal přístup k mailové komunikaci ve vaší firmě. Může tak ukrást identitu někoho z vedení společnosti nebo IT zaměstnanců, nebo jménem vaší firmy zkoušet napadnout firmy ve vašich kontaktech.
Zaměstnanec jako nejslabší článek v obraně
Kybernetickou bezpečnost pomáháme zajišťovat množství firem a institucí a stále se setkáváme s její největší slabinou – lidským faktorem.
Investice do kybernetického zabezpečení, které jsou v dnešním prostředí naprosto nezbytné, se mohou míjet účinkem, pokud nepozorný nebo neproškolený zaměstnanec „na něco klikne‟.
Školení zaměstnanců včetně nečekaného bezpečnostního testu je přitom výrazně levnější, než další bezpečnostní prvky, a v několika řádech levnější, než vykradený účet.
Co vám můžeme doporučit a hlavně zajistit? Kombinaci obojího. Elektronickou ochranu vaší IT infrastruktury, schopnou ubránit vaše data i před aktuálně největšími hrozbami, a proškolení zaměstnanců, aby se nestali bezpečnostní hrozbou sami o sobě.