Phishing zahrnuje širokou škálu útoků, které využívají sociálního inženýrství k tomu, aby se útočná zpráva a kampaň zdála na první pohled důvěryhodná. Phishing není malware, není to podvodný software, je to způsob, metoda, jakou takový software zločinci dopraví až do zařízení uživatele. Phishing se tedy zaměřuje na samotného uživatele, který netuší žádný podvod.
Cílem je ve většině případů získání přihlašovacích údajů, PINů nebo čísel kreditních karet. Tradiční cesta phishingových kampaní k oběti vede skrze e-mailové zprávy a SMS. Poslední roky ale hackeři čím dál častěji zneužívají také různé komunikátory, sociální sítě a v některých případech také vlastní, zdánlivě legitimní aplikace a weby.
Phishing s námi byl odjakživa
Kdy a kde se phishing objevil? To není známo. Experti v souvislosti s tímto typem útoků ale předpokládají, že tyto nekalé praktiky můžeme datovat k naprostým počátkům IT a ještě dál do minulosti. Zločince, kteří by rádi zbohatli na nevědomosti jiných, zkrátka najdeme v každé době, a tak snadno najdeme důkazy historických phishingových kampaní, které se šířily psanou poštou. První zdokumentované techniky kybernetického phishingu se nicméně datují do 80. let.
Dnes známe velké množství typů phishingu. Tradiční e-mailové kampaně jsou už notoricky známé, přesto u uživatelů s nízkou kybernetickou hygienou stále slaví úspěchy. Velký nárůst úspěšnosti ale zaznamenává tzv. spear phishing, metoda, ve které hackeři útok přizpůsobují specifickému cíli, zaměstnanci, uživateli a podobně. Díky sociálnímu inženýrství a přesnému zacílení se podvodné zprávy jeví velmi důvěryhodně, často je pro laika nemožné podvod odhalit.
Další, dnes až smutně osvědčenou metodou je clone phishing. V tomto případě útočníci pošlou hned dvojici shodně vypadajících zpráv, ovšem tu druhou s přídavkem v podobě odkazu nebo přílohy a omluvou, že k první zprávě zapomněli odkaz přiložit. Psychika uživatele, který si přečetl legitimně působící první zprávu donutí odkaz či přílohu otevřít. Zmíníme také SMS phishing. I v jeho případě textové zprávy nepůsobí jinak než věrohodně. Vypadají například jako zprávy od operátora o tom, že uživatel překročil datový limit a více informací najde pod odkazem.
Jak se nenechat napálit?
Odhalit dobře navržené podvodné zprávy je velmi obtížné. Je třeba si uvědomit, že naše vlastní psychologie tady hraje proti nám. Zločinci se neštítí využít jakýchkoliv reálií a situací k tomu, aby podvodná zpráva působila věrohodně.
Během pandemie dostávali na dálku pracující uživatelé e-maily, které na první pohled pocházely od jejich vlastních zaměstnavatelů. V podobném duchu lidem čekajícím na svou očkovací dávku přicházely zprávy, jejichž odesílatelem byla nemocnice nebo očkovací centrum. Teprve při pozorném přečtení zprávy někteří uživatelé zjistili, že adresa odesílatele nevypadá věrohodně a rozhodně nejde o firemní adresu nebo adresu zdravotnického zařízení.
V některých případech je možné phishingovou zprávu odhalit právě podle neobvyklého adresáta nebo podivné adresy webového odkazu. Phishingové kampaně jsou často propracované a hackeři pro jejich účely připraví i falešnou stránku, která kopíruje vzhled známých a oficiálních webů. Někdy je však jejich webová adresa v drobnostech odlišná, obsahuje jiné znaky, číslice nebo doménu.
Nejúčinnější metodou proti phishingovým útokům je ale vícefaktorové ověřování. Pokud zareagujete na phishingovou zprávu a chybu si uvědomíte, není vše ztraceno. Hackeři se k vašemu účtu nedostanou, protože pro přihlášení by potřebovali také údaje z další úrovně zabezpečení, třeba autentizaci pomocí aplikace v telefonu, jednorázový SMS kód nebo biometrický údaj.
Odborníci také upozorňují, že organizace a firmy by měly prosazovat přísné zásady správy hesel a od svých zaměstnanců vyžadovat pravidelné změny hesel a přístupových údajů. Hrozbu phishingových útoků samozřejmě pomůže snížit také vzdělávání zaměstnanců. To stále platí i v současnosti, kdy rozeznat některé sofistikované útoky dělá potíže i expertům na tuto problematiku.