Naše webové stránky obsahují odkazy na partnerské weby. Pokud se prokliknete z našich stránek na stránky partnera a tam si zakoupíte jeho služby, obdržíme za zprostředkování provizi (Zjistit více informací). Tato forma spolupráce nijak neovlivňuje objektivnost našich recenzí. Každým nákupem přes proklik z našich stránek podpoříte naši redakci, abychom i do budoucna mohli tvořit kvalitní a užitečný obsah. Ďekujeme.
Důležité upozornění Všechny naše články píšou skuteční lidé. Nejsou to umělé texty od stroje.
Odhalte a zastavte phishing: Rady, jak rozpoznat phishing a zabránit krádeži vašich údajů
Obsah
Phishingové útoky jsou útoky zaměřené na krádež přihlašovacích údajů do e-mailů, sociálních sítí či jiných aplikací nebo informací o platebních kartách.
Existuje prevence? Je důležité vědět, jak rozpoznat phishingový útok a chránit se před ním. Pomůže i odstranění vašich údajů z různých databází brokerů.
Co je to phishing?
- U phishingu je cílem útočníka získat vaše přihlašovací údaje nebo informace o platebních kartách.
- Phishing je nejčastěji prováděn e-mailem. Pokus vylákat od vás údaje však může proběhnout i přes SMS zprávy nebo telefonicky.
- Útočník předstírá, že zastupuje veřejnou instituci, banku, internetový obchod, bazar, dopravní nebo poštovní společnost a podobně. E-mail či zpráva útočníka záměrně napodobuje jejich komunikaci: zneužije logo instituce, použije stejné barvy a grafickou úpravu e-mailu jako používá daná instituce a podobně, čímž navozuje dojem pravosti e-mailu.
- Naléhavost reagovat na phishingový e-mail je často záměrně zesílena: Váš účet byl napaden! Máme pro vás exkluzivní časově omezenou nabídku!
- Oběť je požádána o potvrzení nebo ověření přihlašovacích či finančních údajů pomocí falešného odkazu nebo obrázku. Po kliknutí na odkaz je oběť přesměrována na web, který také napodobuje design instituce (falešné logo, firemní barvy) za kterou se vydává nebo se do jejího zařízení nainstaluje malvér.
Jaké druhy phishingu jsou známy?
- Spear phishing se zaměřuje na konkrétní osobu v konkrétní organizaci s cílem ukrást její přihlašovací údaje. Útočník nejprve shromažďuje informace o ní, jako je její jméno, pozice a kontaktní údaje. Většinou se pak pokusí vylákat údaje pod falešnou pracovní záminkou.
- Whaling je spear phishing zaměřený na vysoce postavené osoby v organizaci, jako jsou ředitelé nebo manažeři. (Whale – velryba, velká ryba.)
- Smishing je realizován prostřednictvím SMS zpráv. Útočník posílá falešné zprávy, které často obsahují odkazy na škodlivé webové stránky.
- Vishing je telefonní útok. Útočník se často vydává za zaměstnance instituce, technickou podporu nebo jinou důvěryhodnou osobu.
- Pharming je technika, při které útočníci přesměrují legitimní webové stránky na falešné webové stránky. Tento typ útoku může být realizován změnou DNS záznamů nebo použitím malwaru. Oběť si neuvědomuje, že je na falešné stránce, a zadává své osobní údaje, které jsou následně ukradeny.
- Angler Phishing je používání falešných účtů na sociálních sítích, prostřednictvím kterých se útočník vydává za zákaznickou či technickou podporu. Oběť je kontaktována s nabídkou pomoci a je požádána o poskytnutí osobních údajů nebo přístupových hesel. Tento typ phishingu se často zaměřuje na uživatele Facebooku nebo X (Twitteru). Urgence je zvýšena oznámením, že pokud příslušná akce nebude provedena, bude účet na sociální síti zablokován.
- Evil Twin Phishing zahrnuje vytvoření falešné Wi-Fi sítě. Oběť se připojí k této falešné síti, což umožňuje útočníkovi sledovat přenosy a získávat citlivé informace. Tento typ útoku je často používán na místech s veřejně dostupnou Wi-Fi, jako jsou kavárny nebo letiště.
- Watering Hole Phishing je infikování populárních webových stránek malwarem. Útočník identifikuje často navštěvované stránky a potom na ně umístí škodlivý kód. Když oběť navštíví tuto stránku, její zařízení je infikováno malwarem, který shromažďuje citlivé informace.
- SEO Phishing se často zaměřuje na populární vyhledávané klíčové slova. Falešné webové stránky jsou optimalizovány pro vyhledávače, aby se objevily ve výsledcích vyhledávání. Oběť klikne na výsledek vyhledávání, který vypadá legitimně, ale vede na phishingovou stránku, kde jsou ukradeny její osobní údaje.
- Pop-Up Phishing zneužívá k získání osobních údajů vyskakovací okna na webových stránkách často maskovaná jako systémová upozornění nebo aktualizace. Oběť je vyzvána, aby zadala své přihlašovací údaje nebo jiné citlivé informace do vyskakovacího okna, vše vypadá jako legitimní požadavek.
- Website Spoofing zahrnuje vytvoření falešné webové stránky, která se designem podobá na legitimní stránku, aby oklamala oběť. Cílem je přinutit oběť, aby zadala své osobní údaje nebo přihlašovací údaje.
- Domain Spoofing na oklamání obětí využívá nepozornost oběti. Útočník registruje doménu s drobnou změnou, například překlepem, jinou doménovou koncovkou a podobně. Oběť je přesvědčena, že je na správné stránce a zadá své citlivé údaje.
- Image Phishing zahrnuje použití obrázků s vloženými škodlivými odkazy nebo kódem. Obrázky mohou být vložené do e-mailů, SMS zpráv i webových stránek. Když oběť klikne na obrázek, je přesměrována na phishingovou stránku nebo je její zařízení infikováno malwarem.
Jak rozpoznat phishingový útok?
- Útočníci vytvářejí pocit naléhavosti, snaží se vyvolat vaši rychlou reakci bez přemýšlení nad situací. Příklad: Dostanete mail, který tvrdí, že musíte okamžitě ověřit své údaje, jinak bude váš účet na sociální síti zablokován.
- Nabídky, které jsou příliš výhodné, by vám měly být podezřelé. Pokud navíc mají omezenou platnost, znovu na vás vyvíjejí tlak na okamžitou reakci. Příklad: Mail tvrdí, že jste vyhráli v soutěži nový iPhone, žádají vás, abyste poskytli osobní údaje pro zaslání výhry. Vy jste se však do žádné soutěže nepřihlásili.
- Většina phishingových útoků napodobuje legitimní odesílatele (telefonní čísla, mailové adresy, názvy webů, domén). Buďte pozorní, všímejte si překlepů nebo vynechaných písmen, jako i celých adres webů, na které jste se z mailu či zprávy proklikli. Příklad: Dostanete varování z webu Paypai místo Paypal, že musíte aktualizovat své platební údaje.
- Gramatické chyby, hlavně v důsledku automatizovaného překladu. Příklad: Mail z „banky“ obsahuje větu „Váš bankovní účet byl hacknut. Prosím klikněte na odkaz na reset hesla.“
- Linky zkrácené přes zkracovače, které vedou na falešné stránky. Oficiální maily z institucí nebo e-shopů nemají důvod obsahovat zkrácené linky.
- Mailové přílohy s příponou .exe často obsahují malware nebo ransomware. Na přílohu s koncovkou .exe z neznámé adresy nikdy neklikejte. Příklad: Mail od zdánlivě legitimního odesílatele obsahuje přílohu „Faktura_12345.exe“, po otevření může nainstalovat na váš počítač škodlivý kód.
Existuje prevence?
Především buďte pozorní a neotvírejte maily z neznámých adres nebo zprávy z neznámých telefonních čísel. Všímejte si v doručených mailech, zprávách či voláních z neznámých čísel podezřelé znaky, které jsme uvedli výše.
Přečtěte si, jak minimalizovat svoji digitální stopu. Čím více osobních údajů o vás útočník získá, tím se zvyšuje pravděpodobnost úspěšnosti jeho útoku. Potenciální riziko proto představují i různé seznamy uniklých nebo z veřejně dostupných zdrojů získaných osobních údajů. Takové seznamy vlastní data brokerské společnosti. Prodávají je třetím stranám, které je obvykle využívají na rozesílání nevyžádaných mailů, nevyžádané telefonáty, ale údaje z nich mohou být zneužity i na phishing.
Pokud vám chodí mnoho nevyžádaných mailů nebo dostáváte mnoho nevyžádaných hovorů, pravděpodobně jsou vaše údaje v nějakém z těchto seznamů. S výmazem vašich údajů vám dokážou pomoci různé služby jako Incogni.
- Incogni je určen pro obyvatele USA, Spojeného království, EU, Švýcarska a Kanady.
- Incogni spolupracuje s agenturami a organizacemi na ochranu spotřebitelských práv.
- Služba Incogni je navržena v souladu s právními předpisy z oblasti ochrany osobních údajů – GDPR (General Data Protection Regulation), UK GDPR a CCPA (California Consumer Privacy Act).
- Incogni má k dispozici seznamy datových brokerů.
- Incogni ověří, zda se ve kterékoliv z databází nacházejí vaše údaje. Následně požádá brokerské firmy o vymazání vašich údajů z jejich databází.
- Přibližně měsíc po zaslání žádosti Incogni ověří, zda k vymazání skutečně došlo.
- Během trvání vašeho předplatného Incogni pravidelně provádí kontroly, zda brokeři vaše informace znovu nezařadili do jejich databází.
- Všechny tyto kroky můžete sledovat v rozhraní aplikace Incogni.
- Incogni je pro jednotlivce velmi výhodná, protože kromě ochrany osobních údajů přináší také úsporu času a právní podporu: Pokud jste dosud netušili, že datoví brokeři existují, pravděpodobně nevíte, kde je hledat. Aby jste ve žádosti o přístup k vašim údajům či jejich vymazání z databází těchto firem mohli uvést dostatečnou právní argumentaci, museli byste si nastudovat legislativu týkající se ochrany osobních údajů. Jinak se může stát, že tyto firmy vaše žádosti ignorují.
- Incogni zajistí, aby žádost o odstranění z brokerských databází měla reálný dopad.
Tento rok jsem se setkala s útoky přes bazary. Útočník se snaží přesvědčit vás, abyste mu věc zaslali na dobírku dopravní společností, tvrdí, že zaplatí jejímu kurýrovi. Pošle vám zprávu, která se snaží přesměrovat vás na falešnou stránku dopravní společnosti, kde máte zadat údaje k vašemu bankovnímu účtu, kam vám budou peníze vyplaceny. Podvodník zřejmě počítá s tím, že bazary nevyužívají ověřené platební brány, ale spíše platby na účet a méně zběhlí uživatelé internetových obchodů nebo zásilkových služeb mu naletí. Narazila jsem několikrát i na falešné facebookové stránky, které se svým názvem a grafickým designem vydávaly za zákaznickou podporu Facebooku a obsahovaly výstrahu, že je mám okamžitě kontaktovat, jinak bude můj účet zablokován.
Setkali jste se i vy s podobnými phishingovými podvody? Dokázali jste je rozpoznat? Podělte se o své zkušenosti v komentářích.