Jak rozpoznat „phishing“ a na koho se obrátit

Nejdříve bychom si měli definovat co vlastně phishing je. Jedná se o typ podvodného útoku na internetu, při kterém se útočníci pokouší získat citlivé informace od uživatele, jako jsou hesla, kreditní karty a bankovní údaje.

Napadení začíná obvykle podvodným e-mailem, který se tváří jako oficiální komunikace od důvěryhodného zdroje (banka, internetový obchod nebo jiná společnost). Tento e-mail může obsahovat odkazy na falešné webové stránky, které vypadají jako originální stránky provozovatele, aby uživatelé zadali své přihlašovací údaje nebo jiné citlivé informace.

Pokud uživatel poskytne své citlivé informace na falešné webové stránce, útočníci je mohou použít k odcizení peněz, k podvodu nebo k dalším zločinům s využitím identity.

Phishingový útok nemusí přicházet jen emailem. Typů phisingu je více. Například:

• Vishing: Nevyžádané volání (Ukázka zde)
• Smishing: Nevyžádané SMSky
• Nevyžádané zprávy na sociálních sítích

Jak poznat napadení

Existuje několik způsobů, jak poznat phishingový útok:

1. Zkontrolujte adresu odesílatele: Zkontrolujte, zda e-mail opravdu pochází od firmy nebo osoby, kterou tvrdí, že je. Podvodné e-maily mohou mít nápadně podobné adresy odesílatele, ale mají v nich chyby, které by mohly naznačovat, že jsou podvodné.
2. Zkontrolujte odkazy: Pokud v e-mailu najdete odkazy, pečlivě je zkontrolujte, zda vedou na skutečné webové stránky. Zkuste najet myší na odkaz, aniž byste na něj klikli, abyste viděli, kam vás odkaz přesměruje.
3. Buďte opatrní na naléhavé požadavky: Podvodné e-maily často obsahují naléhavé požadavky, jako je například změna hesla nebo ověření účtu, aby uživatele přiměly rychle poskytnout své citlivé informace. Jedná se o jednu z nejčastějších možností.
4. Zkontrolujte gramatiku a pravopis: Podvodné e-maily často obsahují chyby v gramatice a pravopisu, takže je dobré si všimnout jakékoliv nedokonalosti.
5. Buďte obezřetní, pokud se vás e-mail netýká: Pokud dostanete e-mail, který na první pohled nemá s vámi nic společného, může to být podezřelé. Buďte obezřetní, protože to může být phishingový e-mail, který se snaží získat vaše citlivé informace i pouhou odpovědí.
6. Používejte antivirový software: Používejte antivirový software a firewall, který vám pomůže chránit váš počítač před napadením a dalšími podobnými hrozbami.

Návod jak předejít phishingu a celkově kybernetickému napadení pro vás připravil Lukáš v minulém článku Desatero kybernetické bezpečnosti uživatele.

Ukázka phishingového emailu

Po obdržení podobného emailu se zastavím, zamyslím a jdu podle kroků v předchozím odstavci.

• Wedos se mnou asi nebude komunikovat z adresy support@t-online.com. (#1 na obrázku)
• Odkaz Obnova domény vede na divnou adresu – zjistím ji najetím myši bez klikání. V adrese znovu není nic podobného wedos.cz (#3 na obrázku)
• Email obsahuje nátlak: Něco mi přestane fungovat, když rychle nezareaguji. (#2 na obrázku)
• Abyste se vyhili a sercisní střih? Že by ve Wedosu neuměli česky? To asi těžko. (#2 na obrázku)
• Tento email se mě týká, ale to neznamená, že to není podvod.
• Můj antivirový program odfiltruje spoustu dalších zpráv, které se ke mě ani nedostanou a nemusím jim věnovat pozornost. A díky za to.

Pamatujte si, že většina útoků je prováděná automatizovaně a necíleně. Emaily rozesílá po tisících automat. Nejde konkrétně o vás a lidé se uklidňují, že nejsou zajímaví a že se jim to nemůže stát. Jenže každé zařízení a každý člověk je důležitý a zajímavý pro útok. Phishing je jako rybaření. Nahodíte a čekáte, kdo se chytí. A rybáře také nezajímá, jestli chytí kapra Pepu nebo Tomáše.

Jak postupovat při nahlášení

Pokud se domníváte, že jste byli obětí, měli byste to co nejdříve nahlásit. Nejčastěji se můžete obrátit na:

• Banky: Pokud se jedná o napadení zaměřené na vaše bankovní údaje, měli byste okamžitě kontaktovat svou banku a informovat ji.
• Společnosti: Pokud se napadení zaměřuje na nějakou konkrétní společnost, měli byste kontaktovat tuto společnost a informovat je o vzniklé situaci.
• Orgány: Obraťte se na policii či na jinou organizaci, která se zabývá kyberkriminalitou. U nás můžete vyplnit formulář sdružení CZ.NIC, které spolupracuje s policii ČR.
• Poskytovatelé e-mailových služeb: Pokud jste dostali podezřelý e-mail, můžete ho nahlásit vašemu poskytovateli e-mailu. Většina poskytovatelů má mechanismy pro nahlášení spamu a obdobných podezřelých zpráv.
• Nahlášení do databází: Existují také různé databáze, které shromažďují informace o napadení a varují uživatele. Můžete se pokusit nahlásit útok těmto databázím, jako je například Anti-Phishing Working Group.

Pokud se rozhodnete nahlásit phishingový útok, měli byste se snažit poskytnout co nejvíce informací o útoku, jako jsou e-mailové adresy odesílatele, adresy URL, které vás přesměrovaly, a také informace o tom, jakým způsobem jste byli poškozeni. Tyto informace mohou pomoci při vyšetřování útoku a také mohou pomoci dalším uživatelům při identifikaci podobných útoků v budoucnu.