Kybernetická bezpečnost se v IT světě stále dere do popředí a není se čemu divit – informace jsou ropou jednadvacátého století a ztráta dat může znamenat nucené ukončení byznysu. Jedním z nejrozšířenějších útoků na tyto informace je právě phishing, který představuje téměř třetinu zaznamenaných bezpečnostních incidentů.
Phishing: co to je a jak funguje
Zvláštní slovo „phishing“ vzniklo kombinací anglického „fishing“ (tedy rybaření) a tzv. phreakingu, tedy nelegální aktivity spočívající v napojování na telefonní linky. Do češtiny bychom mohli phishing volně přeložit jako „rhybhaření“ či „rhybolov“ (v praxi se ale používá spíše originální anglický výraz). A proč právě rybolov?
Phishing je technikou sociálního inženýrství k získávání (rybaření) citlivých osobních dat nebo přihlašovacích údajů (v krajním případě může jít až o krádež identity). Tyto odcizené údaje pak slouží kybernetickým útočníkům k napadení sítí, systémů, získání finančních prostředků skrze online bankovnictví nebo k prodeji (např. pokud útočníci díky phishingu získají přístup k celým zákaznickým databázím apod.).
Typickým principem phishingu je rozesílka zpráv (nejčastěji prostřednictvím e-mailu, chatu nebo SMS), které předstírají, že pochází z důvěryhodných zdrojů, jako jsou známé weby, platební portály, úřady státní správy nebo IT administrátoři. Tyto zprávy obvykle vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je velmi podobná té oficiální (např. napodobuje přihlašovací okno internetového bankovnictví či e-mailové schránky). Uživatel na falešné stránce zadá své přihlašovací jméno a heslo, a tak zpřístupní tyto údaje útočníkům, kteří je mohou zneužít.
Nejčastější druhy phishingových útoků
Vysvětlili jsme si princip phishingu, který ale v praxi nabývá mnoha podob. Zde jsou ty nejběžnější z nich:
- Spear phishing – doslova „rhybaření harpunou“, je v současnosti nejrozšířenější typ zaměřený na jednotlivce obvykle z firemního prostředí. Obvykle bývá dobře cílený, a proto znamená značné bezpečnostní riziko.
- Whaling představuje ještě vyšší úroveň předchozího spear phishingu, cílí totiž na „velké ryby“, typicky vysoce postavené manažery. Ti jsou obyčejně dlouho a intenzivně profilovaní pomocí sociálního inženýrství, a to s úmyslem získat citlivá firemní data. Jde tedy o extrémní ohrožení kybernetické bezpečnosti.
- Microsoft 365 phishing se zaměřuje na uživatele cloudových služeb Microsoft 365. Falešné e-maily obvykle varují před údajným napadením účtu jiným uživatelem s tím, že odkaz v e-mailu vede na falešné stránky sloužící k zachycení údajů.
- Vishing neboli „voice phishing“ se uskutečňuje prostřednictvím hlasových hovorů. Na podzim roku 2022 varoval NÚKIB před rozsáhlou vishingovou kampaní mířenou na nemocnice a zdravotnická zařízení, kdy se volající vydávali za kontrolory Úřadu pro ochranu osobních údajů.
- Social media phishing obvykle probíhá prostřednictvím komunikátorů jednotlivých sociálních sítí s cílem zasažení co největšího počtu uživatelů.
Phishing a příklady jednotlivých technik
Jaké techniky útočníci nejčastěji využívají? Zde je několik ukázek:
- Zkreslování odkazů – text odkazu má jinou podobu než skutečný odkaz. Například odkaz https://www.totalservice.cz/kyberneticka-bezpecnost/ nevede ve skutečnosti na stránku Kybernetická bezpečnost, ale na stránku Případové studie. Kam odkaz skutečně vede, snadno zjistíte podržením kurzoru nad textem (bez kliknutí).
- Zkracování domén – podvodníci využívají zkrácených adres, u kterých nepoznáte, kam skutečně vedou (např. goo.gl/xyz apod.).
- Zneužití IDN – pouhým okem zdánlivě identické adresy mohou vést na odlišné weby. Některé znaky vypadají totiž velmi podobně (viz velké i – „I“ a malé L – „l“) a rozdíl v adresách nemusí být patrný.
- Falšování stránek a jejich kódu – falešné stránky mohou měnit adresní řádek prohlížeče např. umístěním obrázku legitimní adresy přes adresní řádek nebo zavřením původního adresního řádku a otevření nového s legitimní adresou.
- Tabnabbing spočívá ve zneužívání záložek prohlížeče, kdy dochází k tichému přesměrování uživatele na falešnou stránku.
Jak se můžete bránit phishingovým útokům?
V závěru se vracíme k začátku článku: ničemu nevěřte a používejte kritické myšlení. Na druhou stranu může phishingu podlehnout i zkušený IT expert – pracuje se často s emocemi a nátlakem. Při práci se zprávami buďte – pokud možno, neustále ve střehu, a především pravidelně pořádejte důsledné školení základů kybernetické bezpečnosti zaměstnanců.
→ Tip: Otestujte odolnost vašich zaměstnanců vůči phishingu pomocí penetračních testů.
Neotevírejte e-maily z neznámých adres a rozhodně ne vložené odkazy nebo přílohy. Využívejte dvoufázová ověření (ideálně biometrickou autentifikaci) a silná hesla.
V případě pochybností pamatujte, že skutečné organizace a jejich zástupci po vás nikdy nechtějí a nebudou chtít hesla či přístupové údaje nebo údaje o vašich účtech. Jste-li stále na pochybách, kontaktujte danou instituci pomocí zákaznické podpory, kde ověříte autenticitu zaslané zprávy. Pokud z nějakého důvodu sami potřebujete ověřit, kam podezřelá adresa vede (např. čekáte zásilku a adresa se tváří jako legitimní web dopravní společnosti), vždy využívejte Windows Sandbox či jiné sandboxové řešení.