PHISHING 

Jak se nenechat ošálit v kyberprostoru?

Začít

O čem bude tato lekce?

Obelstít, zmanipulovat a podvést člověka je levnější, rychlejší a celkově výhodnější než se o totéž pokoušet u všelijak zabezpečených technologií. Právě z těchto důvodů se phishing stal jednou z nejoblíbenějších metod kyberútočníků.

Modul obsahuje pět částí:

  1. Řekneme si, co phishing znamená a proč se vás týká. ⏭️
  2. Vysvětlíme si zásady, které u elektronické komunikace dodržovat. ⏭️
  3. Ukážeme si, jak takový phishing ve vaší schránce může vypadat. ⏭️
  4. A co dělat, když na nějaký phishing sami narazíme. ⏭️
  5. V závěru si v kvízu vyzkoušíte, jak byste sami proti reálnému útočníkovi obstáli. ⏭️

Bez popisku

EXTRA 15 MIN

Bez popisku

1 VÝZVA

Bez popisku

1 NÁVOD

1. Co je to phishing a jak se mě to týká?

Phishing je technika, při které útočníci používají zdánlivě legitimní e-maily, SMS zprávy nebo webové stránky, aby oklamali oběti a přiměli je k nějaké akci, např. stažení souboru, poslání informací či zadání hesla na falešné stránce.

Na první pohled nemusíte nutně poznat, že čtete falešný e-mail. Odesílatel, text i vizuální podoba mohou vypadat věrohodně, jako by vám je poslala škola, banka či jiná instituce nebo přítel. Ovšem otevřete přílohu či zadáte na falešném webu přihlašovací údaje a útočník vás dostal. Následky mohou být zřejmé okamžitě, mnohdy ale trvá týdny, než se vyjeví.

Důležité je si uvědomit, že pokud máme čas a klid na prozkoumání obsahu zprávy, dokážeme phishing často rozpoznat. Ovšem v běžném pracovním shonu nebo pod tlakem různých krizových situací se může stát, že naše ostražitost poleví. A vzhledem k tomu, že se phishing týká každého z nás, je jen otázkou času, než se nějaký podvodný e-mail objeví i v naší schránce. Je proto zásadní být při práci s e-maily vždy ostražitý.

Bez popisku

2. Na co si dát pozor aneb jak phishing odhalit? 

Odhalení phishingu nemusí být složité. Klíčem je vybudovat si návyk pravidelně kontrolovat několik základních prvků ve vašich e-mailech. 

  • #1 Odesílatel

    🟡
    Útočníci používají různé metody k maskování své identity, s cílem působit důvěryhodně. To zahrnuje manipulaci s e-mailovými adresami, použití zavádějících názvů, či imitaci vizuálu organizací. 

    🟡
    Je tedy zásadní zkontrolovat adresu odesílatele, abyste si všimli i těch nejmenších změn, jako je například zaměnění písmena „u“ za „v“. Rozdíl mezi „@mail.muni.cz“ a „@mail.mvni.cz“ je v mluvené formě ihned patrný, ovšem v psané formě je rozdíl na první pohled téměř neznatelný. Toto je častý trik, kterým se snaží podvodníci vydávat za důvěryhodné zdroje.

  • #2 Odkazy

    🟡
    Kontrolujte podobu odkazů v e-mailech. Každý odkaz může představovat potenciální riziko, tudíž pokud si nejste jisti jeho původem, raději na něj neklikejte. 

    🟡
    Proto přejeďte kurzorem po zkráceném odkazu, aniž byste na něj klikali. V závislosti na vašem e-mailovém klientovi se vám zobrazí celá adresa v dolní části obrazovky. I zde pozor na drobné záměny písmen! Je velký rozdíl mezi „id.muni.cz“ a „id.munl.cz“.

  • #3 Přílohy

    🟡
    Buďte vždy skeptičtí a podezřelé přílohy nikdy neotevírejte. Neváhejte v případě jakýchkoli pochybností kontaktovat odesílatele nebo příslušnou instituci pro ověření pravosti přiloženého obsahu jinou formou, např. telefonicky.​

Vždy zpozorněte a buďte kritičtí pokud je v e-mailu požadavek formulovaný tak, aby vzbuzoval urgenci, zvědavost, touhu, strach, závist nebo je jiným způsobem podezřelý.

Phishing v SMS zprávě

Phishing může mít mnoho tváří a nemusí přijít jen v podobě e-mailu. Představte si, že dostanete SMS zprávu od dopravce o nutnosti zaplatit poplatek za doručení balíku. Pozor, i to může být trik, jak z vás získat citlivé informace. Této technice se říká smishing a i zde útočníci pracují s časovou tísní a požadují od vás okamžitou akci. Důležité je nejdříve zprávu pečlivě ověřit, než cokoliv uděláte. Jak na to?

  • Nenechte se zmást tím, že vám SMS přijde z českého čísla a u kontaktu bude jméno dopravce nebo jiné domnělé autority.
  • V případě pochybností vždy využijte ověřené kontakty z oficiálních stránek, nikoli číslo ze zprávy.
  • Stejně jako u e-mailu, i zde je hlavní zkontrolovat případný odkaz, abychom věděli, zda nás nevede na falešnou webovou stránku.
  • Další užitečný krok je ověřit si u dopravce číslo objednávky uvedené ve zprávě. Pokud se objednávka nezobrazí jako platná, pravděpodobně jde o pokus o smishing a zprávu byste měli ignorovat.
Hovor od útočníka?

Manipulace může probíhat také telefonicky, tato zákeřná technika se jmenuje vishing. Útočník se maskuje například jako klientská podpora nebo IT oddělení a informuje vás, že je nutné provést nějakou akci (sdělit heslo, převést peníze, stáhnout aplikaci). Zde je na vás tlak ještě větší než u ostatních technik, protože útočník s vámi komunikuje v reálném čase.

A že byste něco takového ihned poznali? Možná ano, ale útočníci mají své metody dobře zvládnuté a dokážou být velice přesvědčiví. A jak se tady bránit?

  • Ani zde se nenechte zmást tím, že se na displeji vašeho telefonu objeví jméno vaší banky nebo policie. Útočníci toto dokážou snadno zfalšovat.
  • Pokud na vás volající vyvíjí nátlak, zavěste a zavolejte znovu. Když zavoláte zpátky, dovoláte se nejspíše do skutečné instituce.
  • Vždy si vezměte čas na ověření a kontaktujte instituci přímo přes jejich oficiální kanály.

3. Prohlédněte si skutečné příklady 

Pojďme pryč od teorie a podívejte se, jak takový phishing v reálném životě může vypadat. Útočníci dokážou věrně napodobit Netflix, Zásilkovnu, Masarykovu univerzitu, nebo třeba web ministerstva.

4. Jak se zachovat, když phishing odhalíte?

Stejně důležité, jako je phishing odhalit, je ho také nahlásit. Na MUNI může díky vašemu nahlášení zasáhnout kybertým a omezit šíření phishingu, například blokováním podvodné stránky, na kterou směřuje odkaz v e-mailu. Kromě toho můžeme ostatní uživatele varovat.

Bez popisku

Přišel vám prapodivný e-mail od děkana? Přihlašování do ISu vypadá podezřele? Ozvěte se, i když si nejste jistí, zda se jedná o jakoukoliv formu útoku.

Vyhodnotit hrozbu je prací specialistů. V rukách tzv. incident handlerů se každoročně sejdou stovky bezpečnostních incidentů i planých poplachů. Leckdy se jedná právě o nahlášení uživatelem, které upozorní na bezpečnostní hrozbu. I díky vaší aktivitě tak může kybertým zpracovat bezpečnostní opatření a upozornit na riziko ostatní uživatele.

A jak na to? V případě Outlooku klikněte na Nahlásit útok phishing nebo nás kontaktujte prostřednictvím formuláře zde:

nahlásit incident

Jak nahlásit phishing mimo prostředí univerzity

Pokud phishingová zpráva vypadá, že pochází od konkrétní organizace (např. banka, sociální síť, platby apod.), informujte tuto organizaci.

Většina velkých organizací má e-mail nebo formulář pro nahlášení phishingu. Outlook či Gmail umožňují uživatelům nahlásit phishing přímo v rozhraní e-mailu.

Zlaté pravidlo: lepší nahlásit, než nenahlásit.

5. Dokážete obstát v našem kvízu?

Dokážete odhalit podvodný phishingový e-mail, který se vám objevil v e-mailové schránce? Pojďte si to ověřit v kvízu!

Bez popisku

Výzva: Phishing kvíz

Připravili jsme pro vás kvíz, kde máte možnost vyzkoušet si, jak dobře dokážete rozpoznat podvodné e-maily. V tomto kvízu se nachází jak opravdové phishingové e-maily, které byly adresovány zaměstnancům na univerzitě, tak i smyšlené příklady, které demonstrují možné phishingové útoky.

V kvízu vás čeká celkem 10 otázek, ve formě ukázek e-mailů. Již během něj se dozvíte, zda jste e-mail správně označili jako phishing nebo legitimní zprávu. Pokud se vám podaří zodpovědět alespoň 8 otázek správně, získáte přístup k bonusovému obsahu. Přejeme hodně štěstí!

Po kliknutí na ukázku se vám obrázek zobrazí v plné velikosti.

Načítám...

Bez popisku

  1. Myslete na to, že phishing nemusí být snadné odhalit. Je zásadní zůstávat obezřetný a kriticky zpochybňovat požadavky, které jsou na nás v e-mailech kladeny. I když vypadají legitimně.

  2. Pamatujete si, že máte ověřovat odesílatele, odkazy a přílohy. Ujistěte se, že máte na tyto úkony klid a dostatek času.

  3. Stejně důležité, jako phishing odhalit, je ho i nahlásit.

Bonusy pro zvídavé

Bez popisku

Příběhy sociálního inženýrství
Phishing je sice jeden z nejčastějších útoků, rozhodně ale není jediný. Proto jsme pro vás vytvořili další kurz s názvem „Příběhy sociálního inženýrství“, kde se seznámíte s dalšími typy útoků, které využívají jednu z nejcitlivějších metod – psychologickou manipulaci, a to skrze naše přirozené lidské Achillovy paty, tedy například zvědavost, strach či nepozornost.

Bez popisku

Ransomware
Proč nikdy neotevírat přílohy? Kvůli možným virům a dalším škodlivým souborům, které souhrnně označujeme jako malware. A jaký malware je vůbec nejhorší? Největší postrach představuje asi ransomware. Představte si ho jako kybernetického zločince, který zavírá data jako rukojmí a vyžaduje výkupné. Tento malware proniká do systému, šifruje soubory a zablokuje přístup k nim, čímž paralyzuje činnost uživatele nebo organizace. Jinými slovy všechna data uložená v počítači nebudou přístupná. Útočníci poté požadují platbu, obvykle v kryptoměně, za klíč potřebný k dešifrování dat.​

Bez popisku

Bez popisku

Technika „browser in the browser“
Jedná se o nový phishingový trik, kde útočníci vytvářejí na podvodných stránkách falešná přihlašovací okna, jež přesně imitují skutečná okna prohlížeče. Tato falešná okna jsou navržena tak, aby uživatelé věřili, že zadávají své přihlašovací údaje do legitimní služby. Útočníci pak tyto informace zachytávají. Pro ochranu se doporučuje důkladně kontrolovat URL adresy, používat dvoufaktorovou autentizaci a být obecně ostražitý při zadávání citlivých informací online. Podívejte se na video níže a zjistěte o této technice více. 

 

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info