Co je to phishing a proč se nevyplácí ho používat v e-mailu

eWay-CRM Academy: A teď něco o marketingových kampaních

Počítačové viry už dávno nepatří mezi to nejnebezpečnější, co na nás na internetu číhá. Pravděpodobně jste již někdy slyšeli o termínu phishing, často ve spojitosti s krádeží peněz z bankovních účtů poté, co oběti slepě následovaly instrukce v podvodném e-mailu, který jim byl zaslán. Označuje způsob útoku, který je mnohem jednodušší, často nebezpečnější a nevyžaduje tak důkladné znalosti programování.

Sociální inženýrství v praxi

Phishing je pokus o ukradení vašich osobních údajů, například čísla kreditní karty, adresy nebo přihlašovacích údajů přes podvodné e-maily a webové stránky, které se tváří jako originál, ale pocházejí od podvodníků. Základní scénář je téměř vždy stejný a poměrně snadno odhalitelný, přesto na něj denně naletí hned několik méně zkušených uživatelů internetu. Přitom si stačí pamatovat základní pravidlo: banka nebo internetové stránky sociálních sítí by od vás nikdy neměly chtít vaše přihlašovací údaje jinde než na svém oficiálním webu. Typický příklad phishingového e-mailu vypadá jako zpráva s věrohodným logem bankovní či jiné platební služby, využívající její skutečné barvy a font, která oznamuje, že s vaším účtem není všechno v pořádku a vy se přes tlačítko níže musíte okamžitě přihlásit, abyste to napravili. Bližší pohled však odhalí, že zde několik věcí nesedí:

  • E-mail zpravidla používá pouze všeobecné oslovení, přestože je jasné, že služba, ve které máte skutečný účet, musí znát vaše jméno.
  • Totéž platí pro adresáta e-mailu. Tento byl zjevně odeslán na více adres uvedených ve slepé kopii. Útočník čekal, kdo se „chytí“.
  • Několik drobných gramatických chyb a neobratné vyjadřování, pokud útočníci nejsou z česky mluvících zemí. Zpráva je totiž většinou přeložena s pomocí internetového překladače.
  • Nesmyslná adresa odesílatele, která ale nemusí být na první pohled nápadná, protože lišit se může třeba jen jedním znakem od skutečné adresy odesílatele (např. [email protected] vs. [email protected]).

Nemusí jít pouze o e-mail ani o banku

Je pravděpodobné, že stejně nesmyslná by byla i adresa webu, který by se v prohlížeči objevil po kliknutí na příslušné tlačítko. Zadání vašeho jména a hesla do této služby by údaje jistě odeslalo rovnou do velmi podezřelých rukou. Podobné zprávy však nemusíte dostat jen e-mailem. Klidně mohou číhat na sociálních sítích, v doručených SMSkách (na malé obrazovce mobilu možná nebudete až tak opatrní), na různých webech nebo vyskočí jako nové okno v prohlížeči. Dobrou zprávou je, že moderní prohlížeče, velcí poskytovatelé e-mailových služeb a nejpoužívanější antivirové programy už ochranu před phishingem poskytují. Podezřelá pošta často skončí rovnou ve spamu a při pokusu o otevření podvodných odkazů se objeví důrazné varování. Měli byste jim však pomoci, zbytečně neklikat na podezřelé e-maily, neotvírat nevyžádané přílohy a při zadávání svých přihlašovacích údajů vždy zkontrolovat, jaká adresa se nachází v adresním řádku. Téměř všechny seriózní weby už musí nabízet zabezpečený SSL certifikát, který bude v prohlížeči označen zelenou barvou nebo ikonou zámku.

Jak předejít phishingovým útokům

  • Používejte spam filtry, zejména v e-mailových klientech typu Outlook nebo Thunderbird (webové e-mailové služby jej mají zapnutý automaticky).
  • Změňte si nastavení prohlížeče tak, aby zabránil otevírání podezřelých stránek (např. v Chrome se funkce jmenuje „Chránit mě i mé zařízení před nebezpečnými weby“).
  • Při verifikaci nebo zadávání údajů si vždy prověřte, že nejde jen o snahu získat vaše údaje, v případě podezření kontaktujte danou instituci osobně.
  • Před kliknutím na odkaz na něm pozastavte kurzor myši a přesvědčte se, zda má stránka SSL certifikát. V případě, že URL obsahuje „https“, stránka tento certifikát má.
  • Sledujte varování vaší banky nebo finanční instituce, které monitorují pokusy o phishing a informují o tom své klienty.
  • V případě, že máte podezření, že jste se stali obětí phishingu, kontaktujte dotyčnou instituci. Pokud vám vznikla škoda, měli byste o tom rovněž informovat policii.

Za phishing hrozí nepodmíněné odsouzení

Vzhledem k tomu, že phishingové podvody nejsou ve světě internetu žádnou novinkou, společenské vzdělání o této hrozbě je dnes podstatně vyšší než tomu bylo například před 10-15 lety. Na druhou stranu jsou tyto podvody dnes daleko promyšlenější a důkladněji prováděné než dříve v minulosti, proto dochází ke stále novým případům úspěšných krádeží identity a posléze i majetku obětí. Za takové jednání (včetně neúspěšných pokusů) hrozí pachatelům v České republice nepodmíněné tresty v řádu jednotek let a bývají spojeny s větším počtem trestných činů zároveň, jako je např. poškození cizích práv, podvod, krádež, vydírání či neoprávněné nakládání s osobními údaji. O výši trestu ve všech případech rozhoduje soud.

Co můžete udělat již nyní, aby vaše zpráva nebyla vyhodnocena jako phishing

Podobně jako je nevyžádaná pošta filtrována kombinací přednastavených algoritmů, které nemusejí vždy fungovat zcela neomylně, stejně tak automaticky probíhá i detekce phishingových zpráv. Nikdo si nepřeje, aby právě jeho e-mailová kampaň dostala tuto nežádoucí nálepku ve schránce příjemce. Účinnou prevencí přitom může být jednoduchá změna nastavení, jako je deaktivace sledování prokliků u viditelných URL adres.

 

Tento text byl převzat z blogu Emailkampane.cz. Jedná se o partnera eWay-CRM. 

eWay-CRM obsahuje modul Marketingové kampaně, které umožňují profesionální hromadnou rozesílku emailů a další komunikaci s našimi zákazníky.