Phishing v roce 2024: Nenechte se lapit do sítí

Phishing je pokus o krádež vašich osobních údajů, například čísla kreditní karty, adresy nebo přihlašovacích údajů přes podvodné e-maily, webové stránky nebo třeba sociální sítě. 

Scénář těchto podvodů je téměř vždy totožný. A tudíž poměrně snadno odhalitelný. Pokud jej tedy znáte. 

Základním pravidlem zůstává: banky a další instituce po vás nikdy nevyžadují vaše přihlašovací a jiné citlivé údaje mimo svůj oficiální web.

Obsah:
Co čekat na phishingovém rybníčku v roce 2024
Co v podvodných zprávách smrdí
AI v rukách podvodníků
Prevence je základ
Jak vytvořit e-mailovou kampaň, která nevypadá jako od lovce
Závěrem

Co čekat na phishingovém rybníčku v roce 2024

Phishingových útoků existuje celá řada. Zde jsou ty, na které v roce 2024 narazíte nejčastěji.

Email phishing 

Jedná se o nejstarší a nejčastější formu phishingu, kterou ve své schránce najdete hned několikrát ročně. Někdy dokonce měsíčně i týdně. 

Jde většinou o zkopírované originální zprávy reálných firem a institucí, do kterých jsou přidány nebezpečné odkazy. 

Co je typické pro email phishing? 

Stránky vyžadují zadání vašich osobních a citlivých údajů. Často vás informují o nečekaném problému, který je třeba okamžitě řešit. Řešení se zdá být velmi jednoduché. Ve zprávě zjistíte, že stačí kliknout na nabízený odkaz. 

Problémy, které útočník zmiňuje, se různí, ale nejčastěji jde o potíže s platbou, přihlášením a vašim účtem. 

E-maily s nebezpečným obsahem často zahrnují zkrácené verze URL, v textu si můžete všimnout gramatických chyb a někdy je dokonce místo psané zprávy přiložen pouze obrázek. To, že se jedná o nereálnou zprávu, ale tzv. screenshot odhalíte přiblížením zprávy. Má velmi špatnou kvalitu písma.

Dávejte si pozor také na přílohy takových e-mailů, které obsahují malware. Mívají koncovky .zip, .exe a .scr.

Whaling 

Cílen na vysoce postavené lidi – ředitele, manažery apod. 

Tyto zprávy je náročné odhalit, protože jsou napsány dost věrohodně. Nenajdete v nich téměř žádnou gramatickou chybu, jazyk je profesionální a celá zpráva dává smysl.

Co je typické pro whaling? 

Sdělení obsahují chyby v doménách (například přehozená písmenka: místo @seznam.cz @senzam.cz). Podvodníci vám napíšou spíše na osobní e-mail než na ten firemní, což se při běžné pracovní komunikaci nikdy neděje.

Spear phishing 

Cílen primárně na firmy. 

Podvodníci pracují s veřejně dostupnými informacemi o vás a vaší firmě a rozesílají zprávy jednomu i několika členům vašeho týmu. 

Jejich sdělení matou tělem, protože se prvotně jeví jako interní komunikace.

Co je typické pro spear phishing? 

Váš „kolega“ se vás bude ptát na informace, které by měl vědět z firemních zdrojů. Často s vámi bude také sdílet odkazy na složky, které jsou mimo váš hub. Obojí by pro vás mělo být varovným signálem, že se jedná o podvodnou zprávu.

SMS phishing 

Také označován jako smishing. Probíhá totiž skrze SMS zprávy.

Co je typické pro SMS phishing? 

Zprávy chodí z neznámých čísel a často i se zahraničními předvolbami. Součástí podvodných SMS bývají opět odkazy, které vás navedou na stránky, na nichž po vás budou vyžadovat vaše osobní údaje. 

Aktuálně jsou nejčastější SMS phishingové útoky ty vydávající se za Českou poštu. Informují o problému s doručením balíčku a vyzývají k jeho přesměrování. Také žádají o zaplacení dopravného. 

Voice phishing 

Možná jej znáte pod zkratkou vishing. Voice phishing se děje po telefonu. 

Co je typické pro voice phishing? 

Volá neznámé číslo, které může být i blokované. 

Volající na vás naléhá řešit nečekanou situaci. Může jít o platbu, která nepočká, problém s vašim bankovním účtem, jeho napadení apod. 

Volající po vás bude opět vyžadovat citlivé údaje jakými jsou číslo vaší debetní karty, PIN a další. Vykřičníkem zde je fakt, že v případě problémů s bankovním účtem jej prvotně řeší vaše banka. Ta má nástroje a zná postupy, díky nimž se vy o nic starat nemusíte.

Social media phishing 

Sociální sítě jsou pro podvodníky úplným rájem. Najdou zde totiž ty osobní informace, ke kterým by se jinde na internetu jen těžko dostali.

Další výhodou je, že je na sociálních sítích poměrně jednoduché se s daným uživatelem spojit. 

Co je typické pro social media phishing? 

Vzhledem k tomu, že chaty nemají specifickou strukturu, je pro podvodníky jednodušší vytvořit lživou zprávu na Facebooku než třeba na e-mailu. 

Často se odesílatel podvodné zprávy na sociálních sítích tváří jako správce. A upozorňuje vás na porušení pravidel sítě. Vyhrožuje zablokováním vašeho účtu a jako jedinou cestu ven nabízí kliknutí na zaslaný odkaz. Popřípadě vás nutí se s ním okamžitě spojit.

Také vám může být zasláno falešné pozvání k účasti v anketě, podvodné video, prosba okomentovat příspěvek, nebo vám podvodník nabídne slevový kupon. 

Poměrně často dochází i k odcizení účtu a následnému rozesílání podvodných zpráv. 

Pokud si nejste jisti, zda je profil, který vás zkontaktoval, pravý, zkontrolujte vždy jeho název. Také kolik spojení má a jak dlouho je na platformě aktivní. 

Falešné profily bývají často vytvořeny narychlo a mají krátkou životnost. Nemají mnoho fanoušků či přátel, mají zvláštní název a nemají na svém profilu mnoho informací ani příspěvků.

Co v podvodných zprávách smrdí

1. Naléhání na vyplnění vašich osobních údajů (jméno, číslo debetní karty).
2. Gramatické chyby, texty totiž bývají překládány strojově.
3. Podivné předvolby. Stát, ze kterého byla SMS poslána si můžete zkontrolovat na Googlu.
4. Zvláštní znaky ($, ~).
5. Podezřelá URL.
6. Nabídky, které jsou více než výhodné (nesplnitelné sliby).

AI v rukách podvodníků

Díky AI jsou podvodníci schopni vytvářet uvěřitelnější a personalizovanější obsah. Celkově tak dochází k náročnějšímu odhalení phishingového útoku.

Jak pomáhá AI podvodníkům

1. Ještě personalizovanější obsah – AI zvládá analyzovat velké objemy dat. Nástroje jsou tak schopné vytvořit přesvědčivý personalizovaný obsah. Například e-maily vytvořené pomocí AI tak vypadají přirozeněji a profesionálněji. Je tedy jednodušší jim jako příjemce uvěřit. 

2. Krádež hlasu v deepfake nahrávkách – Díky deepfake technologiím je v dnešní době možné vytvářet přesvědčivé audio i video. Umělá inteligence dokonce dokáže napodobit hlas reálné osoby. Bude tak čím dál častěji docházet k tomu, že nezvládneme rozpoznat umělý hlas od toho reálného. 

3. AI jako programátor webu – Existují takové nástroje, které pro vás zvládnou vygenerovat celý web. Včetně jeho obsahu. V dnešní době je toto téma pro slušné obchodníky kontroverzní, ale podvodníkům web vygenerovaný AI stačí. Většinou se totiž jedná o rychlokvašku, která po jejím nahlášení zanikne. Problém je, že podvodníkům AI umožňuje vytvářet desítky webů za velmi krátkou dobu. Zvládnou tak zacílit na více lidí a na kontě mít více obětí.

4. AI jako analytik a editor – Nástroje umělé inteligence dokáží analyzovat úspěšnost phishingových kampaní v reálném čase. A automaticky je upravovat tak, aby byly účinnější. Včetně úpravy jazykové stránky a designu zprávy.

5. Sofistikovanější lustrace obětí – Lustrace osob je pro útočníky časově náročná. AI jim v tomto směru může neuvěřitelně usnadnit práci a ušetřit čas. Mohou ji využít například k lustraci profilů na sociálních sítí. 

AI zvládá rozpoznat zájmy uživatelů a odhadnout jejich potřeby. Na základě těchto informací pak může útočník snadněji vytvářet obsah (nebo k tomu opět využít AI) a přimět svůj cíl chovat se přesně tak, jak chce.

Pomoci mohou regulace AI, které by měly omezit využití umělé inteligence k nekalým účelům.

Prevence je základ

Nezabráníte tomu, aby se vás útočník pokusil zkontaktovat. Ale můžete omezit příjem podvodných zpráv, být obezřetnější a zůstat tak v bezpečí. 

Zde je pár tipů, jak na to:

• Používejte spam filtry, zejména v Outlooku nebo Thunderbirdu. U webových e-mailových služeb jsou již aktivní.
• Nastavte si prohlížeč tak, aby blokoval vyskakovací okna.

• Ať už zadáváte údaje na jakémkoliv webu a aplikaci, vždy si zdroj řádně prověřte. Pokud vám přijde podezřelý, obraťte se na oficiální web a nechejte si potvrdit, že pod ně daná aplikace nebo stránka opravdu spadá.
• Před kliknutím na odkaz na něj vždy první najeďte kurzorem a chvíli počkejte. Ověříte si tak, zda má stránka SSL certifikát. Jak to poznáte? URL stránky musí začínat https.
• Sledujte varování vaší banky a ostatních důležitých institucí, které monitorují pokusy o krádež osobních informací a peněz. Většinou najdete seznam odhalených podvodných zpráv na jejich webu. 
• V případě, že máte podezření, že jste se stali obětí phishingu, kontaktujte dotyčnou instituci. Pokud vám vznikla jakákoliv škoda, měli byste o tom rovněž informovat policii – phishing je trestný.

Jak vytvořit e-mailovou kampaň, která nevypadá jako od lovce

Pokud bude váš e-mail vypadat podezřele, nejen že díky němu nedostanete potenciální zákazníky na svůj web nebo blog, ale také vám přestanou důvěřovat.  

Zde je pár tipů, jak napsat takový e-mail, který nebude vypadat jako od lovce:

1. Buďte přátelští, ale s mírou – Oslovujte své klienty jménem, ale není potřeba jim připomínat, kým jsou. To by mohlo působit dost zvláštně. Je pro vás zásadní vědět, komu píšete, ale to, že se o své klienty zajímáte a znáte je jim ukažte vhodným obsahem. Ne sepsáním jejich krátkého bia.
2. Zřetelně označujte vaše URL adresy – Označujte odkazy v e-mailu zřetelně a vyhněte se zkráceným URL. Samozřejmostí je, že odkazy povedou na bezpečné webové stránky.
3. Profesionalita je základ – Buďte profesionální, používejte hezký design, který je pro vaši značku typický. Zároveň pište z oficiální e-mailové adresy vaší společnosti. Užívejte profesionální jazyk a vyhněte se gramatickým chybám. 

Buďte také opatrní s výzvami k akci. Ty jsou důležitou součástí každé e-mailové kampaně, není však potřeba vaše potenciální zákazníky přílišně urgovat. Nepůsobí to dobře a může to vypadat jako phishing. 

Ve zkratce buďte jasní, struční a přátelští. Komunikujte se svými klienty tónem, na který jsou zvyklí.

Závěrem

Je jasné, že podvodných, a nejen phishingových útoků bude v budoucnu přibývat. Taktiky i způsoby, jakými vás budou podvodníci kontaktovat se budou časem různit.

Proto buďte vždy obezřetní a dobře se o aktuálních trendech v těchto zakalených vodách informujte.