Phishing ve světě financí: Nedovolte, aby hackeři ulovili vaše osobní data

Kybernetický prostor s sebou kromě řady ulehčení a sofistikovaných řešení přináší – ostatně tak jako vše, i určitá rizika. Útoky se snahou získat důvěrné informace uživatelů, třeba formou phishingu, tak nejsou ojedinělým jevem. Přečtěte si, jak před phishingem ochránit nejen své finance, ale i celé soukromí.

Phishing je útok, který využívá sociálního inženýrství (jinými slovy manipulativního chování) s cílem získání důvěrných informací a citlivých dat, která se později dají zneužít v cizí prospěch (a pochopitelně ve váš neprospěch).

Zrádné na této formě útoku je, že se zpráva či e-mail tváří jako oficiální sdělení od banky nebo jiné instituce a naléhavě vás vyzývá k zadání citlivých údajů. Při bližším pohledu ale zjistíte, že tu pár věcí „nehraje“. Prvním ukazatelem je adresa, ze které sdělení přišlo – liší se od oficiálních kontaktů třeba v jednom znaku. Text pak často obsahuje chyby i nepřeložená cizí slova.

Lov citlivých dat není žádná novinka

Technika phishingu získala svůj detailní popis už v roce 1987 a název dostala o 9 let později. Ten je odvozen od anglického výrazu fishing (rybaření). V přeneseném slova smyslu se jedná také o lov – místo ryb do sítí se ale na online sítích chytají citlivé informace uživatelů. U nás se občas setkáte také s úmyslně komoleným českým označením rhybaření.

K prvnímu útoku v online prostředí došlo v roce 2005 v USA a týkal se společnosti AOL poskytující služby připojení k internetu. Prvními oběťmi v Česku pak byli v roce 2006 klienti jedné banky. A právě s bankovním světem je phishing spojován nejčastěji, protože získání citlivých údajů pro následné odcizení financí z účtů láká podvodníky samozřejmě nejvíce.

Statistika mluví jasnou řečí

Určitě není na místě, abyste se báli a měli strach, kdykoli otevřete e-mail nebo vám dorazí SMS zpráva z neznámého čísla. Na druhou stranu ale čísla mluví poměrně jasně a poukazují na to, že phishing je poměrně běžný způsob podvodu, jehož obětí se velmi snadno můžete stát i vy:

• Podle průzkumu společnosti Verizon z roku 2019 plyne, že 32 % případů, kdy došlo k porušení ochrany osobních údajů a citlivých dat, má na svědomí právě phishing.

• Společnost KnowBe4 provedla v roce 2019 testování osob, které neabsolvovaly žádné školení ohledně rozpoznání phishingu. Na phishing by se podle výsledků nachytalo téměř 38 % účastníků.

• Alarmující je, že 9 z 10 phishingových útoků se do vašeho e-mailu dostane i přes veškeré internetové zabezpečení.

V čem je phishing zrádný, jak ho odhalit a předcházet mu?

Velmi častou formou phishingu je e-mail, který se věrně podobá oficiálnímu e-mailu vaší banky. Takový phishing vypadá důvěryhodně, obsahuje například i logo vaší banky, takže pokud o této praktice nic nevíte, snadno se chytíte do pasti. Cíl je jasný – pachatelé chtějí získat data, jež by jim dopomohla k vašim financím na bankovním účtu.

Nezadávejte své citlivé údaje, pokud máte i sebemenší pochyby o bezpečnosti nebo autentičnosti stránky.

Jak tedy phishing rozpoznat od oficiálního e-mailu instituce?

• Banka či instituce v e-mailu obvykle oslovuje přímo vás. Jménem nebo příjmením, podle toho, jak má nastavenou marketingovou komunikaci. Nemusí to tak ale být vždy. Oproti tomu v podvodném e-mailu bývá oslovení velmi často obecné (například „Vážená paní“ bez jména).

• Odesílatel e-mailu od vás vyžaduje citlivé informace. Banka ani jiná instituce nikdy nebude chtít, abyste například své přístupové údaje k bankovnímu účtu vyplňovali do e-mailu. Toto je jeden z jasných znaků podvodu.

• Pozor na češtinu. V podvodných e-mailech často bývají do očí bijící chyby, zpravidla gramatické, jako například špatné skloňování. Varovat vás může i nevhodný slovosled a „kostrbatost“ celého sdělení. Když si nebudete jistí, před jakoukoli reakcí na e-mail zavolejte do dané instituce a ověřte si, jestli je e-mail skutečně od ní.

• Podvodný e-mail přichází nečekaně. Když například povedete hovor o případné půjčce se zaměstnancem banky a ten od vás bude potřebovat potvrzení čehokoli e-mailem, pravděpodobně vám při samotném hovoru řekne, že vám pošle e-mail. Phishing ale přichází, aniž byste od své banky něco očekávali. Zprávu od neznámého adresáta nemusíte ani otevírat. Když se rozhodnete ji přece jen otevřít, buďte obezřetní, raději neodpovídejte, nikdy neotevírejte přílohy a neklikejte na odkazy v e-mailu.

• Máte ze zprávy dojem, že na vás její autor naléhá a vyžaduje od vás rychlou akci? Nekoresponduje jeho tón komunikace s tím, jak s vámi obvykle komunikuje daná instituce? Může jít o jasný znak phishingu.

• Píše vám někdo z Austrálie, že jste jediný dědic bohatého zemřelého, ale abyste se k dědictví dostali, musíte poslat citlivá data? Máte před sebou nabídku zboží zdarma, případně za velmi nízkou částku? Nebo můžete získat velkou půjčku s bezkonkurenčním, skoro až nulovým úrokem? Dejte si pozor, i takto vypadá phishing.

• A nakonec je tu ještě doména e-mailové adresy odesílatele. Ta by měla být u českých institucí česká. Nedejte ani na francouzskou, ani na čínskou. Zároveň se dívejte, jestli v URL u odkazů nejsou nestandardní znaky – písmeno „a“ je nahrazeno znakem „@“, písmeno „E“ často nahrazuje „€“. A pak velmi snadno přehlédnete, že nejste na stránce www.ExtraBanka.cz, ale na webu „www.€xtraBanka.cz.

Nejčastější formou phishingu byl doposud e-mail. Nicméně stále častěji přicházejí útoky i přes online aplikace, instantní messengery nebo sociální sítě.

Co dělat, když zjistíte, že jste naletěli podvodníkům?

Ačkoli už víte, jaké má phishing znaky, může se stát, že se do rhybářské sítě jednou opravdu chytíte. Pak je naprosto nezbytné co nejdříve kontaktovat banku nebo instituci, za kterou se podvodník vydával.

Phishing určitě nahlaste. A protože je phishing trestný čin, uděláte nejlépe, když na Policii České republiky podáte trestní oznámení na neznámého pachatele. K jeho dopadení nejspíš nedojde, protože je vysoce pravděpodobné, že bude ze zahraničí a možná z druhého konce světa. Vždy je ale lepší, když se společnost o hrozbě dozví.

Právě díky nahlašování podezřelých e-mailů a zpráv v mobilních aplikacích může banka nebo jiná instituce zjistit, že se u ní phishing rozmohl, načež může varovat své klienty například při vstupu do internetového bankovnictví nebo prostřednictvím e-mailu (ve kterém od vás nebude nic požadovat!).

Nicméně myslete také na to, že 87 % případů phishingu už dnes nepřichází v podobě e-mailu. Hackeři dnes útočí například i skrze messengery, sociální sítě nebo mobilní aplikace, zejména ty herní.

Zdroje:

• První phishing v Česku, terčem byla CitiBank
• Co je phishing
• Phishing
• Phishing Statistics: The 29 Latest Phishing Stats to Know in 2020
• Co dělat, pokud se stanu obětí phishingu?