Co je to phishing a jak se mu bránit?

Phishing je v podstatě tak starý jako internet sám. Nejčastěji je spojován s útoky na elektronické bankovnictví, ale v zásadě jej lze použít všude tam, kde je od uživatele potřeba vylákat nějaké přihlašovací údaje. Bezpečnost bankovních aplikací je však kvůli své citlivosti vždy v popředí zájmu médií.

Samotný název pochází z anglického slova „fishing“, tedy rybaření, v němž bylo úvodní F nahrazeno za PH, jak bývá obvyklé v počítačovém slangu. Název tedy dobře vystihuje podstatu samotné činnosti – útočník nahodí udičku s návnadou (podvržený e-mail) a čeká, která z ryb se mu na ni chytí.

Dejte si pozor na froda
Do obecnějšího povědomí české veřejnosti vstoupil phishing na podzim roku 2006. Tehdy začali mnozí uživatelé internetu nacházet ve svých schránkách e-mail, který je informoval o novém systému zabezpečení internetového bankovnictví České spořitelny, který si mohl klient aktivovat, pokud se přihlásí ke svému účtu na uvedené (a podvržené) adrese.

Česká spořitelna není pro opakované útoky vybírána náhodně. Jedná se o největší bankovní ústav v zemi, takže šance, že náhodně odeslané e-maily (spamy) dorazí jejímu klientovi, je poměrně vysoká. Navíc Česká spořitelna nepoužívala v minulosti k zabezpečení konta dodatečné nástroje (např. autorizační SMS), což zneužití získaných přístupových údajů velice zjednodušovalo.

Email z října 2006 byl na dosti vysoké úrovni. Byl sice psán bez diakritiky, ale celkem přijatelnou češtinou s minimem chyb a jediné, co ukazovalo na jeho nepravost krom podvrženého odkazu, byl chybný překlad a užití slova „frod“ (nejspíše z anglického originálu fraud, tzn. podvod).

I přesto se na něj nachytalo až několik desítek zákazníků. U většiny z nich se však podle vyjádření bankovního domu podařilo zablokovat účty, u jiných přišlo na řadu individuální řešení. V obecné rovině však nese zodpovědnost za vyzrazení přístupových údajů odpovědnost zákazník, protože se je podle smlouvy zavazuje uchovávat v tajnosti.

Drahoušci zákazníci
Další vlna podvodných e-mailů zaplavila české mailboxy zhruba před měsícem. Jednalo se však o podvod velice amatérského charakteru. Výzva k přihlášení byla psána velice nedokonalou češtinou, klient byl v dopise oslovován jako „drahoušek zákazník“, text navíc obsahoval znaky azbuky. Spíše než jakoukoli bezpečnostní hrozbu představoval dobrou možnost k pobavení.

Otázkou však zůstává, jestli se nejednalo o novou taktiku phisherů. Další podvodné maily, které stále bičují naše schránky, už totiž vypadají o poznání lépe. Obsahují loga České spořitelny, uvěřitelně znějící výzvu týkající se platební karty a jsou psány bezchybnou češtinou.

Může se jednat o dva nezávislé útoky dvou různých skupin, anebo propracovanou taktiku. První vlně byla totiž věnována velká mediální pozornost, která mohla leckoho mylně přesvědčit o tom, že phishing vypadá takto nedokonale. Další podvodná varování toho také zneužívala a nabízela „ochranu“ před útokem. Stačí jen zadat své přihlašovací údaje…

Nikomu nevěřte
Obrana před phishingem je jednoduchá. Doručené maily ignorujte a pro přihlášení používejte výhradně oficiální stránku, nikdy neklikejte na odkazy uvedené v e-mailu.

Buďte zdravě paranoidní – propracovaný phishing využívá nejrůznějších metod psychologie a sociálního inženýrství. Nejčastější fintou, která bývá používána, je snaha vyvolat pocit, že je třeba přihlásit se k účtu hned – jinak o své peníze přijdete nebo budou údaje o vašem bankovnictví zveřejněny.

Nezapomeňte, že se phishing nemusí týkat jen elektronického bankovnictví. Stejným způsobem od vás mohou být lákány přihlašovací údaje k e-mailu nebo jiným službám.

Taktéž mějte na paměti, že phishing nemusí mít pouze elektronickou formu. Je jen otázkou času, než se objeví propracovanější metody útoku například pomocí papírové pošty nebo telefonu. Ty mohou být navíc konkrétně cíleny a to více nebezpečnější.