Phishing

Phishing je forma útoku s využitím metód tzv. sociálneho inžinierstva, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie.

čítanie na 5 min.

Čo je phishing?

Dostali ste už niekedy e-mail, textovú správu alebo inú formu elektronickej komunikácie zdanlivo prichádzajúcu z banky alebo inej online služby, ktorej obsahom bola žiadosť o „potvrdenie“ prístupových údajov k vášmu účtu, čísla kreditnej karty alebo iných citlivých informácií? Ak áno, tak už máte predstavu o tom, ako vyzerá bežný phishingový útok. Táto technika sa používa na získanie cenných používateľských údajov, ktoré môžu útočníci predať alebo zneužiť na nekalé účely ako vydieranie, krádež peňazí alebo krádež identity.

Koncept phishingu prvýkrát popísali Jerry Felix and Chris Hauck v roku 1987 v štúdii s názvom „System Security: A Hacker’s Perspective“ (uverejnená v publikácii Interex Proceedings obsahujúcej zápis z priebehu konferencie Interex z roku 1987). Štúdia zahŕňala opis techniky, pri ktorej sa útočník vydáva za hodnovernú inštitúciu alebo službu. Samotný výraz „phishing“ je homofónnou podobou anglického slova „fishing“, ktoré v preklade znamená rybolov, a naznačuje podobný význam chytania obete na návnadu. Začiatočné písmená „ph-“ sú odkazom na tzv. “phreaks”, skupinu hackerov, ktorí v deväťdesiatych rokoch minulého storočia pri svojom experimentovaní s možnosťami telekomunikačných systémov zašli až za hranice legálnosti.

Ako funguje phishing?

Phishing sa v rámci kybernetického sveta objavuje už roky a za tento čas útočníci stihli vyvinúť široké spektrum metód, ako z obetí vylákať citlivé údaje.

Najčastejšou technikou neoprávneného získavania údajov je vydávať sa za banku alebo finančnú inštitúciu prostredníctvom falošného e-mailu. Tento e-mail má obeť priviesť k tomu, aby vyplnila falošný formulár, ktorý je uvedený priamo v správe alebo v jej prílohe, alebo aby navštívila konkrétnu webovú stránku, ktorá si následne vyžiada zadanie prihlasovacích údajov alebo podrobností o účte.

V minulosti sa na tento účel často používali nesprávne napísané alebo zavádzajúce názvy domén. V súčasnosti útočníci využívajú sofistikovanejšie metódy, takže odkazy a falošné webové stránky sa svojim legitímnym náprotivkom skutočne veľmi podobajú.

Informácie, ktoré útočník podvodom získa, najčastejšie zneužije na odcudzenie peňazí z bankového účtu obete alebo ich predá na internete.

Podobné útoky sa vykonávajú aj prostredníctvom telefonických hovorov (vishing) a SMS správ (smishing).

Spearphishing

Spearphishing je sofistikovanejšia metóda neoprávneného získavania údajov, pri ktorej je útok zameraný na konkrétne skupiny, organizácie alebo dokonca jednotlivcov. Autori spearphishingových e-mailov si o svojich cieľoch vždy najskôr spravia podrobný prieskum, na základe ktorého pripravia hodnoverne vyzerajúci e-mail s takým obsahom, ktorý obeť len ťažko odhalí ako podvodný.

Útoky zacielené na konkrétnych, zväčša profesijne vysoko postavených jednotlivcov (napríklad vrcholových manažérov alebo majiteľov) sú označované ako „whaling“ (v preklade lov veľrýb) kvôli veľkosti potenciálneho zisku (keďže ide o „veľké ryby").

Ako rozpoznať phishing?

E-mail alebo elektronická správa môže obsahovať oficiálne logo alebo iné poznávacie znamenia hodnovernej organizácie, no i napriek tomu môže ísť o phishing. Nižšie uvádzame niekoľko častých znakov phishingových správ, ktoré vám môžu pomôcť takúto správu včas odhaliť.

Všeobecné alebo neformálne oslovenia – ak správe chýba osobnejší prístup (obsahuje všeobecné oslovenie, napr. „Vážený zákazník“) a formálnosť, treba zbystriť pozornosť. To isté platí aj pre falošné zdanie jedinečnosti danej správy použitím náhodných referenčných čísel.
Žiadosť o osobné informácie – vyžiadanie osobných údajov prostredníctvom e-mailu je bežné pri phishingu, no banky, finančné inštitúcie a väčšina online služieb sa takýmto žiadostiam zväčša zámerne vyhýbajú.
Slabá jazyková úroveň – pravopisné chyby, preklepy a nezvyčajné vetné formulácie často naznačujú, že ide o falošnú správu (absencia takýchto chýb však nie je zárukou toho, že ide o legitímnu správu).
Neočakávaná korešpondencia – nevyžiadané správy od banky alebo poskytovateľa online služieb sú veľmi nezvyčajné a podozrivé.
Pocit naliehavosti – phishingové správy sa často svojím obsahom pokúšajú primäť obeť konať rýchlo a neuvážene.
Ponuka, ktorá sa nedá odmietnuť? – ak znie správa až príliš dobre na to, aby to bola pravda, takmer vždy ide o podvod.
Podozrivá doména– všímajte si doménu v adrese odosielateľa, pretože vaša banka zrejme nebude poslať e-mail napríklad z čínskej domény.

Ako sa chrániť pred phishingom?

Aby ste phishingovým útočníkom neskočili na návnadu, vždy si spomeňte na vyššie uvedené znaky, ktorými sa phishingové správy najčastejšie prezradia.

Informujte sa o nových phishingových technikách: sledujte v médiách správy o phishingových útokoch, keďže útočníci vždy môžu prísť s novými technikami, ako používateľov vlákať do pasce.
Buďte obozretný pri poskytovaní osobných údajov: ak dostanete e-mail, prostredníctvom ktorého vás bude zdanlivo hodnoverná osoba či inštitúcia žiadať o vaše prihlasovacie údaje alebo iné citlivé informácie, vždy postupujte s maximálnou opatrnosťou. Ak je to potrebné, overte si obsah správy priamo u odosielateľa alebo organizácie, ktorú navonok zastupuje (použite však zaručene správne kontaktné údaje, teda nie tie uvedené v správe).
Kliknutie si dvakrát premyslite: neklikajte na odkazy a nesťahujte prílohy v podozrivých správach. Takýmto spôsobom sa totiž môžete dostať na škodlivé webové stránky alebo infikovať vaše zariadenie malvérom.
Pravidelne kontrolujte svoje online účty: aj keď nemáte podozrenie, že sa niekto pokúša ukradnúť vaše prístupové údaje, skontrolujte si svoj bankový účet a ostatné online účty, aby ste sa presvedčili, že v nich nedošlo k žiadnej podozrivej aktivite. Len pre istotu...
Používajte spoľahlivé anti-phishingové riešenie. Aplikujte tieto techniky a „užívajte si bezpečnejšie technológie“.

Viac informácií o phishingu nájdete tu a tu.

Zaujímavé príklady

Systematický phishing sa začal v roku 1995 v sieti spoločnosti America Online (AOL). Útočníci, ktorých cieľom bolo ukradnúť prístupové údaje k účtom, kontaktovali obete prostredníctvom služby AOL Instant Messenger (AIM), pričom zväčša predstierali, že sú zamestnancami spoločnosti AOL a overujú používateľské heslá. Pojem „phishing“ sa objavil v diskusnej skupine komunikačného systému Usenet, zameranej na nástroj nazvaný AOHell, ktorý túto metódu automatizoval, a označenie sa ujalo. Po tom, čo spoločnosť AOL v roku 1997 prijala potrebné protiopatrenia, si útočníci uvedomili, že rovnakú techniku by mohli využiť aj v iných častiach online sféry – začali sa vydávať za finančné inštitúcie.

Jeden z prvých veľkých, i keď neúspešných pokusov sa uskutočnil v roku 2001 v snahe využiť chaos teroristických útokov z 11. septembra. Útočníci rozposlali e-mailové správy, v ktorých žiadali svoje obete o kontrolu totožnosti, aby mohli získané osobné údaje využiť na ukradnutie finančných údajov z elektronickej peňažnej služby E-Gold.

Trvalo len tri roky, kým sa phishing napevno zakorenil v online svete a do roku 2005 už peňažné škody spôsobené phishinovými útokmi dosiahli v rámci USA viac ako 900 miliónov amerických dolárov.

Podľa prieskumu globálneho phishingu (Global Phishing Survey), ktoré vypracovalo združenie APWG, bolo v roku 2016 zaznamenaných viac ako 250 000 jedinečných phishingových útokov, pričom sa použil rekordný počet názvov domén zaregistrovaných na nekalé účely – viac ako 95 000. V posledných rokoch sa útočníci zameriavali predovšetkým na bankovníctvo, finančné a peňažné služby, zákazníkov internetových obchodov, sociálne siete a prístupové údaje k e-mailovým kontám.