6 tipů, jak se úspěšně bránit proti phishingu
Phishing je typ kybernetického útoku, při kterém útočníci získávají citlivé informace za pomoci podvodných sdělení. I v roce 2024 zůstává Phishing jednou z největších, a i nejčastějších hrozeb pro uživatele nejen na internetu. Před jakými útoky byste měli být na pozoru a jak se jim úspěšně bránit?
Každý den přijdou občané ČR kvůli podvodným telefonátům o 500 tisíc Kč. Říkáte si, že vám se to stát nemůže? Vynalézavost útočníků nezná mezí. Zatímco základní principy phishingu zůstávají stejné, techniky a metody útočníků se neustále zlepšují, a tak je potřeba být neustále ve střehu.
Jaké nejnovější techniky phishingu existují?
Spear Phishing za pomoci umělé inteligence: Útočníci stále častěji využívají umělou inteligenci k vytváření personalizovaných phishingových útoků. AI dokáže analyzovat z veřejně dostupných informací o cíli (osobě), nejčastěji na sociálních sítí, spousta informací. A na základě těchto dat vytvořit velmi důvěryhodné zprávy, které jsou cílené přesně na danou osobu a tím zvyšují šance na úspěch útoku.
Phishing prostřednictvím sociálních sítí: Sociální sítě jsou čím dál tím častějším cílem phishingových útoků. Útočníci k útoku využívají falešné profily a přímé zprávy k oklamání uživatelů. Často se vydávají za přátele, zákazníky nebo kolegy, což zvyšuje důvěryhodnost jejich zpráv. A opět využívají informací, které vy sdílíte.
Voice Phishing (Vishing): Vishing zahrnuje použití telefonních hovorů k podvodným účelům. Útočníci se často vydávají za zástupce bank, poskytovatele služeb nebo vládní instituce, aby získali osobní a finanční informace obětí. Když vyhledáte číslo na internetu, ze kterého útočník volá, jeví se jako skutečné, protože ho dokáže napodobit.
Phishingové útoky na mobilní zařízení: S rostoucím používáním chytrých telefonů se útočníci zaměřují na mobilní zařízení prostřednictvím SMS (smishing) nebo mobilních aplikací. Tyto útoky jsou často velmi sofistikované a mohou zahrnovat i falešné aplikace dostupné ke stažení nebo podezřelé odkazy na falešné webové stránky.
Deepfake Phishing: Tato technika využívá technologie deepfake k vytvoření falešných videí nebo zvukových záznamů, které napodobují skutečné osoby. Útočníci mohou například vytvořit falešný videozáznam vedoucího pracovníka, který žádá zaměstnance o zaslání citlivých informací.
„Při phishingu je typické, že na vás útočníci chrlí informace velkou rychlostí a vytváří pocit urgence, která často ve spojitosti s financemi u člověka vzbuzuje stres. Jde například o situace, kdy vám někdo tvrdí, že jste byli hacknutí, někdo si na vaši občanku vzal úvěr nebo vám někdo vybílil bankovní účet. Takto získané citlivé informace později využijí ve svůj prospěch,“ upřesňuje Štefan Tusjak, lektor IT kurzu pro Python developery v ENGETU.
– Štefan Tusjak
Jak se bránit phishingovým útokům?
Informovanost a ostražitost: Jedním z nejlepších způsobů, jak se bránit phishingovým útokům, je být v obraze. Pravidelně sledujte nové typy útoků a zjišťujte si informace, jak je rozpoznat.
Používání vícefaktorové autentizace (MFA): MFA přidává další vrstvu ochrany tím, že vyžaduje více než jen heslo pro přihlášení. To může výrazně snížit riziko úspěšného phishingového útoku.
Aktualizace softwaru a zabezpečení: Udržování všech aplikací a operačních systémů aktuálních je zásadní pro ochranu proti phishingovým útokům. Aktualizace často obsahují opravy bezpečnostních chyb, kterých mohou útočníci zneužít ve svůj prospěch.
Ověřování žádostí o citlivé informace: Před poskytnutím jakýchkoli citlivých informací si vždy ověřte identitu žadatele, například prostřednictvím jiného komunikačního kanálu. Pokud vám útočník volá z falešného čísla a vyvíjí na vás nátlak, zavěste a zavolejte mu zpět. Při dovolání se skutečné instituci pravděpodobně zjistíte, že se jednalo o podvod.
Používání anti-phishingových nástrojů: Existuje mnoho softwarových nástrojů a rozšíření pro prohlížeče, které mohou pomoci detekovat a blokovat phishingové pokusy.
Ostražitost při klikání na odkazy a otevírání příloh: Buďte extrémně opatrní při otevírání e‑mailových příloh a klikání na odkazy, zejména pokud pocházejí z neznámých nebo neočekávaných zdrojů.
Banky a jiné důvěryhodné instituce nikdy nepožadují citlivé informace po telefonu (například rodné číslo).
„Abychom se ujistili, že mluvíme se správným člověkem, provádíme verifikaci v České spořitelně zásadně přes bankovní aplikaci George,“ dodává Petr Zíma, manažer klientské bezpečnosti, z České spořitelny.
Příklad útoku: Bankéř vám po telefonu začne vysvětlovat, že na vašem účtu v bance zaregistrovali několik podezřelých transakcí. Aby zamezili dalším podvodným transakcím, je nutné okamžitě jednat a sdělit jim své rodné číslo, číslo účtu a poslední transakce, které jste provedli.
„Útočníci jsou opravdu vynalézaví – existují i situace, kdy s vámi podvodník ukončí hovor a vzápětí vám zavolá falešná policie, aby zvýšila důvěryhodnost celé situace,“ popisuje Štefan Tusjak.
Co dělat, pokud se stanete obětí phishingu?
Jestliže své osobní údaje poskytnete podvodníkům, jednejte rychle a efektivně. Postupujte následovně:
Kontaktujte svoji banku, popište celou situaci a nechte si zablokovat všechny účty včetně karet.
Vše nahlaste policii.
Změňte své přihlašovací údaje.
Buďte obezřetní při dalších hovorech, zprávách apod.
Více tipů, jak rozpoznat podvodné praktiky, najdete na stránce www.velkeodhaleni.cz, která vznikla ve spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost a Policií ČR.