První česká phishingová akce


Možná jste také zaslechli o tom, co se v oblasti internetové bezpečnosti stalo minulý týden.
Každý, kdo dostal falešný email od České spořitelny, byl pomocí odkazu vyzván, aby se v zájmu bezpečnosti přihlásil do webového rozhraní ČS a aktivoval tak nové zabezpečení. Namísto přihlášení do administrace se však dočkal pouhého ,,OK ve smyslu ,,Děkujeme za Vaše přihlašovací údaje.

Pojem phishing vychází z anglického slovíčka fishing, neboli rybaření, se kterým toho má mnoho společného. Nejde o nic jiného, než oklamání uživatele, který se poté ,,chytí na háček. Základní neznalost uživatelů internetu je přitom poslední dobou nejrozšířenějším způsobem, jak na internetu něco ukrást. Přitom si stačí přešíst tak málo, a tyto základní, z technického hlediska trapné způsoby nachytání uživatele, na Vás nemůžou platit.

Základní zásady

Pozor na na jaký email odpovídáte

Ať se Váš příchozí email tváří jakkoliv důvěryhodně, neodpovídejte na něj, pokud mail skutečně nečekáte a vůbec, pokud se obsah emailu jakýmkoliv způsobem týká Vašeho  účtu k bance, či pouze přístupu k  samotnému emailu. Ačkoliv se ve zpáteční adrese Vašeho emailového klienta může objevit důvěryhodná adresa, podrobným prozkoumáním emailu lze zjistit, že po odpovězení odchází email úplně někam jinam. Jak to zjistit? V emailovém klientovi se před odesláním citlivých dat podívejte, do jaké EMAILOVÉ schránky email odchází - většina klientů (Outlook, Thunderbird) totiž standardně zobrazuje pouze jméno, do kterého může útočník napsat libovolný řetězec, a tedy i emailovou adresu - ovšem jinou, než na kterou mail odchází. Pamatujete, když jste nastavovali email a museli napsat jméno? Někdo si k zobrazovanému jménu dává tituly, někdo zase jiný email, než ten, ze kterého píše.

Pamatujte si jedno - ani banka, ani freemailová služba po Vás nikdy po emailu nedudou chtít přístupové údaje změnit, nebo je dokonce někam zadat (koneckonků proč, když je znají???). Existují různé druhy emailů o tom, že Váš účet je ohrožen a musíte to udělat co nejrychleji. Avšak nezmatkujte, neboť se Vám to nemusí vyplatit.....

Pozn : vyskytuje se také mnoho případů, kdy se emailová schránka tváří skutečně jako od provozovatele. Například na freemailové službě od Seznamu si nedávno někdo zřídil účet administratori@seznam.cz a pokoušel se poměrně úspěšně získat hesla od ostatních uživatelů.

Neklikejte na odkazy v emailu

Nyní již víme, že email nemusí být až tak důvěryhodný, jak se zdá dle adresy odesílatele. Pokud skutečně uvěříte obsahu, do hlavy si zapiště jedno - NEKLIKEJTE NA ODKAZY V EMAILU v případě sdělování citlivých informací. Proč? Způsob je to obdobný, jako u zamaskování emailu. Kdo umí tvořit odkazy v našem systému, ví, že odkaz se skládá z adresy, kam odkaz směřuje, a z jeho jména. Při zvládnutí této primitivní věci není těžké neznalému čtenáři ,,nakukat, že www.seznam.cz byl koupen Googlem. Po kliknutí na odkaz uvidíte, že není složité odkaz umístit jinam.

Úplně stejným způsobem došlo k phishingové akci minulý týden. Uživatelé kliknuli na důvěryhodný odkaz, objevila se jim skutečná přihlašovací schránka do ČS (tedy skutečně okopírovaná) a uživatelé zadali skutečné údaje. Poté mohli přijít o skutečné peníze. Proč?

Protože si nevšimli základních věcí, které by měl znát každý, kdo se alespoň někam přihlašuje. Za prvé, pokud se přihlašujete do banky či emailu a máte nutkání se do něj přihlásit přes odkaz v emailu, zkontrolujte si alespoň to základní - podívejte se v prohlížeči, zda se skutečně nacházíte na webové adrese své banky, nebo sběrače kont někde v Asii. Poznáte to většinou dle toho, že adresa zloděje má pouze číselnou adresu ve stylu 212.133.134.22, nikoliv www.mojebanka.cz či něco podobného. Za druhé, při přihlašování do podobných služeb se přihlašujete se zabezpečením, což znamená, že před adresou nemáte http://, ale https://, a navíc po Vás banka chce ověření elektronického certifikátu. Při klikání na odkaz z emailu je skutečně dobré porovnat klíč, který vypadá spíše jako shluk znaků, s tím, co Vám dala banka při podepisování smlouvy.

Jaké je nejlepší řešení, pokud se chcete přihlásit bezpečně? Zadejte si adresu své banky a do svého účtu se klasicky proklikejte, nebo si adresu uložte do oblíbených položek. Například KB má možnost přihlášení do e-bankovnictví na první kliknutí z hlavní strany.

Výše uvedené se nemusí týkat pouze emailu - pokud kdekoliv na webu naleznete odkaz na zadání své kreditní karty, doporučujeme, abyste se také raději dvakrát podívali, kam údaje skutečně zadáváte. Platba v seriózním e-shopu většinou probíhá zabezpečeně a na stránkách banky, i kdyby tedy majitel e-shopu byl ,,sběračem dat, k Vašim údajům se nedostane. Pozor však, jestli jste skutečně na stránkách banky :) 
 
Domů | Spolupráce | Slovníček pojmů | WWW zdarma