Určite si aj vy všímate rastúce úniky osobných údajov, najmä zo sociálnych sietí. Experti varujú pred nárastom hackerských útokov s využitím práve uniknutých údajov. Čím viac dát je dostupných, tým je potenciálna obeť vo väčšom ohrození. Preto je načase vedieť sa efektívne chrániť.
Manipulácia a zneužitie ľudských slabostí
Oficiálny názov je „sociálne inžinierstvo“. Nejde o nič iné, ako o manipuláciu zneužitím ľudských slabostí, ako sú sklony k zvedavosti, ľútosti, unáhleným reakciám pod stresom. Preto ide o jednu z najjednoduchších a zároveň najúspešnejších techník pri počítačových útokoch. Ich využitím sa vás útočníci snažia oklamať a tak docieliť, že im v omyle požadované údaje vydáte sami.
Ak sa sami seba pýtate: „Kto už by mohol chcieť moje údaje? Ja nie som pre hackerov zaujímavý/á.“ Pravdou však je, že sa nemôžete mýliť viac.
Máte identitu, ktorá sa dá zneužiť na trestnú činnosť. Ste uzlom v sieti, cez ktorý sa môžu útočníci dostať k vašim priateľom a známym. Na sociálnych sieťach môžete zdieľať rôzne informácie, pravdivé či nepravdivé. Máte počítač, ktorý možno ovládnuť a zneužiť na riadené útoky. Máte hlas vo voľbách, ktorí kandidáti túžia získať. A v konečnom dôsledku máte (aspoň nejaké) peniaze, ktoré sú zaujímavé vždy.
Takto by sme mohli pokračovať. Ste veľmi dôležitý článok. Áno, vy osobne. A preto sa musíte vedieť chrániť, ak sa nechcete stať bábkou v rukách „sociálnych inžinierov“. Medzi najčastejšie formy útokov patrí jednoznačne phishing.
Otestujte sa a ochráňte svoju identitu a peniaze!
S veľkou pravdepodobnosťou sa vám to už stalo. Príde vám e-mail zo známej inštitúcie či veľkej spoločnosti a žiada od vás úhradu za službu, ktorú ste si neobjednali alebo zadanie vašich údajov pod rôznymi zámienkami.
Vo phishingovom e-maili sa štandardne nachádza odkaz (link alebo tlačidlo), ktorý vás presmeruje na webovú stránku. Tá je niekedy na nerozoznanie od tej pravej. Ak si to nevšimnete, priamo útočníkovi zadáte svoje prihlasovacie údaje. Alebo rovno pošlete peniaze.
Nie je to tak dávno, keď boli podvodné e-maily, žiaľ, odosielané aj v našom mene. Tieto vyzývali na platbu za údajné predĺženie platnosti domény a zopár ľudí sa skutočne stalo obeťou týchto útokov.
Ako už iste chápete, phishing je podvodná technika, pomocou ktorej sa útočníci snažia od vás vylákať osobné údaje a často aj peniaze. Je to typ scam-u (z angl. podvod, švindeľ) s využitím techník sociálneho inžinierstva, teda manipulácie.
Zvyčajne najprv útočník zbiera údaje o svojej obeti. Pri súčasnom trende masívnych únikov dát zo sociálnych sietí nie je žiadny problém si potrebné údaje skrátka dohľadať na správnych miestach alebo kúpiť. Keď má útočník dostatočné množstvo dát, pokračuje ďalej a začína sa samotný phishing, teda „lovenie“ citlivých údajov od obete. Ako posledné využije útočník získané dáta a vy môžete prísť (nielen) o peniaze.
4 rady, ako sa brániť proti phishingu
Predstavte si, že ste dostali e-mail, ktorého odosielateľom má byť napríklad Slovenská pošta („SP“) a žiada od vás zaplatenie za prepravu údajného balíka. Takéto e-maily totiž chodia našim zákazníkom stále. Ako postupovať pri prvom podozrení?
1. Zamyslite sa nad tým, či je vôbec dôvod, aby ste takýto e-mail dostali
Objednali ste si v poslednej dobe nejaký balík? Ak áno, odkiaľ? Zaplatili ste vopred alebo platíte pri prevzatí? Potom predsa nie je dôvod, aby vám SP posielala výzvy na zaplatenie cez e-mail. Navyše, sama SP sa vyjadrila, že to nikdy nerobí.
2. Skontrolujte si skutočného odosielateľa e-mailu
V e-maili sa vám vždy zobrazuje meno odosielateľa. Útočník si väčšinou dá námahu s tým, aby to pôsobilo dôveryhodne, preto to nie je pre vás smerodajné. Dôležité je skontrolovať e-mailovú adresu odosielateľa:
Je na prvý pohľad zrejmé, že e-mail neprišiel z oficiálnej adresy SP. Doména ds-up.com je však skutočná a zobrazuje sa na nej webová stránka v španielskom jazyku spoločnosti v Madride. Jej e-mailový účet môže byť preto hacknutý.
O tom svedčí aj ďalší e-mail, ktorý prišiel nášmu zákazníkovi z rovnakej e-mailovej adresy, dokonca v rovnaký deň. Tentokrát mala byť odosielateľom Tatra banka:
3. Skontrolujte si predmet správy
Je text predmetu napísaný správne? Útočníci na upútanie pozornosti adresáta často používajú v predmete e-mailu aj známe skratky „RE:“ alebo „FWD:“. Napríklad „RE: VRÁTENIE PLATBY“. Ruku na srdce, však máte podvedomé nutkanie takýto e-mail otvoriť?
Cieľom je vyvolať u adresáta dojem, že ide o súčasť už existujúcej komunikácie, prípadne dokonca odpoveď na jeho/jej vlastný e-mail. Tým sa šanca bezmyšlienkovitého otvorenia e-mailu zvyšuje. V tomto prípade však túto techniku nepoužili.
4. Riadne si prečítajte text e-mailu. Aj 2-krát. Všímajte si štýl jazyka a chyby.
Väčšinou ide o automatické preklady textu z cudzieho jazyka. Zistíte to tak, že jazyk je prinajmenšom „neprirodzený“ a obsahuje chyby.
Poďme späť k nášmu e-mailu s balíkom:
Chyby viditeľné voľným okom:
- Dvojbodka za oslovením
- Chýbajúca alebo nesprávna interpunkcia v celom texte
- Nesprávne skloňovanie
- Slová v cudzom jazyku
- Nesprávne označenie odosielateľa (úplne dole)
- Chýbajúci e-mailový podpis (meno a priezvisko, funkcia alebo oddelenie, kontakt a pod.)
V e-maili chýbajú aj ďalšie štandardné údaje, napríklad číslo zásielky, odosielateľ balíka, možnosti trackovania (sledovania) zásielky, kontakt, na koho sa obrátiť, chýbajúci odkaz na spomínané „pravidlá“, ktoré už podľa odosielateľa „poznáte“ a podobne.
Na jednoznačné zamyslenie je, prečo by sme mali platiť za prepravu balíka a samotný balík osobitne? Formulácia textu má jediný cieľ – donútiť adresáta zaplatiť za domnelý „balík“. Lebo Slovenská pošta ako autorita hovorí, že je to potrebné urobiť a musíte to urobiť hneď. Takto je na vás vytvorený tlak a môže znížiť vašu ostražitosť. Práve vplyvom nátlaku odovzdáte svoje platobné údaje priamo útočníkovi.
PRO TIP: Ak presuniete kurzor myši nad link alebo tlačidlo v podozrivom e-maili, na ktorý máte podľa e-mailu kliknúť, bez kliknutia sa vám ukáže na spodnom (stavovom) riadku prehliadača / e-mailového klienta skutočná (cieľová) URL adresa. Z nej bude zrejmé, či má niečo spoločné s oficiálnou stránkou údajného odosielateľa.
Dobré odporúčania na záver:
- Neklikajte na odkazy v podozrivých e-mailoch. Ak si nie ste istý/á, radšej si otvorte stránku poskytovateľa služieb priamo z prehliadača. Už len tým si môžete ušetriť desiatky či stovky eur, či vyhnúť sa krádeži vašej identity. Za to to stojí.
- Vypestuje si návyk skontrolovať v priebehu pár sekúnd v došlom e-maili základné veci: e-mail odosielateľa – správnosť textu – link v emaili – urgentnosť e-mailu – zmysel e-mailu.
- Ak čokoľvek nesedí, choďte na oficiálny web zadaním jeho adresy do prehliadača. Alebo kontaktujte priamo danú inštitúciu (poštu, banku, poskytovateľa hostingu, e-shop atď.).
- Ak ste sa stali obeťou phishingu, ihneď si zmeňte prihlasovacie údaje, zablokujte platobnú kartu a čo najskôr kontaktujte svoju banku. Ďalší postup závisí na včasnosti vášho oznámenia a na pravidlách postupu každej banky.
- Všade, kde je to možné, si aktivujte dvojfaktorovú autentifikáciu. Napríklad vo svojom účte u nás vo WebSupporte to môžete urobiť úplne jednoducho.
Urobte si jednoduchý praktický test:
PRO TIP: Prejdite si týchto 17 testovacích e-mailov a staňte sa expertom alebo expertkou, ktorého/ktorú už žiadny phishing neoklame!
Máte aj vy skúsenosti s phishingom? Máte svoje vlastné tipy, ako ich odhaľovať? Dajte nám o nich vedieť a podeľte sa o ne v komentároch nižšie.
Vypočujte si na záver podcast o tom, ako premýšľajú kybernetickí špióni:
