Zpět na webový portál

Phishing aneb jak se rybaří data na internetu (1/5)

Phishing je anglická slovní hříčka založená na slově fishing (rybaření) ve smyslu nahození udičky, na kterou se někdo chytí. Česky se mu proto taky říká rhybaření. Jde o nástroj sociálního inženýrství.

Nejčastěji se s ním setkáte v podobě phishingového webu. Mívá podobu kopie přihlašovací stránky banky, ale může jít třeba i o přihlašovací stránku Facebooku. Oběť se na web většinou dostane kliknutím na odkaz v e-mailu nebo z internetové reklamy v domnění, že jde o skutečný web banky. Zadá proto přihlašovací údaje, které zloděj okamžitě využije pro vykradení účtu. Pokud jde o phishingu facebookového účtu, zloděj ho využije k útoku na přátele oběti nebo ho nějak zpeněží.

Phishing je anglická slovní hříčka založená na slově fishing (rybaření) ve smyslu nahození udičky, na kterou se někdo chytí. Česky se mu proto taky říká rhybaření. Jde o nástroj sociálního inženýrství.

Nejčastěji se s ním setkáte v podobě phishingového webu. Mívá podobu kopie přihlašovací stránky banky, ale může jít třeba i o přihlašovací stránku Facebooku. Oběť se na web většinou dostane kliknutím na odkaz v e-mailu nebo z internetové reklamy v domnění, že jde o skutečný web banky. Zadá proto přihlašovací údaje, které zloděj okamžitě využije pro vykradení účtu. Pokud jde o phishingu facebookového účtu, zloděj ho využije k útoku na přátele oběti nebo ho nějak zpeněží.

Málokdo si v adresní řádce prohlížeče ověří, že je opravdu na správné stránce. Poměrně často to ani nepoznáte, protože phishing do falešné domény nějak zakomponuje tolik potřebné slovo (třeba facebook). Phishingové weby dnes navíc běžně mají „zámeček“ signalizující zabezpečenou stránku a komunikují přes bezpečnější https.

Phishing běžně slouží i k prosté online krádeži platební karty – útočníci oběť přivedou na web, který požaduje ověření věku zadáním platební karty a tvrdí, že z ní nic nestrhne. Což pochopitelně nesplní. Některé typy phishingu se používají k nasazení viru (např. trojského koně) do počítače. Takovému útoku se říká spear phishing.

Dnešní prohlížeče vás umí varovat, že se chystáte vstoupit na phishingový web. Neberte jejich varování na lehkou váhu. Podobně to umí některé z antivirových či antimalwarových programů. Spoléhat se ale jen na ně není úplně v pořádku.

Jak může phishing vypadat v reálu?

Phishingový útok na klienty Equa bank

„Nová zpráva od Equa bank“ a e-mail s obrázkem, který sděluje to samé. E-mail odesílatele je ale falešný.

 V téhle phishingové cestě byla i kopie webu EquaBank včetně přihlášení. Po přihlášení se dokonce zobrazilo internetové bankovnictví a informace o odeslaném autorizačním kódu přes SMS.

Poměrně komplikovaná cílová adresa (lopezess.com/eq/7b2479906c5d7b5b0b2b14732F4200195d70fa790f55b10195d33e3e57c9d29db020014556a/index.php) by sice případného příjemce měla varovat, ale lidé délku odkazu málokdy zkoumají, a pokud otevřete e-mail v telefonu, je prakticky nemožné si ho celý zobrazit.

Phishingový útok na klienty O2 Czech Republic

SMS v mobilu pod hlavičkou O2 láká na účast v soutěži o hodnotné ceny.

Pod touhle záminkou se podvodníci snaží získat číslo uživatele kreditní karty a další osobní informace. Kontrolujte proto v adresní řádce prohlížeče, jestli jste opravdu na webu odesilatele zprávy a hlavně nezadávejte citlivé údaje jako rodné číslo nebo číslo kreditní karty. Soutěžní portály seriózních firem je po vás nikdy chtít nebudou.

Podklady ke stažení

Videa