Jak chránit peníze a osobní údaje na internetu

2024 Autor: Malcolm Clapton | [email protected]. Naposledy změněno: 2023-12-17 03:50

Čím lépe jste informováni, tím obtížnější je vás oklamat. Zde je vše, co potřebujete vědět o phishingu s Microsoftem.

Najděte ještě další tipy, jak se chránit před digitálními hrozbami.

Co je phishing a jak je nebezpečný

Phishing je běžný typ kybernetického podvodu, jehož účelem je kompromitovat a unést účty, ukrást informace o kreditních kartách nebo jakékoli jiné důvěrné informace.

Nejčastěji využívají kyberzločinci e-mail: například jménem známé společnosti posílají dopisy a pod záminkou výhodné propagace lákají uživatele na její falešné stránky. Oběť falešný nepozná, zadá přihlašovací jméno a heslo ze svého účtu, a tak uživatel sám předá data podvodníkům.

Trpět může kdokoli. Automatizované phishingové e-maily jsou nejčastěji zacíleny na široké publikum (stovky tisíc či dokonce miliony adres), ale existují i útoky zaměřené na konkrétní cíl. Nejčastěji jsou těmito cíli vrcholoví manažeři nebo jiní zaměstnanci, kteří mají privilegovaný přístup k firemním datům. Tato personalizovaná phishingová strategie se nazývá whaling, což se překládá jako „chytání velryb“.

Následky phishingových útoků mohou být zničující. Podvodníci mohou číst vaši osobní korespondenci, posílat phishingové zprávy okruhu vašich kontaktů, vybírat peníze z bankovních účtů a obecně jednat vaším jménem v širokém smyslu. Pokud podnikáte, je riziko ještě větší. Phisheři jsou schopni ukrást firemní tajemství, zničit citlivé soubory nebo uniknout data vašich zákazníků a poškodit tak pověst společnosti.

Podle zprávy o trendech phishingové aktivity Anti-Phishing Working Group jen v posledním čtvrtletí roku 2019 odborníci na kybernetickou bezpečnost odhalili více než 162 000 podvodných webových stránek a 132 000 e-mailových kampaní. Za tuto dobu se obětí phishingu stalo asi tisíc společností z celého světa. Zbývá zjistit, kolik útoků nebylo detekováno.

Evoluce a typy phishingu

Termín „phishing“pochází z anglického slova „fishing“. Tento typ podvodu skutečně připomíná rybaření: útočník hodí návnadu ve formě falešné zprávy nebo odkazu a čeká, až se uživatelé zakousnou.

Ale v angličtině se phishing píše trochu jinak: phishing. Místo písmene f se používá digraf ph. Podle jedné verze se jedná o odkaz na slovo falešný ("podvodník", "podvodník"). Na druhé straně - k subkultuře raných hackerů, kteří byli nazýváni phreakery ("phreakery").

Předpokládá se, že termín phishing byl poprvé veřejně použit v polovině 90. let na diskusních skupinách Usenet. V té době podvodníci spustili první phishingové útoky zaměřené na zákazníky amerického poskytovatele internetu AOL. Útočníci posílali zprávy s žádostí o potvrzení svých přihlašovacích údajů a vydávali se za zaměstnance společnosti.

S rozvojem internetu se objevily nové typy phishingových útoků. Podvodníci začali falšovat celé webové stránky a ovládli různé kanály a komunikační služby. Dnes lze takové typy phishingu rozlišit.

• E-mailový phishing. Podvodníci si zaregistrují poštovní adresu podobnou adrese známé společnosti nebo známého vybrané oběti a odesílají z ní dopisy. Přitom podle jména odesílatele, designu a obsahu může být falešný dopis téměř totožný s originálem. Pouze uvnitř je odkaz na falešnou stránku, infikované přílohy nebo přímá žádost o zaslání důvěrných dat.
• SMS phishing (smishing). Toto schéma je podobné předchozímu, ale místo e-mailu se používá SMS. Účastník obdrží zprávu z neznámého (obvykle krátkého) čísla s žádostí o důvěrná data nebo s odkazem na falešnou stránku. Útočník se například může představit jako banka a vyžádat si ověřovací kód, který jste obdrželi dříve. Ve skutečnosti podvodníci potřebují kód, aby se nabourali do vašeho bankovního účtu.
• Phishing na sociálních sítích. S rozšířením instant messengerů a sociálních médií zaplavily phishingové útoky i tyto kanály. Útočníci vás mohou kontaktovat prostřednictvím falešných nebo kompromitovaných účtů známých organizací nebo vašich přátel. Jinak se princip útoku od předchozích neliší.
• Telefonní phishing (vising). Podvodníci se neomezují pouze na textové zprávy a mohou vám zavolat. Nejčastěji se k tomuto účelu využívá internetová telefonie (VoIP). Volající se může vydávat například za pracovníka podpůrné služby vašeho platebního systému a požadovat údaje pro přístup do peněženky – prý kvůli ověření.
• Hledat phishing. Na phishing můžete narazit přímo ve výsledcích vyhledávání. Stačí kliknout na odkaz, který vede na falešnou stránku a nechat na ní osobní údaje.
• Pop-up phishing. Útočníci často používají vyskakovací okna. Při návštěvě pochybného zdroje se vám může zobrazit banner, který slibuje nějakou výhodu – například slevy nebo produkty zdarma – jménem známé společnosti. Kliknutím na tento odkaz se dostanete na stránku ovládanou kyberzločinci.
• Zemědělství. Nesouvisí přímo s phishingem, ale farmaření je také velmi častým útokem. V tomto případě útočník podvrhne data DNS tím, že uživatele automaticky přesměruje místo původních stránek na ty falešné. Oběť nevidí žádné podezřelé zprávy a transparenty, což zvyšuje efektivitu útoku.

Phishing se stále vyvíjí. Microsoft hovořil o nových technikách, které jeho antiphishingová služba Microsoft 365 Advanced Threat Protection objevila v roce 2019. Podvodníci se například naučili lépe maskovat škodlivé materiály ve výsledcích vyhledávání: legitimní odkazy se zobrazují nahoře, což uživatele vede na phishingové stránky prostřednictvím vícenásobných přesměrování.

Kyberzločinci navíc začali automaticky generovat phishingové odkazy a přesné kopie e-mailů na kvalitativně nové úrovni, což jim umožňuje efektivněji klamat uživatele a obcházet bezpečnostní opatření.

Microsoft se zase naučil identifikovat a blokovat nové hrozby. Společnost využila všech svých znalostí kybernetické bezpečnosti k vytvoření balíčku Microsoft 365. Poskytuje řešení, která potřebujete pro své podnikání, a zároveň zajišťuje účinnou ochranu vašich informací, včetně phishingu. Microsoft 365 Advanced Threat Protection blokuje škodlivé přílohy a potenciálně škodlivé odkazy v e-mailech, detekuje ransomware a další hrozby.

Jak se chránit před phishingem

Zlepšete svou technickou gramotnost. Jak se říká, kdo je předem varován, je ozbrojen. Nastudujte si bezpečnost informací sami nebo se poraďte s odborníky. I jen dobrá znalost základů digitální hygieny vám může ušetřit spoustu problémů.

Buď opatrný. Nesledujte odkazy ani neotevírejte přílohy v dopisech od neznámých partnerů. Pečlivě si prosím zkontrolujte kontaktní údaje odesílatelů a adresy navštívených stránek. Neodpovídejte na žádosti o osobní údaje, i když zpráva vypadá věrohodně. Pokud vás zástupce společnosti požádá o informace, je lepší zavolat na jejich call centrum a situaci nahlásit. Neklikejte na vyskakovací okna.

Používejte hesla moudře. Pro každý účet použijte jedinečné a silné heslo. Přihlaste se k odběru služeb, které varují uživatele, pokud se hesla k jejich účtům objeví na webu, a okamžitě změňte přístupový kód, pokud se ukáže, že byl prozrazen.

Nastavte vícefaktorové ověřování. Tato funkce navíc chrání účet například pomocí jednorázových hesel. V tomto případě budete muset při každém přihlášení k účtu z nového zařízení kromě hesla zadat i čtyř- nebo šestimístný kód, který vám zašleme prostřednictvím SMS nebo vygenerujete ve speciální aplikaci. Možná se to nezdá příliš pohodlné, ale tento přístup vás ochrání před 99 % běžných útoků. Pokud totiž podvodníci heslo ukradnou, bez ověřovacího kódu se stejně nedostanou.

Používejte možnosti přihlašování bez hesla. V těchto službách, kde je to možné, byste měli úplně opustit používání hesel a nahradit je hardwarovými bezpečnostními klíči nebo autentizací prostřednictvím aplikace na chytrém telefonu.

Používejte antivirový software. Aktuální antivirus částečně pomůže ochránit váš počítač před malwarem, který přesměrovává na phishingové stránky nebo krade přihlašovací údaje a hesla. Pamatujte ale, že vaší hlavní ochranou je stále dodržování pravidel digitální hygieny a dodržování doporučení v oblasti kybernetické bezpečnosti.

Pokud podnikáte

Následující tipy budou užitečné i pro majitele firem a vedoucí pracovníky společností.

Vyškolte zaměstnance. Vysvětlete podřízeným, jakým zprávám se mají vyhnout a jaké informace by neměly být zasílány e-mailem a jinými komunikačními kanály. Zakázat zaměstnancům používat firemní poštu pro osobní účely. Poučte je, jak s hesly pracovat. Za zvážení stojí také politika uchovávání zpráv: například z bezpečnostních důvodů můžete mazat zprávy starší než určité období.

Provádějte tréninkové phishingové útoky. Pokud chcete otestovat reakci svých zaměstnanců na phishing, zkuste předstírat útok. Zaregistrujte si například poštovní adresu podobnou té vaší a posílejte z ní dopisy podřízeným s žádostí, aby vám poskytli důvěrné údaje.

Vyberte si spolehlivou poštovní službu. Poskytovatelé bezplatného e-mailu jsou příliš zranitelní vůči obchodní komunikaci. Společnosti by si měly vybírat pouze zabezpečené firemní služby. Například uživatelé poštovní služby Microsoft Exchange, která je součástí sady Microsoft 365, mají komplexní ochranu proti phishingu a dalším hrozbám. Aby společnost Microsoft čelila podvodníkům, analyzuje každý měsíc stovky miliard e-mailů.

Najměte si odborníka na kybernetickou bezpečnost. Pokud to váš rozpočet dovoluje, vyhledejte kvalifikovaného odborníka, který bude poskytovat trvalou ochranu proti phishingu a dalším kybernetickým hrozbám.

Co dělat, když jste obětí phishingu

Pokud existuje důvod se domnívat, že se vaše údaje dostaly do nesprávných rukou, okamžitě jednejte. Zkontrolujte, zda vaše zařízení neobsahují viry a změňte hesla účtů. Informujte zaměstnance banky, že vaše platební údaje mohly být odcizeny. V případě potřeby informujte zákazníky o možném úniku.

Aby se takové situace neopakovaly, volte spolehlivé a moderní služby spolupráce. Nejlépe se hodí produkty s vestavěnými ochrannými mechanismy: bude to fungovat co nejpohodlněji a nebudete muset riskovat digitální zabezpečení.

Microsoft 365 například obsahuje řadu funkcí chytrého zabezpečení, včetně ochrany účtů a přihlášení před kompromitací pomocí integrovaného modelu hodnocení rizik, bezheselného nebo vícefaktorového ověřování, které nevyžaduje další licence.

Služba navíc poskytuje dynamickou kontrolu přístupu s posouzením rizik a zohledněním široké škály podmínek. Microsoft 365 také obsahuje vestavěnou automatizaci a analýzu dat a také vám umožňuje ovládat zařízení a chránit informace před únikem.