Phishing

Phishing je forma útoku s využitím metód tzv. sociálneho inžinierstva, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie.

čítanie na 5 min.

Čo je phishing?

Dostali ste už niekedy e-mail, textovú správu alebo inú formu elektronickej komunikácie zdanlivo prichádzajúcu z banky alebo inej online služby, ktorej obsahom bola žiadosť o „potvrdenie“ prístupových údajov k vášmu účtu, čísla kreditnej karty alebo iných citlivých informácií? Ak áno, tak už máte predstavu o tom, ako vyzerá bežný phishingový útok. Táto technika sa používa na získanie cenných používateľských údajov, ktoré môžu útočníci predať alebo zneužiť na nekalé účely ako vydieranie, krádež peňazí alebo krádež identity.

Ako funguje phishing?

Phishing sa v rámci kybernetického sveta objavuje už roky a za tento čas útočníci stihli vyvinúť široké spektrum metód, ako z obetí vylákať citlivé údaje.

Najčastejšou technikou neoprávneného získavania údajov je vydávať sa za banku alebo finančnú inštitúciu prostredníctvom falošného e-mailu. Tento e-mail má obeť priviesť k tomu, aby vyplnila falošný formulár, ktorý je uvedený priamo v správe alebo v jej prílohe, alebo aby navštívila konkrétnu webovú stránku, ktorá si následne vyžiada zadanie prihlasovacích údajov alebo podrobností o účte.

V minulosti sa na tento účel často používali nesprávne napísané alebo zavádzajúce názvy domén. V súčasnosti útočníci využívajú sofistikovanejšie metódy, takže odkazy a falošné webové stránky sa svojim legitímnym náprotivkom skutočne veľmi podobajú.

Ako rozpoznať phishing?

E-mail alebo elektronická správa môže obsahovať oficiálne logo alebo iné poznávacie znamenia hodnovernej organizácie, no i napriek tomu môže ísť o phishing. Nižšie uvádzame niekoľko častých znakov phishingových správ, ktoré vám môžu pomôcť takúto správu včas odhaliť.

Ako sa chrániť pred phishingom?

Aby ste phishingovým útočníkom neskočili na návnadu, vždy si spomeňte na vyššie uvedené znaky, ktorými sa phishingové správy najčastejšie prezradia.

Viac informácií o phishingu nájdete tu a tu.

Zaujímavé príklady

Systematický phishing sa začal v roku 1995 v sieti spoločnosti America Online (AOL). Útočníci, ktorých cieľom bolo ukradnúť prístupové údaje k účtom, kontaktovali obete prostredníctvom služby AOL Instant Messenger (AIM), pričom zväčša predstierali, že sú zamestnancami spoločnosti AOL a overujú používateľské heslá. Pojem „phishing“ sa objavil v diskusnej skupine komunikačného systému Usenet, zameranej na nástroj nazvaný AOHell, ktorý túto metódu automatizoval, a označenie sa ujalo. Po tom, čo spoločnosť AOL v roku 1997 prijala potrebné protiopatrenia, si útočníci uvedomili, že rovnakú techniku by mohli využiť aj v iných častiach online sféry – začali sa vydávať za finančné inštitúcie.