Naše webové stránky obsahujú odkazy na partnerské weby. Ak sa prekliknete z našich stránok na stránky partnera a tam si zakúpite jeho služby, obdržíme za sprostredkovanie províziu (Zistiť viac informácií). Táto forma spolupráce nijako neovplyvňuje objektívnosť našich recenzií. Každým nákupom cez kliknutie z našich stránok podporíte našu redakciu, aby sme aj do budúcnosti mohli tvoriť kvalitný a užitočný obsah. Ďakujeme.
Dôležité upozornenie Všetky naše články píšu skutoční ľudia. Nie sú to umelé texty od stroja.
Odhaľte a zastavte phishing: Rady ako rozpoznať phishing a zabrániť krádeži vašich údajov
Obsah
Phishingové útoky sú útoky zamerané na krádež prihlasovacích údajov do mailov, sociálnych sietí či iných aplikácií alebo informácií o platobných kartách.
Existuje prevencia? Je dôležité vedieť, ako rozpoznať phishingový útok a chrániť sa pred ním. Pomôže aj odstránenie vašich údajov z rôznych data brokerských zoznamov.
Čo je to phishing?
- Pri phishingu je cieľom útočníka získať vaše prihlasovacie údaje alebo informácie o platobných kartách.
- Phishing je najčastejšie vykonávaný mailom. Pokus vylákať od vás údaje však môže prebehnúť aj cez SMS správy alebo telefonicky.
- Útočník predstiera, že zastupuje verejnú inštitúciu, banku, internetový obchod, bazár, dopravnú alebo poštovú spoločnosť a podobne. Mail či správa útočníka zámerne napodobňuje ich komunikáciu: zneužije logo inštitúcie, použije rovnaké farby a grafickú úpravu mailu ako používa daná inštitúcia a podobne, čím navodzuje dojem pravosti mailu.
- Naliehavosť zareagovať na phishingový mail je často zámerne umocnená: Váš účet bol napadnutý! Máme pre vás exkluzívnu časovo obmedzenú ponuku!
- Obeť je požiadaná o potvrdenie alebo overenie prihlasovacích či finančných údajov pomocou falošného odkazu alebo obrázka. Po kliknutí na odkaz je obeť presmerovaná na web, ktorý tiež napodobňuje dizajn inštitúcie (falošné logo, firemné farby) za ktorú sa vydáva alebo sa do jej zariadenia nainštaluje malvér.
Aké druhy phishingu sú známe?
- Spear phishing sa zameriava na konkrétnu osobu v konkrétnej organizácii s cieľom ukradnúť jej prihlasovacie údaje. Útočník najprv zhromažďuje informácie o nej, ako je jej meno, pozícia a kontaktné údaje. Väčšinou sa potom pokúsi vylákať údaje pod falošnou pracovnou zámienkou.
- Whaling je spear phishing zameraný na vysoko postavené osoby v organizácii, ako sú riaditelia alebo manažéri. (Whale – veľryba, veľká ryba.)
- Smishing je realizovaný prostredníctvom SMS správ. Útočník posiela falošné správy, ktoré často obsahujú odkazy na škodlivé webové stránky.
- Vishing je telefonický útok. Útočník sa často vydáva za zamestnanca inštitúcie, technickú podporu alebo inú dôveryhodnú osobu.
- Pharming je technika, pri ktorej útočníci presmerujú legitímne webové stránky na falošné webové stránky. Tento typ útoku môže byť realizovaný zmenou DNS záznamov alebo použitím malvéru. Obeť si neuvedomuje, že je na falošnej stránke, a zadáva svoje osobné údaje, ktoré sú následne ukradnuté.
- Angler Phishing je používanie falošných účtov na sociálnych sieťach, prostredníctvom ktorých sa útočník vydáva za zákaznícku či technickú podporu. Obeť je kontaktovaná s ponukou pomoci a je požiadaná o poskytnutie osobných údajov alebo prístupových hesiel. Tento typ phishingu sa často zameriava na používateľov Facebooku alebo X (Twitteru). Urgencia je zvýšená oznamom, že ak príslušná akcia nebude vykonaná, bude konto na sociálnej sieti zablokované.
- Evil Twin Phishing zahŕňa vytvorenie falošnej Wi-Fi siete. Obeť sa pripojí k tejto falošnej sieti, čo umožňuje útočníkovi sledovať prenosy a získavať citlivé informácie. Tento typ útoku je často používaný na miestach s verejne dostupnou Wi-Fi, ako sú kaviarne alebo letiská.
- Watering Hole Phishing je infikovanie populárnych webových stránok malvérom. Útočník identifikuje často navštevované stránky a potom na ne umiestni škodlivý kód. Keď obeť navštívi túto stránku, jej zariadenie je infikované malvérom, ktorý zhromažďuje citlivé informácie.
- SEO Phishing sa často zameriava na populárne vyhľadávané kľúčové slová. Falošné webové strány sú optimalizované pre vyhľadávače, aby sa objavili vo výsledkoch vyhľadávania. Obeť klikne na výsledok vyhľadávania, ktorý vyzerá legitímne, ale vedie na phishingovú stránku, kde sú ukradnuté jej osobné údaje.
- Pop-Up Phishing zneužíva na získanie osobných údajov vyskakovacie okná na webových stránkach často maskované ako systémové upozornenia alebo aktualizácie. Obeť je vyzvaná, aby zadala svoje prihlasovacie údaje alebo iné citlivé informácie do vyskakovacieho okna, všetko vyzerá ako legitímna požiadavka.
- Website Spoofing zahŕňa vytvorenie falošnej webovej stránky, ktorá sa dizajnom podobá na legitímnu stránku, aby oklamala obeť. Cieľom je prinútiť obeť, aby zadala svoje osobné údaje alebo prihlasovacie údaje.
- Domain Spoofing na oklamanie obetí využíva nepozornosť obete. Útočník registruje doménu s drobnou zmenou, napríklad preklepom, inou doménovou koncovkou a podobne. Obeť je presvedčená, že je na správnej stránke a zadá svoje citlivé údaje.
- Image Phishing zahŕňa použitie obrázkov s vloženými škodlivými odkazmi alebo kódom. Obrázky môžu byť vložené do e-mailov, SMS správ aj webových stránok. Keď obeť klikne na obrázok, je presmerovaná na phishingovú stránku alebo je jej zariadenie infikované malvérom.
Ako rozpoznať phisingový útok?
- Útočníci vytvárajú pocit naliehavosti, snažia sa vyvolať vašu rýchlu reakciu bez premýšľania nad situáciou. Príklad: Dostanete mail, ktorý tvrdí, že musíte okamžite overiť svoje údaje, inak bude váš účet a sociálnej sieti zablokovaný.
- Ponuky, ktoré sú príliš výhodné, by vám mali byť podozrivé. Ak naviac majú obmedzenú platnosť, znovu na vás vyvíjajú tlak na okamžitú reakciu. Príklad: Mail tvrdí, že ste vyhrali v súťaži nový iphone, žiadajú vás, aby ste poskytli osobné údaje na zaslanie výhry. Vy ste sa však do žiadnej súťaže neprihlásili.
- Väčšina phishingových útokov napodobňuje legitímnych odosielateľov (telefónne čísla, mailové adresy, názvy webov, domén). Buďte pozorný, všímajte si preklepy alebo vynechané písmená ako aj celé adresy webov, na ktoré ste sa z mailu či správy preklikli. Príklad: Dostanete varovanie z webu Paypai namiesto Paypal, že musíte aktualizovať svoje platobné údaje.
- Gramatické chyby, hlavne v dôsledku automatizovaného prekladu. Príklad: Mail z „banky“ obsahuje vetu „Vaš bank účet bola hacknuta. Prosím kliknite na odkaz na reset heslo.“
- Linky skrátene cez skracovače, ktoré vedú na falošné stránky. Oficiálne maily z inštitúcií alebo eshopo nemajú dôvod obsahovať skrátené linky.
- Mailové prílohy s príponou .exe často obsahujú malvér alebo ransomvér. Na prílohu s koncovkou .exe z neznámej adresy nikdy neklikajte. Príklad: Mail od zdanlivo legitímneho odosielateľa obsahuje prílohu „Faktura_12345.exe“, po otvorení môže nainštalovať na váš počítač škodlivý kód.
Existuje prevencia?
Predovšetkým buďte pozorný a neotvárajte maily z neznámych adries alebo správy z neznámych telefónnych čísel. Všímajte si v doručených mailoch, správach či volaniach z neznámych čísel podozrivé znaky, ktoré sme uviedli vyššie.
Prečítajte si ako minimalizovať svoju digitálnu stopu. Čím viac osobných údajov o vás útočník nazbiera, tým sa zvyšuje pravdepodobnosť úspešnosti jeho útoku. Potenciálne riziko preto predstavujú aj rôzne zoznamy uniknutých alebo z verejne dostupných zdrojov zozbieraných osobných údajov. Takéto zoznamy vlastnia data brokerské spoločnosti. Predávajú ich tretím stranám, ktoré ich zvyčajne využívajú na rozosielanie nevyžiadaných mailov, nevyžiadané telefonáty, ale údaje z nich môžu byť zneužité aj na phishing.
Ak vám chodí veľa nevyžiadaných mailov alebo dostávate veľa nevyžiadaných hovorov, zrejme sú vaše údaje v nejakom z týchto zoznamov. S výmazom vašich údajov vám dokážu pomôcť rôzne služby ako Incogni.
- Incogni je určená pre obyvateľov USA, Spojeného Kráľovstva, EU, Švajčiarska a Kanady.
- Incogni spolupracuje s agentúrami a organizáciami na ochranu spotrebiteľských práv.
- Služba Incogni je navrhnutá v súlade s právnymi predpismi z oblasti ochrany osobných údajov – GDPR (General Data Protection Regulation ), UK GDPR a CCPA (California Consumer Privacy Act).
- Incogni má k dispozícii zoznamy data brokerov.
- Incogni overí, či sa v niektorej z databáz nachádzajú vaše údaje. Následne požiada brokerské firmy o vymazanie vašich údajov z ich databáz.
- Približne mesiac po zaslaní požiadavky Incogni overí, či sa vymazanie naozaj udialo.
- Počas trvania vášho predplatného Incogni pravidelne vykonáva kontroly, či brokeri vaše informácie znova nepridali do ich databáz.
- Všetky tieto kroky môžete sledovať v rozhraní aplikácie Incogni.
- Incogni je pre jednotlivcov veľmi výhodná, pretože okrem ochrany osobných údajov priensie aj úsoru času a právnu podporu: Ak ste doteraz netušili, že data brokerské firmy existujú, pravdepodobne neviete, kde ich hľadať. Aby ste v žiadosti o prístup k vašim údajom či ich vymazanie z databáz týchto firiem vedeli uviesť dostatočnú právnu argumentáciu, museli by ste si preštudovať legislatívu týkajúcu sa ochrany osobných údajov. Inak sa môže stať, že tieto firmy vaše žiadosti odignorujú.
- Incogni zabezpečí, aby žiadosť o odstránenie z brokerských databáz mala reálny dopad.
Tento rok som sa stretla s útokmi cez bazáre. Útočník sa snaží presvedčiť vás, aby ste mu vec zaslali na dobierku dopravnou spoločnosťou, tvrdí že zaplatí jej kuriérovi. Pošle vám správu, ktorá sa snaží presmerovať vás na falošnú stránku dopravnej spoločnosti, kde máte zadať údaje k vášmu bankovému účtu, kam vám budú peniaze vyplatené. Podvodník zrejme počíta s tým, že bazáre nevyužívajú overené platobné brány, ale skôr platby na účet a menej zbehlí používatelia internetových obchodov alebo zásielkových služieb mu naletia. Narazila som niekoľkokrát aj na falošné facebookové stránky, ktoré sa svojim názvom a grafickým dizajnom vydávali za zákaznícku podporu Facebooku a obsahovali výstrahu, že ich mám okamžite kontaktovať, inak bude môj účet zablokovaný.
Stretli ste sa aj vy s podobnými phishingovými podvodmi? Dokázali ste ich rozpoznať? Podeľte sa o svoje skúsenosti v komentároch.