18. 8. 2022

Bezpečné internetové bankovnictví: Phishing z vás udělá zlatou rybku

Možná jste si toho ještě nevšimli, ale již řadu let žijeme v prostředí všudypřítomného phishingu. Stačí jediná chyba, abyste se pro podvodníky stali zlatou rybkou, která jim nevědomky splní i více než tři přání…

Obětí phishingu se můžete stát mnohem snadněji, než si dokážete představit. Stačí chvíle nepozornosti, kliknutí na odkaz v podvrženém e-mailu, a stanete se další úlovkem podvodníků. Právě proto se tato nepoctivá technika nazývá anglickým termínem phishing, případně jeho českou alternativou: rhybaření. Útočník totiž skutečně připomíná rybáře. Místo do rybníka plného nic netušících ryb ale rozhazuje návnadu do e-mailového moře plného nic netušících lidí. A je smutnou pravdou, že podvodní on-line rybáři mají i v současnosti nemalé úlovky. Myslíte, že vám by se to stát nemohlo? Vyzkoušejte se ve vědomostním testu kyberbezpečnosti, možná vás některé informace překvapí.

Jak to vlastně funguje?

Základní princip phishingu je velmi jednoduchý, ukážeme si ho na příkladu podvodného e-mailu. Podvodník vám pošle e-mail, která vypadá jako zpráva od vaší banky. Napodobit grafickou podobu skutečného bankovního e-mailu je velmi snadné. Text je buď smyšlený, ale může také vycházet z informací na webu banky. Klíčovým rozdílem oproti e-mailům z banky je tlačítko nebo odkaz, případně jednoduchý formulář. Ten totiž odkazuje nikoli na web vaší banky, ale na stránky útočníka. Podvodný web, do kterého e-mail odkazuje, má klíčový úkol – vylákat přihlašovací a identifikační údaje, buď vaše nebo vaší karty. Jakmile je podvodníci získají, pokusí se z vašeho účtu vyčerpat co nejvíce peněz. K tomu může dojít vzápětí po získání údajů. Rozhodně tedy nespoléhejte na to, že bude pachatelům nějaký čas trvat, než „na vás přijde řada“.

Jak můžete poznat phishing?

  1. Zpráva je naléhavá, vyvolává silné pozitivní nebo negativní emoce (něco jste vyhráli, čeká na vás nečekané dědictví, máte velký přeplatek za služby, anebo vám naopak něco hrozí) a musíte reagovat ihned. Phishing používá podobné techniky jako pouliční prodejci nebo teleshopping: je to důležité, není čas to odkládat, můžete přijít o peníze, zbytečně nad tím nepřemýšlejte, klikněte, teď hned! Cílem je vyvolat ve vás znepokojení, ve kterém nebude podrobněji zkoumat obsah a smysl zprávy. Čím déle si budete e-mail prohlížet, tím větší šance je, že na podvod přijdete. A tomu chtějí jeho autoři zabránit.

  2. Jsou vyžadovány vaše osobní nebo přístupové údaje. Cílem phishingu je získání přístupu k vašemu účtu (v bance, ale také na Facebooku, Gmailu či jiné on-line službě), k vaší kartě nebo k vašim osobním údajům. Často používá argumenty typu: aktualizovali jsme systém a vy se do něj nyní musíte znovu přihlásit, vaše přihlašovací heslo exspirovalo a musíte ho potvrdit novým přihlášením apod.

  3. E-mail oznamuje chybu, například při platbě, i když jste žádnou takovou operaci neprováděli. Phishing může spoléhat na vaši nedůvěru ve vlastní paměť. Pokud vám přijde zpráva, že platba nebyla provedena a je třeba ji znovu potvrdit, řada lidí bezmyšlenkovitě klikne na nabízený odkaz, aniž by se zamyslela, zda vůbec nějaká platba měla proběhnout. Pokud vám takovýto e-mail přijde a nejste si jisti, zkontrolujte nastavení plateb, ale vždy pouze řádným přihlášením do internetového bankovnictví. Nikdy nepoužívejte odkaz z e-mailu.

  4. Adresa odkazu nebo stránky, na kterou jste se po kliknutí na odkaz dostali, neodpovídá adrese vašeho internetové bankovnictví nebo banky. Podvodníci často zkoušejí najít co nejpodobnější adresu, proto se může lišit třeba jen doména nejvyššího řádu (namísto cz je za poslední tečkou v adrese cy) nebo adresa může obsahovat nenápadný překlep (místo www.mojeprvnibanka.cz podsunou podvodníci např. adresu www.mojeprvnibnaka.cz). Falešná adresa také může vaši banku napodobovat svým textem, i když ve skutečnosti bance vůbec nepatří (například místo adresy www.mojeprvnibanka.cz použijí podvodníci adresu www.mojeprvnibanka-prihlaseni.cz apod.).

  5. Prohlížeč hlásí použití nezabezpečeného protokolu. Bankovní weby standardně používají zabezpečený protokol, který snadno poznáte podle prvních znaků adresy stránky – začíná zkratkou https – a také podle symbolu zámečku na začátku adresního řádku prohlížeče. Pokud zámeček chybí a v úvodu adresy je pouze http, nejde o zabezpečenou stránku, a tedy ani o web vaší banky.

Když vám přijde podezřelý e-mail…

Pokud vám přijde zpráva, u které si nejste jisti její pravostí, nebojte se kontaktovat svoji banku. Pokud by skutečně šlo o phishing, bude vám banka naopak vděčná za to, že jste ji na problém obratem upozornili. Jak se zachovat?

  • Nepostupujte podle scénáře uvedeného v e-mailu. Útočník se vždy snaží svoji potenciální oběť krok za krokem navigovat, aby se se dopustila jedné nebo více bezpečnostních chyb.

  • Na nic v e-mailu neklikejte. Pokud si nejste jisti pravostí mailu, ověřte si informace z jiné strany – zavolejte do banky, vyhledejte si informace na internetu.

  • Pokud váš poštovní program nebo poštovní služba na webové stránce hlásí, že k doručené zprávě patří obrázky, které je třeba stáhnout, stažení odmítněte nebo výzvu ignorujte.

  • Zavolejte na zákaznickou linku banky a řekněte, že jste dostali zprávu, u které si nejste jisti, zda opravdu pochází od banky. Banku kontaktujte i v případě, že nejste jejím klientem.

  • Pokud vás zákaznická linka požádá, abyste zprávu přeposlali do banky, učiňte tak. Předáním e-mailu umožníte bezpečnostním specialistům detailní prozkoumání podvodné zprávy.

  • Pokud jste již odkaz v e-mailu klikli a zobrazila se vám stránka, která po vás chce zadat přístupové údaje o kartě nebo jiné informace, zavřete záložku nebo celý prohlížeč. Poté doporučujeme spustit antivirovou a antispywarovou kontrolu počítače. Není totiž výjimkou, že podvodné stránky obsahují škodlivé kódy, aby útočníci měli prospěch i z těch, kteří nebudou chtít svá data svěřit pochybnému webu.

  • Pokud jste na odkaz klikli a zadali do podvodné stránky své přihlašovací údaje:

    • Ihned kontaktujte svoji banku (nejlépe na zákaznické lince) a sdělte, co se stalo. Je důležité volání neodkládat, čím dříve vaše banka nebo vy sami podniknete protiopatření, tím větší máte šanci, že pachatelé nestihnou zaútočit na vaše peníze.
    • Pokud vám mezitím přišla žádost pro potvrzení platby, o které nic nevíte, platbu nepotvrzujte a především – zaslaný potvrzovací kód nikam nevkládejte a pokud jde o SMS kód, nikomu ho nepřeposílejte.
  • Fourth item -Pokud jste do podvodné stránky zadali údaje ze své platební karty:

    • Kartu ihned zablokujte (v internetovém bankovnictví, na klientské lince).
    • Kontaktujte svoji banku a sdělte jim, co se stalo.
Investiční dotazník v Creditas Banking pro mobily