Každý z vás sa určite už stretol s e-mailom od Afrického princa, ktorý vás chce obdarovať zo svojho dedičstva, či Americkým vojakom zo smutným príbehom, ale s dobrým postavením, či srdce rvúcimi fotografiami detí, ktoré prostredníctvom cudzokrajného účtu, alebo platobnej brány žiadajú o vašu finančnú pomoc, alebo vás e-mailom vyzvala banka na prihlásenie sa do internet bankingu aj keď v danej banke ste nikdy nemali účet ...? Verte, že to všetko a ešte viac je iba slabým odvarom toho, ako a čím na vás môžu podvodníci na internete dnes vplývať, aby z vás "vytiahli peniaze" ako z bankomatu. Často však až neskoro zistíte, že ste naleteli na podvod a vaše peniaze sú niekde v Kongu, alebo v inom kúte sveta. Tento spôsob útoku na vaše úspory, alebo na vaše osobné údaje sa volá phishing a to čo sa pod týmto názvom skrýva a ako prebieha si povieme v tomto článku a ukážeme si aj názorne vo videu.

Phishing je druh internetového podvodu, ktorého jediným účelom je navodiť u potencionálnej obete pocit legitímnosti predloženého obsahu pomocou e-mailov, správ na sociálnych sieťach, odkazov nabádajúcich na kliknutie na rôzne stránky i keď sú falošné – čo avšak vo väčšine prípadov užívateľ nevie. Podstatou phishingu je to, aby obeť na e-mail zareagovala a napríklad kliknutím na odkaz, ktorý môže smerovať napríklad na platobnú bránu, zadal tam čísla kreditnej karty, alebo sa prihlásil do internet bankingu (podvodné weby bánk), alebo odosielal iné osobné údaje.

Čím kvalitnejší a autentickejší phishing je, tým viac ľudí naň naletí.

Vo všeobecnosti sa predpokladá, že pri kvalitne vykonanom phishingovom útoku je úspešnosť okolo 20%. Samotný podiel síce nie je veľký, ale ak zoberieme v úvahu fakt, že počet odoslaných podvodných e-mailov môže byť kľudne aj 10000, tak je jeho úspešnosť už alarmujúca. Falošné stránky, odkazy – emaily / správy sú obvykle aktívne iba pár dní a potom ich podvodníci odstránia z webového sídla a vytvoria ďalšie na iných webových sídlach. Za phishing môžeme považovať aj správy typu: "Pomôžte tomuto chlapcovi, ktorý bojuje s leukémiou. Príspevok posielajte na číslo účtu xxxx.xxxx.xxxx."  V tejto podobe ide o psychické vydieranie a emocionálnu manipuláciu, kedy podvodníci hrajú na psychologickú strunu obetiam, ktoré si myslia, že ak nepošlú aj malú finančnú čiastku sú "zlí". V tomto prípade ide o zneužitie solidarity.

Kvalita phishingu spočíva v skúsenostiach odhadovania správania sa ľudí (ich behaviorálneho správania) kedy podvodníci predpokladajú, ako sa väčšina ľudí asi tak zachová. Sú avšak prípady, kedy si útočník vytipuje konkrétnu osobu, ktorú odhadne na základe jej potrieb upraví phishing tak, aby bol pre obeť prívetivý a aby obeť zareagovala tak, ako podvodník chce, napr. odoslanie finančných prostriedkov, potvrdenie finančnej transakcie, zadanie hesiel a podobne.

Ako odhadnúť či ide o phishing alebo nie?

Vo videu nižšie som zosumarizoval body, na ktoré si je potrebné dávať pozor. Video som doplnil praktickými ukážkami phishingov odchytených mojimi nahodenými sieťami, kedy odchytený phishing sa preposiela na môj e-mail. V tomto prípade sa jedná o najčastejšie príklady podvodov.

Slovo na záver

V závere videa som spustil php script, ktorý som napísal a ktorého súčasťou sú kódy a php súbory sendleru (nástroja pre odosielanie), ktoré nebudú k dispozícii nikde na stiahnutie a ani žiadnym spôsobom šírené. Tým som sa snažil poukázať na to, že pokiaľ niekto bude chcieť účelovo spáchať podvod na konkrétnej osobe / osobách spraví ho a ani dobré znalosti techník phishingu vám nemusia stačiť na to aby ste ho včas odhalili.

Avšak nie je potreba vešať hneď hlavu, nakoľko je pri každom phishingovom útoku vždy k dospozícii niekoľko vodítok, ktoré určite neújdu pozornámu oku. Vo väčšine prípadov je to čuduj sa svete gramatika, respektíve spisovnosť samotnej správy, nakoľko tvorcovia takýchto útokov poväčšine riešia preklad do iného jazyka pomocou nejakého on-line prekladača, ktorý nepreloží všetko správne, ale to útočník nevie a často "pustí" takúto správu ako správnu, čiže je potrebne si všímať aj gramatiku. Ďalej môže nastať situácia, že vás e-mail bude nabádať k prihláseniu sa do internet bankingu - pokiaľ ste v danej banke nemali nikdy účet, tak viete, že sa jedná o podvod. Ak sa náhodou stane, že sa útočník tak povediac "trafí" do vašej banky, okamžite kontaktujte helpdesk vašej banky a v žiadnom prípade, nesťahujte a ani neotvárajte akékoľvek prílohy správy. Vaša banka vám dá vždy inštrukcie ako postupovať v takomto prípade, nakoľko bezpečnosť je aj v ich záujme.