Phishingové útoky už dávno nejsou jen hloupé

6. 3. 2014

Sdílet

 Autor: © fabioberti.it - Fotolia.com
V záplavě průhledných pokusů o podvod je třeba nezapomínat, že phishingové útoky mají vysoký počet obětí. Mohou totiž být překvapivě sofistikované.

(PR článek)

Uživatelé počítačů a mobilních zařízení často trpí představou, že phishing, to jsou ty úplně naivní pokusy nalákat člověka na nesmyslné, špatnou češtinou psané, nabídky. Ano, většina phishingových útoků, například emailů, které pozorujeme, jsou opravdu hloupé. Je až neuvěřitelné, že například na email od nigerijského prince, který nabízí (samozřejmě, že za malou finanční podporu) podíl na nějakém pohádkovém bohatství, se ještě dnes může někdo chytit.

Takzvaný nigerijský podvod, známý celosvětově také jako „podvod 419“ – kde 419 je číslo příslušného paragrafu nigerijského trestního zákoníku – je jednou z variant skupiny podvodů typu „poplatek předem“. Již od osmdesátých let minulého století podvodníci rozesílali faxy se srdceryvnými příběhy a nabízeli úžasnou příležitost pomoci bližnímu v tísni a závratně při tom zbohatnout. Tak neopatrných lidí, aby byli ochotni se něčeho tak podezřelého zúčastnit, je v populaci jen mizivý podíl. Možnost rozesílat zdarma miliony emailů však tento typ podvodů stále udržuje při životě.

Na první pohled se zdá, že jediným negativním dopadem takto hloupého phishingu je zahlcená síť a balast ve schránkách uživatelů. Vedlejším efektem však může být také falešný pocit bezpečí, vyplývající z představy, že takto průhledné jsou všechny phishingové útoky. Což nejsou.

Mail z Nigérie ne. Ale od banky…

Aktuální průzkum společnosti Microsoft „Computer Safety Index Survey“, provedený na vzorku 10 tisíc uživatelů počítačů, ukázal, že 15 % se stalo obětí phishingu; průměrná uvedená ztráta je 158 dolarů. To je jasný důkaz, že phishingové útoky jsou reálným nebezpečím a že je nutné se proti nim chránit.

Díky souběžnému používání různých nástrojů online kriminality mají totiž útočníci možnost předstírat i důvěryhodnější identitu, než je fiktivní postava nigerijského prince, který chce pomoci s transferem sto milionů dolarů. Uživatel tak může dostat email, tvářící se jako pravý email od jeho skutečné banky, který obsahuje link na stránky, tvářící se jako skutečné stránky dané banky. V takovém případě už uživatele nezachrání jeho instinkt – vždyť na první pohled nevidí nic, co by mělo vzbudit jakékoli pochybnosti. Uživatele mohou zachránit pouze jeho znalosti – anebo, jako záchranná brzda, kvalitní antivirový program se sofistikovanými funkcemi, chránícími právě před phishingem.

Co se znalostí týče, uživatel musí všechny požadavky na sdělování citlivých údajů velmi pečlivě zvažovat. Měl by mít na paměti, že údaje jako PIN k platební kartě nebo přihlašovací údaje k internetovému bankovnictví nemá sdělovat nikomu, za žádných okolností – tedy bez ohledu na to, jak důvěryhodně vypadá žádost. Jinými slovy, už samotný fakt, že vůbec přijde požadavek na tyto údaje, představuje signál, že s největší pravděpodobností jde o podvod.

Pomoc od bezpečnostního software

Co se týče ochrany, kterou může poskytnout softwarové bezpečnostní řešení, uživatelé by měli mít na paměti, že právě v oblasti phishingu se jednotlivá bezpečnostní řešení významně liší. Jde totiž o relativně nové funkce a někteří dodavatelé tyto technologie do svých řešení teprve zapracovávají.

bitcoin školení listopad 24

Za pozornost v této souvislosti stojí, že nejvyšší dostupné ocenění v kategorii ochrany před phishingem získal od nezávislé testovací autority AV-Comparatives produkt ESET Smart Security, resp. jeho modul Anti-Phishing. Ten zablokoval v testu AV-Comparatives nejvíc phishingových stránek ze všech testovaných produktů: jeho úspěšnost dosáhla 99 procent.

Modul Anti-Phishing pracuje s databází phishingových hrozeb, která je každých 20 minut aktualizována, a také využívá speciální algoritmy pro proaktivní ochranu. Ty kontrolují vzhled stránek s cílem eliminovat takové, které imitují pravé stránky. Tento přístup pomáhá například odhalit falešné formuláře internetového bankovnictví.