Home Rizikové jevy Další témata Co je phishing

Remove

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

phishing_miniatura.jpgPhishing je druhem nebezpečných komunikačních praktik, zaměřených na krádež citlivých osobních údajů - např. PIN kódu a čísel platebních karet, hesla a údaje k bankovnímu účtu a další informace, které by mohly být zneužity.

Slovo phishing vzniklo pravděpodobně spojením slov fishing, v rámci kterého došlo k homofonní záměně hlásky f a ph (v rámci tzv. leetspeeku, slangu internetové subkultury). V češtině narazíme na počeštělou variantu rhybaření, rhybolov apod. Existuje také výklad termínu, který tvrdí, že phishing je zkratkou slovo password harvesting fishing (rybolov sklízením hesel). Řada slovníků však považuje tento výklad za chybný.

Phishing je realizován zejména e-mailovým spamem. Uživatelům je doručen důvěryhodně vypadající e-mail (často obsahující loga instituce, odkazy na reálné stránky instituce a informace, převzaté přímo z instituce - banky, pojišťovny, spořitelny), který oznamuje, že je z nějakého důvodu nutné přihlásit se na bankovní účet (pomocí jména a hesla). Uživatel, který uvěří sdělení, klikne na odkaz uvedený v e-mailu. Poté dojde k připojení na falešné internetové stránky, které jsou často věrnou kopií stránek banky uživatele (stejný design, často stejný obsah, stejná loga, pouze drobné odlišnosti zejména v internetové adrese). Pokud se na stránky přihlásí, dojde ke krádeži údajů k účtu.

Phishingové zprávy se často snaží vyvolat v uživateli pocit naléhavosti a nutnosti na e-mail reagovat.

Příklady formulací:

  • Pokud neodpovíte do 48 hodin, váš účet bude zrušen. Pro obnovení účtu klikněte na tento odkaz.
  • Na váš účet byla připsána platba v cizí měně. Potvrďte prosím převod přihlášením se na svůj účet. Klikněte na tento odkaz.
  • Testujeme vyšší úroveň zabezpečení. Chcete li využívat vyšší úroveň zabezpečení, přihlaste se na svůj účet kliknutím na tento odkaz.
  • Vyplňte dotazník a získejte odměnu 1500-2000 Kč. Detailní informace získáte po přihlášení na svůj účet.

Jak poznat phishing?

1. Na prvním místě je třeba říct, že většina bank s klienty e-maily nekomunikuje. Je tedy nepravděpodobné, že kdyby se něco důležitého stalo, využije pro komunikaci s vámi e-mail.

2. Všímejte si detailů! E-maily jsou často rozesílány hromadně a neobsahují vaše osobní údaje, např. jméno a příjmení! Často jsou phishingové e-maily plné pravopisných chyb - nejsou totiž psané přímo rodilým mluvčím, ale často překládány automatickými softwarovými překladači.

3. Prozkoumejte odkaz, na který máte kliknout. Zjistíte, že odkazuje jinam, než je na něm uvedeno. Všímejte i drobných chyb v odkazu, např. www.microsoft.cz může vypadat jako www.micosoft.cz, www.mircosoft.cz, www.verify-microsoft.cz apod. Tyto odchylky a chyby jso velmi zásadní a důležité.

Zkušenosti ze zahraničí

V anglicky mluvících zemích je tento typ krádeže poměrně běžný. Phishinovému útoku byly vystaveny firmy jako Microsoft, Bank of America, eBay, PayPal, Wester Union, iTunes, UniCreditBank, VISA apod. V České republice je dokumentováno jen málo případů, k nejznámější patří phishingový útok na Českou spořitelnu (březen 2008).

Pro phishing je také vytvořeno množství volně stáhnutelných programů (toolkitů), které umožňují virtuální útok na banku zrealizovat. Detaily naleznete např. na http://www.lupa.cz/clanky/jak-se-dela-phishing/. Řada výrobců software se phishing již účinně brání, phishingové filtry nalezneme např. v prohlížečích Firefox, Internet Explorer, případně rovnou v některých e-mailových klientech.
phishing_alert.png

Příklady z ČR:

Útok na Českou spořitelnu

Dobry den vazeni klienti!

Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci.
Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku.
Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu.
S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem.
Do 1.listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu.
Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich.
Vy jste byl (a) zvolen (a) jako jeden z ucastniku finalniho stadia testovani systemu.
V soucasne dobe Vam navrhujeme vyuzit odkaz https://www.servis24.cz/ebanking-s24/ a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system.
V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti.
Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji.

Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard.

S pozdravem, Oddeleni Banky pro ochranu pred frodem

Vzhled zfalšované stránky

Útok na Citi Bank
phishing_citybank_mini.jpg

Několik slov závěrem


Nikdy nesdělujte nikomu neznámému či nedůvěryhodnému (kromě zaměstnanců banky přímo v instituci banky) své údaje k bankovnímu účtu! E-mail není důvěryhodným komunikačním prostředkem!

Internet je obrovským zdrojem svobodných informací, ale tato svoboda zároveň dává mnoha podvodným živlům velký prostor pro vyvíjení různých podvodných aktivit (www.hoax.cz).

Zdroje

První český phishing se stal realitou. IT Help.
http://www.it-help.cz/index.php?option=com_content&task=view&id=172&Itemid=28

Rozpoznání podvodů typu phishing a falešných e-mailů
http://www.microsoft.com/cze/athome/security/email/phishing.mspx

Dočkal, D. Jak se dělá phishing
http://www.lupa.cz/clanky/jak-se-dela-phishing/

Archiv portálu Lupa
http://www.lupa.cz/n/phishing/

Džubák, J. Phishiing není žádná novinka. Ignorujte ho.
Portál IDNES

 

Projekt E-Bezpečí je vítězným projektem národního kola Evropské ceny prevence kriminality.

Partneři a spolupracující insitutuce

 

Generální partner projektu E-Bezpečí

logo o2

Další partneři a spolupracující instituce

 logo googlelogo nadaceo2logo msmtlogo mvcrlogo olomouclogo olomouckykrajlogo ostravalogo usembassylogo hoaxlogo policielogo proglaslogo rozhlaslogo aukrologo linkabezpecilogo nuvlogo csoblogo pcentrumlogo microsoft bwlogo czniclogo nukiblogo podaneruce