21.06.17

Europol v těchto dnech vydává report "Online sexual coercion and extortion as a form of crime affecting children" zaměřený na oblast online vydírání v prostředí internetu. Ve zprávě se opírá…

Celý článek...

09.05.17

Jak s dětmi hovořit o "modré velrybě"? Metodický materiál ke stažení.

Celý článek...

01.03.17

Opět otevíráme nabídku vzdělávacích akcí zdarma.

Celý článek...

01.02.17
V těchto dnech se na nás obrací velké množství zájemců o vzdělávací akce. Rádi se pokusíme vyjít všem vstříc, nicméně v následujících 3 týdnech musíme dokončit jiné aktivity, tj. akce…
Celý článek...


Víte o tom, že je říjen Evropským měsícem internetové bezpečnosti?
 
Podporujeme










Banner


Útoky na účty elektronického bankovnictvím neustávají ani v novém roce
Hodnocení uživatelů: / 7
NejhoršíNejlepší 
Neděle, 04 Leden 2015 14:26

mini_phisingV posledním roce se stále více objevují různé formy útoků na účty elektronického bankovnictví, které využívají podobná schémata útoku a před kterými je poměrně snadná obrana. Přesto se však stále najdou tací, kteří na některou z fází útoku reagují a zachovají se nebezpečně. Právě pro ty je určen tento text.

 

Útok na účet elektronického bankovnictví (tzv. phishing) zpravidla prochází několika fázemi:

Fáze 1 - Spamový útok

Aby byl útok úspěšný, je nutné oslovit co největší počet uživatelů. Nejjednodušším a nejefektivnějším způsobem, jak se k uživatelům a jejich online účtům dostat, je rozesílání spamu se zprávou, která uživatele zaujme a donutí je reagovat. Mezi běžné typy zpráv, podle kterých phishingový útok rozeznáme, patří:

1. Informace o tom, že někomu dlužíme (detailní informace o dluhu jsou součástí samostatné přílohy, která obsahuje virus - zpravidla trojský kůň - který se do počítače nainstaluje a který shromažďuje informace o přihlašovacích údajích).

2. Informace o tom, že na náš účet přišla vysoká finanční částka, kterou musíme potvrdit přihlášením se ke službám elektronického bankovnictví (kliknutím na odkaz z emailu jsme přesměrování na podvrženou kopii naší bankovní instituce, přihlášením ke “svému účtu” pak útočníkovi sdělíme své přihlašovací údaje).

3. Informace o tom, že banka mění svou úroveň zabezpečení a že je nutné se co nejdříve k účtu přihlásit (kliknutím se opět dostaneme na podvrženou stránku viz předchozí model).

4. Informace o tom, že platnost internetového bankovnictví končí a je nutné ji prodloužit (kliknutím se opět dostaneme na podvrženou stránku viz předchozí modely).

5. Informace o tom, že jste obdrželi novou zprávu z bezpečnostního oddělení (kliknutím se opět dostaneme na podvrženou stránku viz předchozí modely).

 

spam_cs

(Ukázka SPAMu s odkazem na podvodnou stránku)

 

Fáze 2 - Získání uživatelského přístupu prostřednictvím falešné stránky

Jak již bylo řečeno, je většina útoků na účty elektronického bankovnictví spojena s vytvořením podvržené stránky, která klienty nutí přihlásit se ke svým účtům prostřednictvím uživatelských jmen, hesel či dokonce certifikátů. Tyto stránky jsou zpravidla umístěny na anonymních serverch v zahraničí a existují pouze několik málo dnů. Pak jsou smazány a stopy zahlazeny.

Podvodné stránky často využívají nepozornosti uživatelů při čtení internetových adres, např. se po kliknutí na odkaz v emailu otevře místo stránek www.mojebanka.cz stránka www.mojebanka.cn. Jen zlomek uživatelů zaznamená chybu v nepřesné koncovce domény či celé adrese.

phishing2014

(Ukázka podvodné stránky)

Fáze 3 - Instalace podvodné aplikace a získání přístupu k autorizaci SMS platby

V posledních letech (zhruba od roku 2013) se však podvodné phishingové stránky chovají daleko nebezpečněji - nutí uživatele nainstalovat si do svých mobilních telefonů různé nebezpečné aplikace (tzv. malware), které v operačním systému telefonu běží tzv. “v pozadí” a které ovládnou příjem SMS zpráv - tedy i autorizačních zpráv internetových transakcí.

Metod, jak nahrát tyto nebezpečné aplikace do mobilních telefonů, je hned několik:

a) po přihlášení do fiktivního účtu vám podvodná stránka sama nabídne stažení aplikace do mobilního telefonu (např. aplikace TrustPort Mobile Security),
b) podvodná aplikace (či odkaz na ni) vám po přihlášení k účtu přijde ve formě SMS či MMS,
c) podvodná aplikace je součástí samotného spamu a instaluje se po otevření přílohy emailu.

Není výjimkou, že jsou podvodné aplikace distribuované také pomocí známých obchodů s aplikacemi, např. Google Play.

Základem obrany je prevence

Základem obrany je samozřejmě prevence a dodržování jednoduchých zásad:

1. V počítači mít vždy nainstalován antivirový program, který umožňuje identifikovat nebezpečné viry v přílohách emailů či jiných zpráv.

2. Antivirovou ochranou vybavte také svůj smarthone.

3. Pro přihlašování do internetového bankovnictví vždy používejte oficiální internetové stránky bankovní instituce (nikoli odkazy v emailech).

4. Pravidelně aktualizujte operační systém i jednotlivé programy.

5. Neotvírejte přílohy emailů z neznámých zdrojů, neklikejte na odkazy v těchto emailech.

6. Při zadávání hesel na internetu kontrolujte, zdali je přenos dat zabezpečen (adresa začíná https://).

7. Pokud možno nevypínejte firewall ve vašem operačním systému.

8. Jakékoli otázky spojené s informacemi o podezřelých platbách vždy konzultujte přímo s bankovní institucí - ideálně osobně či telefonicky.

9. V případě potřeby navštívit stránky České bankovní asociace, která informace o různých formách hackerských útoků zveřejňuje.

10. V internetovém prohlížeči si aktivujte antiphishingový filtr.

 

Kamil Kopecký, E-Bezpečí

 




E-Bezpečí štítky

  1. Kyberšikana
  2. Kybergrooming
  3. Prevence kriminality
  4. Sexting
  5. Facebook
  6. Kyberkriminalita
  7. Kazuistika
  8. Výzkum
  9. Poradenství
  10. Legislativa
  11. Rozhlasové pořady E-Bezpečí
  12. Sociální inženýrství
  13. Reference na E-Bezpečí
  14. Vzdělávací akce E-Bezpečí
  15. Praxe
  16. Hope Witsell
  17. Jessica Logan
  18. Trolling
  19. E-Synergie
  20. Second Life
  21. Krize výchovy
  22. Teorie
  23. Planking
  24. Acton Beale
  25. Digitální stopy
  26. TOR
  27. Ochrana osobních údajů
  28. Chatroulette
  29. Statement of Rights and Responsibilities
  30. Fotografie na Facebooku
  31. IP obsah
  32. Právo a Facebook
  33. Platební karty
  34. Hoax
  35. Paypal
  36. Stalking
  37. Kyberstalking
  38. Facebook timeline
  39. Moje historie
  40. Netolismus
  41. WoW
  42. botmaster
  43. spam
  44. NAT
  45. Právo
  46. vztahové násilí
  47. domácí násilí
  48. Prenatální profily
  49. Konference
  50. Buzz
  51. Virální videa
  52. Star Wars Kid
  53. Dětská prostituce
  54. Komerční sexuální zneužívání dětí
  55. On-line prostituce
  56. Disinhibiční efekt
  57. Hackerazzi
  58. Christopher Cheney
  59. Google hacking
  60. Identity theft
  61. Krádež identity
  62. Ransomware
  63. emo
  64. GIFYO
  65. Seznam se bezpečně!
  66. Sekundární viktimizace
  67. Amanda Todd
  68. Mentální anorexie
  69. Bulimie
  70. Blogy
  71. SMS spoofing
  72. Svobodný internet
  73. Online prostituce
  74. Manipulace
  75. Interview
  76. Břetislav Horyna
  77. bigorexie
  78. ASK.FM
  79. homosexualita
  80. Tyler Clementi
  81. Ravi Dharun
  82. Hanka a Tonča
  83. Webcam trolling
  84. EXIF
  85. YouTube
  86. Seznam.cz
  87. Google
  88. IAD
  89. Flow
  90. Vydírání
  91. SCAM419
  92. Senioři
  93. Podvody
  94. Pornografie
  95. PRIZNEJ.CZ
  96. ASMR
  97. swag
  98. Rebecca Ann Sedwick
  99. Webrangers
  100. iPhone
  101. Roztahovačky
  102. Phishing
  103. Safer Internet Day
  104. Digitální rodičovství
  105. Planking
  106. nomofobie
  107. fantomové vibrace
  108. Kampaně
  109. Kyberbaiting
  110. Prank
  111. Darknet
  112. romance scam
  113. FoMO
  114. Modra velryba
  115. DaddyOFive
  116. kyberflashing
Generální partner projektu
Další partneři






Garance



TOPlist
Chcete podpořit naše aktivity? Děkujeme! Vážíme si toho!

Partneři, spolupracující instituce:

Licenční újednání, autorská práva:

Portál E-Bezpečí je provozován Centrem prevence rizikové virtuální komunikace Pedagogické fakulty Univerzity Palackého v Olomouci.

Všechna práva vyhrazena. (c) Centrum PRVoK PdF, Univerzita Palackého v Olomouci 2008 - 2017.

Kyberšikana: ISSN 2336-1360. Vydavatel: Centrum PRVoK PdF, Univerzita Palackého v Olomouci.

E-Bezpečí je ochrannou známkou chráněnou Úřadem průmyslového vlastnictví.
Webdesign: Axe design studio Olomouc | Technická podpora: Jiří Veverka | Sledováno systémem Google Analytics

Licence Creative Commons
Toto dílo podléhá licenci Creative Commons Uveďte původ-Neužívejte komerčně-Nezpracovávejte 4.0 Mezinárodní License.