fbpx
Nová knížka z dílny E-Bezpečí o online podvodech je tu.
03. 09. 2021

Co je to phishing, romance scam, CEO scam a další druhy online podvodů? Dozvíte se v naší nové knížce. Stahujte zcela zdarma zde.

Číst dál...

Stop Cybercrime
30. 08. 2021

Projekt Stopcybercrime.cz stále nabízí možnost vzdělávání pro různé cílové skupiny ZDARMA. Vyzkoušejte.

Číst dál...

Animace do výuky
30. 08. 2021

Na YouTube kanálu E-Bezpečí naleznete speciální playlist animací pro volné využití ve výuce. Vyzkoušejte!

Číst dál...


Home Rizikové jevy Sociotechnika Útoky na účty elektronického bankovnictvím neustávají ani v novém roce

Přečteno jinde










































1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

mini_phisingV posledním roce se stále více objevují různé formy útoků na účty elektronického bankovnictví, které využívají podobná schémata útoku a před kterými je poměrně snadná obrana. Přesto se však stále najdou tací, kteří na některou z fází útoku reagují a zachovají se nebezpečně. Právě pro ty je určen tento text.

 

Útok na účet elektronického bankovnictví (tzv. phishing) zpravidla prochází několika fázemi:

Fáze 1 - Spamový útok

Aby byl útok úspěšný, je nutné oslovit co největší počet uživatelů. Nejjednodušším a nejefektivnějším způsobem, jak se k uživatelům a jejich online účtům dostat, je rozesílání spamu se zprávou, která uživatele zaujme a donutí je reagovat. Mezi běžné typy zpráv, podle kterých phishingový útok rozeznáme, patří:

1. Informace o tom, že někomu dlužíme (detailní informace o dluhu jsou součástí samostatné přílohy, která obsahuje virus - zpravidla trojský kůň - který se do počítače nainstaluje a který shromažďuje informace o přihlašovacích údajích).

2. Informace o tom, že na náš účet přišla vysoká finanční částka, kterou musíme potvrdit přihlášením se ke službám elektronického bankovnictví (kliknutím na odkaz z emailu jsme přesměrování na podvrženou kopii naší bankovní instituce, přihlášením ke “svému účtu” pak útočníkovi sdělíme své přihlašovací údaje).

3. Informace o tom, že banka mění svou úroveň zabezpečení a že je nutné se co nejdříve k účtu přihlásit (kliknutím se opět dostaneme na podvrženou stránku viz předchozí model).

4. Informace o tom, že platnost internetového bankovnictví končí a je nutné ji prodloužit (kliknutím se opět dostaneme na podvrženou stránku viz předchozí modely).

5. Informace o tom, že jste obdrželi novou zprávu z bezpečnostního oddělení (kliknutím se opět dostaneme na podvrženou stránku viz předchozí modely).

 

spam_cs

(Ukázka SPAMu s odkazem na podvodnou stránku)

 

Fáze 2 - Získání uživatelského přístupu prostřednictvím falešné stránky

Jak již bylo řečeno, je většina útoků na účty elektronického bankovnictví spojena s vytvořením podvržené stránky, která klienty nutí přihlásit se ke svým účtům prostřednictvím uživatelských jmen, hesel či dokonce certifikátů. Tyto stránky jsou zpravidla umístěny na anonymních serverch v zahraničí a existují pouze několik málo dnů. Pak jsou smazány a stopy zahlazeny.

Podvodné stránky často využívají nepozornosti uživatelů při čtení internetových adres, např. se po kliknutí na odkaz v emailu otevře místo stránek www.mojebanka.cz stránka www.mojebanka.cn. Jen zlomek uživatelů zaznamená chybu v nepřesné koncovce domény či celé adrese.

phishing2014

(Ukázka podvodné stránky)

Fáze 3 - Instalace podvodné aplikace a získání přístupu k autorizaci SMS platby

V posledních letech (zhruba od roku 2013) se však podvodné phishingové stránky chovají daleko nebezpečněji - nutí uživatele nainstalovat si do svých mobilních telefonů různé nebezpečné aplikace (tzv. malware), které v operačním systému telefonu běží tzv. “v pozadí” a které ovládnou příjem SMS zpráv - tedy i autorizačních zpráv internetových transakcí.

Metod, jak nahrát tyto nebezpečné aplikace do mobilních telefonů, je hned několik:

a) po přihlášení do fiktivního účtu vám podvodná stránka sama nabídne stažení aplikace do mobilního telefonu (např. aplikace TrustPort Mobile Security),
b) podvodná aplikace (či odkaz na ni) vám po přihlášení k účtu přijde ve formě SMS či MMS,
c) podvodná aplikace je součástí samotného spamu a instaluje se po otevření přílohy emailu.

Není výjimkou, že jsou podvodné aplikace distribuované také pomocí známých obchodů s aplikacemi, např. Google Play.

Základem obrany je prevence

Základem obrany je samozřejmě prevence a dodržování jednoduchých zásad:

1. V počítači mít vždy nainstalován antivirový program, který umožňuje identifikovat nebezpečné viry v přílohách emailů či jiných zpráv.

2. Antivirovou ochranou vybavte také svůj smarthone.

3. Pro přihlašování do internetového bankovnictví vždy používejte oficiální internetové stránky bankovní instituce (nikoli odkazy v emailech).

4. Pravidelně aktualizujte operační systém i jednotlivé programy.

5. Neotvírejte přílohy emailů z neznámých zdrojů, neklikejte na odkazy v těchto emailech.

6. Při zadávání hesel na internetu kontrolujte, zdali je přenos dat zabezpečen (adresa začíná https://).

7. Pokud možno nevypínejte firewall ve vašem operačním systému.

8. Jakékoli otázky spojené s informacemi o podezřelých platbách vždy konzultujte přímo s bankovní institucí - ideálně osobně či telefonicky.

9. V případě potřeby navštívit stránky České bankovní asociace, která informace o různých formách hackerských útoků zveřejňuje.

10. V internetovém prohlížeči si aktivujte antiphishingový filtr.

 

Kamil Kopecký, E-Bezpečí

Výsledky projektu E-Bezpečí (2012-2018)

panel
90000 +
proškolených žáků ZŠ a SŠ
panel
35000 +
proškolených dospělých
panel
3200 +
podpořených obětí kyberkriminality
panel
250 +
vzdělávacích akcí ročně
panel
4500 +
odhalených případů kyberkriminality
panel
120000 +
unikátních návštěvníků webu ročně

Projekt E-Bezpečí je vítězným projektem národního kola Evropské ceny prevence kriminality.

pohar

Partneři a spolupracující instituce

 

Generální partner projektu E-Bezpečí

logo o2

Další partneři a spolupracující instituce

 logo nadaceo2logo googlelogo msmtlogo mvcrlogo olomouclogo olomouckykrajlogo ostravalogo avastlogo hoaxlogo policielogo proglaslogo rozhlaslogo aukrologo linkabezpecilogo bsologo csoblogo pcentrumlogo microsoft bwlogo czniclogo nukiblogo podanerucelogo googleovachamp_logo.png