Je logické, že když phishingová zpráva působí věrně, zvyšuje to její účinnost. Proto útočníci umí připravit zprávu na míru organizaci, na kterou se zaměřili. K tomu stačí prozkoumat webové stránky organizace. Představte si veřejný kalendář, ve kterém je zaznačený den otevřených dveří. A představte si stránku náboru nových zaměstnanců, kde je uvedené jméno vedoucího personálního oddělení. Abraka dabra, phishingový e-mail, ve kterém vedoucí personálního oddělení žádá o výpomoc při dni otevřených dveří je hotový. Stačí kliknout na odkaz, přihlásit se ke sdílené tabulce a zapsat se jako dobrovolník. Zaměstnancům taková zpráva nepřipadá zvláštní, protože den otevřených dveří se opravdu chystá.

Kdepak, uživatelé se s nimi mohou setkat třeba na sociálních sítích. Dobrým nástrojem sociálního inženýrství je probuzení zvědavosti uživatele. Představte si, že od někoho, koho znáte, dorazí krátká zpráva v Messengeru, která zní: „Jsi to ty v tom videu?“, a je k ní přiložený odkaz. Červíček už nahlodává naše svědomí. Jsme překvapení, trošku se bojíme, kdy a kde nás někdo natočil. Když odkaz otevřeme, jsme přesměrování na přihlašovací stránku sociální sítě, která nevypadá nijak zvláštně. Jenže když se přihlásíme, odevzdáme své přihlašovací údaje.

Ilustrační obrázek phishingové zprávy, která se maskuje jako zpráva od známého. Zdroj: Vlastní tvorba

Důležité je neotevírat přiložené odkazy. Pokud phishing objevíme až po otevření odkazu, je důležité nic nevyplňovat, nikam se nepřihlašovat. Dále postupujte podle vnitřních pravidel IT politiky, se kterými byste měli být seznámeni.

Už jste určitě viděli odkazy schované za slovo zde či podobně ukryté. Text je estetičtější, ale útočníci tím umí uživatelům zamotat hlavu. Užitečným pomocníkem bývá náhledové okénko cíle odkazu. Když najedete na odkaz myší a nebudete klikat, vlevo dole se objeví cíl odkazu. Zkuste si to! Útočníci také rádi využívají přesmyčky a jiné chytáky. Z adresy microsoft udělají třeba rnicrosoft, z velkého „i“ udělají malé „l“, není lekarna jako Iekarna.

Pokud tušíte, že něco nehraje, zvolte ofenzivní rétoriku. Ptejte se na záležitosti, které by volající musel znát, pokud by vše byla pravda. Volá banka, že nám hrozí zablokování bankovního účtu? V tom případě chtějte vědět, kolik je na účtu peněz. Volá technická podpora, že je naše e-mailová schránka v ohrožení? Chtějte vědět, s kým se to řeší na IT oddělení. Podezřelé hovory také na IT oddělení ohlaste, hrozí, že organizaci zasáhnou masově.

Útočníci mohou volat například v noci, kdy jsou lidé rozespalí a je jednodušší je šokovat, donutit ke spolupráci. Pokud se oběť nenechá nachytat prvním hovorem, může přijít druhý. V prvním podvodném hovoru se útočníci vydávají například za banku, ve druhém za policii, která volá na žádost banky. Poslechněte si také záznam vishingového hovoru, který publikoval server Seznam Zprávy.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), Policie České republiky (PČR) a Česká bankovní asociace (ČBA) zahájily novou osvětovou kampaň týkající se podvodných telefonátů, jejichž počet a kvalita v posledních letech výrazně narůstá. Pro názorné ukázky různých praktik těchto zločinců byly natočeny videoklipy, ve kterých hrají Daniela Kolářová, Lucia Čižinská, Jaromír Nosek a Kryštof Krhovják. Režie se ujal Jakub Forman a produkce etické kreativní studio Družina v čele s Janem Pažinem. Kampaň, jež nese název Velké odhalení, má za cíl pomoci občanům ČR rozpoznat tyto podvodníky a uchránit své finance. Videoklipy je možné zhlédnout na nové osvětové webové stránce www.velkeodhaleni.cz, kde může široká veřejnost získat i další informace o této rozšířené bezpečnostní hrozbě. Představení kampaně proběhlo ve středu 6. března 2024 v sídle České bankovní asociace v Praze.

 „Velkým odhalením navazujeme na kvalitní spolupráci při přípravě kampaně #nePINdej! Jsme přesvědčeni, že osvětových aktivit v této oblasti není nikdy dost. Důkazem, že je potřeba tento problém řešit jsou aktuální data. Za rok 2023 jsme evidovali téměř 70 tisíc napadených klientů, u kterých byla průměrná škoda přes 19 tisíc korun. Meziročně se tak počet útoků ztrojnásobil,“ říká Pavel Kolář, gestor Komise pro bankovní a finanční bezpečnost České bankovní asociace.

Smishingový útok  lze rozpoznat podobnými prostředky jako v případě phishingu. Pokud zpráva obsahuje gramatické chyby, má špatnou větnou skladbu a vyzývá nás k tomu, abychom něco rychle udělali, tak bychom měli zpozornět. Stejně tak největší indikátor, zda jde o podvod, je právě doména v rámci odkazu. Zda tato doména skutečně patří dané instituci je veřejně zjistitelná informace. Například lze dohledat, že doména příspěvek-na-bydleni.info není doména, co patří MPSV. V neposlední řadě doporučujeme ověřit si jiným komunikačním kanálem (například kontakt z oficiálních webových stránek), zda tuto SMS skutečně odeslala daná instituce.

Ano, proti smishingu se lze bránit podobně jako v případě phishingové zprávy. Nejdůležitější je zachovat klid, vše si rozmyslet a jednat obezřetně. Pokud si nejste jistí, zda je zpráva skutečná, obraťte se na danou instituci přes kontakt z oficiálních stránek nikoliv přes číslo, z kterého SMS přišla. Důležité je rovněž pravidelně aktualizovat váš mobilní telefon a nesdělovat citlivé údaje prostřednictvím SMS zpráv.

Jsou známy případy, kdy se upravená „fleška“ po připojení k zařízení napájela elektrickou energii a jakmile získala dostatek energie, vyslala ji zpět do zařízení. To dokázalo zařízení zlikvidovat. Existují „flešky“, které umí pořizovat špionážní zvukové nahrávky, fungují jako zamaskovaný diktafon. Upravená „fleška“ se také dokáže maskovat jako klávesnice, takže i když je v rámci IT politiky organizace nastaveno, že se „flešky“ nedají spustit, toto maskování dokáže nastavení obelstít a fleška se spustí.

Ať je popsaná jakkoliv, nepřipojujte ji k žádnému zařízení. I kdyby byla opatřená logem vaší organizace, nebo lákavým popisem Velikonoční kybervajíčko. Odneste ji na IT oddělení s upozorněním, kde jste ji našli. V organizaci se může povalovat více podezřelých „flešek“.

Jedním z triků, se kterým se uživatelé setkávají, je odcizení identity. Útočník si na základě veřejně známých informací vytvoří kopii našeho profilu a oslovuje naše přátele, kolegy atp. Snaží se od nich získat další informace nebo odcizit i jejich profily. Odcizené profily pak útočník může využívat k rozposílání škodlivých zpráv či odkazů nebo třeba pro dezinformační kampaně. Na základě zveřejněných informací na profilu a z obsahu, který sdílíme, umí také útočníci udělat databázi slov a využít ji k pokusu prolomit heslo. Říká se tomu slovníkový útok.

Jednou ze slepých uliček kybernetické bezpečnosti byly tzv. „bezpečnostní otázky“. Uživatelé si vybrali otázku a odpověď na ni mohli využít jako náhradní heslo, pokud své heslo zapomněli atp. Jednalo se třeba o příjmení matky za svobodna nebo jméno oblíbeného učitele ze školy. Jak tušíte, tyto informace jsou dohledatelné. Navíc se na sociálních sítích objevují podvodné ankety či soutěže, které se na zjišťování těchto odpovědí zaměřují. Uživatelé si to leckdy neuvědomí a odpověď na svou bezpečnostní otázku dobrovolně prozradí. Tuto metodu zabezpečení raději nepoužívejte.