CLOUDY podcast | #05 Pokud by to bylo opravdu vážné, určitě by mi nepřišel jen mail.
- Novinky
Co to tedy je ten phishing?
Je to nějaké podvodné chování na internetu s tím, že cílem je získat osobní, citlivé nebo cenné údaje. Obecně jsou to maily a v podstatě celá ta idea je, že ten útočník vytvoří nějakou návnadu, která vypadá jako reálná a jejím účelem je získat citlivé. informace. A ten kdo se na nějaký takový phishing chytí je jako ta rybička.
Velmi mnoho a často se setkáváme s tím, že se v mailech útočníci vydávají za různé organizace typu pošta, banka a ti útočníci chtějí doplnit údaje, např. ve stylu: „Přišla ti zásilka, potřebujeme ještě úhradu...“, patří sem také emaily, které říkají: „zemřel ti dědeček někde z daleka a zanechal ti nějaké bohatství“..., i to je phishing. Plejáda scénářů je velká.
Podvodní mail není o tom, že se snaží zneužít nějakou technologickou zranitelnost. Phishingový email je legitimní mail, který nám přišel, ale ten samotný obsah využívá techniky sociálního inženýrství, tedy nějak se snaží působit na naši psychologii jako my fungujeme jako lidské bytosti.
Většina phishingových mailů se snaží vyvolat pocit urgentnosti. „Zaplať do dalšího dne, abys nepřišel o zásilku.“ nebo „Nyní hned si změň heslo protože link exspiruje za 24 hodin.“... Právě pocit urgentnosti je jedna z technik sociálního inženýrství.
Ještě jsem neviděl takový email, že pokud bych opravdu teď hned nejednal, tak se něco strašného stane. To by mi přece jen nepřišlo mailem. Platí dvakrát měř a jednou řež.
Co všechno zahrnuje phishing?
Jak to vidím já, jsou tři úrovně phsihingu. První je taková „základní škola“. víte, že je to phishing.
Potom je druhá úroveň – „střední škola“. To už jsou cílené útoky na společnost. také formátování, obrázky, pravopis sedí, email vypadá důvěryhodněji.
Třetí úroveň – „vysoká škola“ je zaměřena na konkrétní osoby, většinou vyšší management, tedy na ty tzv. „velryby“ firmy – proto se to také jmenuje „whaling“. To jsou celé kampaně, kdy útočníci vytvářejí falešné firmy, které jsou zapsány v registru, komunikují legálně dopředu, vytvářejí falešné profily, blokují čísla atd. Jedná se o tým lidí, který to celé spravuje. již velkou snahu.
Jak rozeznat phishing když už je opravdu dobře udělaný?
I pro zkušené uživatele to může být problém. V první řadě je třeba si uvědomit, že mohou být nastavena všechna technická opatření správně, ale důležitý je ten koncový uživatel Ten musí být obezřetný.
Každopádně základním způsobem jak rozeznat phishing je všímat si v mailu prvků jako pravopis, formátování, neosobní oslovení (vážený uživatel, drahý pán atd.), pocit urgentnosti provést nějakou akci (kliknout, otevřít, stáhnout, platit) nebo si všímat jak vypadá adresa, ze které mail přišel (jemné překlepy v názvu banky apod.). kurzorem na link před klepnutím, zda je to opravdu relevantní link.
Může mít phishing i jiný cíl než získání údajů. k platební kartě?
Mnohdy phishing není primárním cílem. Samozřejmě jsou phishingy, jejichž cílem je získání právě těchto citlivých údajů, ale cílem phishingu může být i „otevření dvířek“ do infrastruktury společnosti. Nalezení té chyby a následně nabídnutí těchto „dvířek“ někomu dalšímu.
Pokud jsem si to uvědomil, že jsem udělal chybu a údaje jsem zadal, co mám dělat?
V prvním kroku je třeba kontaktovat například tu banku. Poprosit o resetování hesla, zastavení platby, zmrazení účtu. Je možné, že platba ještě bude možné stopnout. Případně pak řešit situaci přes policii.
Umíme nějak vyjádřit, že jakou úspěšnost může mít taková phishingová kampaň?
Co se týče úspěšnosti, tak ten phishing má velmi malou úspěšnost. Možná jednotky procent. Třeba si uvědomit, že posílání emailových zpráv je velmi levné. Mluvíme o desítkách možná stovkách eur.
Podvodníci ale umí ten email poslat na velké množství lidí a samozřejmě, že gro těch lidí neodpoví, zahodí ten mail, už to je známo... Ale vždy se najde nějaké procento, které reaguje, zadá tam ty platební údaje a většinou to těm útočníkům stačí k tomu, aby byly v globálním měřítku v zisku.
Co jsem udělal špatně, když mi přijde phishingový email?
Ta chyba mohla být naprosto triviální, že jsem na nějakém fóru, například na LinkedInu a mám tam zveřejněnou emailovou adresu. Na veřejném prostoru jsou reálné crawlery, které sbírají tyto adresy po internetu.
Druhá možnost je, že jsem chybu neudělal já, ale například jsem nakupoval na nějaké stránce, a té společnosti někdo ukradl data.
Kam to ještě může směřovat? Co nás čeká v budoucnosti?
Ty kampaně, které na nás chodí budou sofistikovanější, čili jakoby ta střední škola se bude posouvat i mezi běžné uživatele.
Celý podcast si můžete poslechnout na SPOTIFY nebo vzhlédnout na YouTube.