Phishing v roku 2024: Nenechajte sa chytiť do siete

Zverejněno 18. 4. 2024

 

Phishing je pokus o krádež vašich osobných údajov, napríklad čísla kreditnej karty, adresy alebo prihlasovacích údajov cez podvodné e-maily, webové stránky alebo napríklad sociálne siete.

Scenár týchto podvodov je takmer vždy totožný a teda pomerne ľahko odhaliteľný. Pokiaľ ho teda poznáte.

Základným pravidlom zostáva: banky a ďalšie inštitúcie od vás nikdy nevyžadujú vaše prihlasovacie a iné citlivé údaje mimo svojho oficiálneho webu.

 

Obsah:
Čo čakať na phishingovom rybníku v roku 2024
Čo v podvodných správach smrdí
AI v rukách podvodníkov
Prevencia je základ
Ako vytvoriť e-mailovú kampaň, ktorá nevyzerá ako od lovca
Na záver

 

fishing

 

Čo čakať na phishingovom rybníku v roku 2024

Phishingových útokov existuje celý rad. Tu sú tie, na ktoré v roku 2024 narazíte najčastejšie.

 

Email phishing

Ide o najstaršiu a najčastejšiu formu phishingu, ktorú vo svojej schránke nájdete hneď niekoľkokrát ročne. Niekedy dokonca mesačne aj týždenne.

Ide väčšinou o skopírované originálne správy reálnych firiem a inštitúcií, do ktorých sú pridané nebezpečné odkazy.

Čo je typické pre email phishing?

Stránky vyžadujú zadanie vašich osobných a citlivých údajov. Často vás informujú o nečakanom probléme, ktorý treba okamžite riešiť. Riešenie sa zdá byť veľmi jednoduché. V správe zistíte, že stačí kliknúť na ponúkaný odkaz.

Problémy, ktoré útočník spomína, sa rôznia, ale najčastejšie ide o problémy s platbou, prihlásením a vašim účtom.

E-maily s nebezpečným obsahom často zahŕňajú skrátené verzie URL, v texte si môžete všimnúť gramatické chyby a niekedy je dokonca namiesto písanej správy priložený iba obrázok. To, že sa jedná o nereálnu správu, ale tzv. screenshot odhalíte priblížením správy. Má veľmi zlú kvalitu písma.

Dávajte si pozor aj na prílohy takých e-mailov, ktoré obsahujú malware. Mávajú koncovky .zip, .exe a .scr.

 

Whaling

Cieľ na vysoko postavených ľudí – riaditeľov, manažérov a pod.

Tieto správy je náročné odhaliť, pretože sú napísané dosť vierohodne. Nenájdete v nich takmer žiadnu gramatickú chybu, jazyk je profesionálny a celá správa dáva zmysel.

Čo je typické pre whaling?

Oznámenia obsahujú chyby v doménach (napríklad prehodené písmenká: miesto @seznam.cz @senzam.cz). Podvodníci vám napíšu skôr na osobný e-mail ako na ten firemný, čo sa pri bežnej pracovnej komunikácii nikdy nedeje.

 

Spear phishing

Cieľ primárne na firmy.

Podvodníci pracujú s verejne dostupnými informáciami o vás a vašej firme a rozosielajú správy jednému aj niekoľkým členom vášho tímu.

Ich oznámenie mätú telom, pretože sa prvotne javí ako interná komunikácia.

Čo je typické pre spear phishing?

Váš „kolega“ sa vás bude pýtať na informácie, ktoré by mal vedieť z firemných zdrojov. Často s vami bude tiež zdieľať odkazy na zložky, ktoré sú mimo vášho hubu. Oboje by pre vás malo byť varovným signálom, že sa jedná o podvodnú správu.

 

SMS phishing

Tiež označovaný ako smishing. Prebieha totiž cez SMS správy.

Čo je typické pre SMS phishing?

Správy chodia z neznámych čísel a často aj so zahraničnými predvoľbami. Súčasťou podvodných SMS bývajú opäť odkazy, ktoré vás navedú na stránky, na ktorých od vás budú vyžadovať vaše osobné údaje.

Aktuálne sú najčastejšie SMS phishingové útoky tie vydávajúce sa za Slovenskú poštu. Informujú o probléme s doručením balíčka a vyzývajú na jeho presmerovanie. Tiež žiadajú o zaplatenie dopravného.

 

Voice phishing

Možno ich poznáte pod skratkou vishing. Voice phishing sa deje cez telefón.

Čo je typické pre voice phishing?

Volá neznáme číslo, ktoré môže byť aj blokované.

Volajúci na vás nalieha riešiť nečakanú situáciu. Môže ísť o platbu, ktorá nepočká, problém s vašim bankovým účtom, jeho napadnutie a pod.

Volajúci od vás bude opäť vyžadovať citlivé údaje akými sú číslo vašej debetnej karty, PIN a ďalšie. Výkričníkom tu je fakt, že v prípade problémov s bankovým účtom ho prvotne rieši vaša banka. Tá má nástroje a pozná postupy, vďaka ktorým sa vy o nič starať nemusíte.

 

Social media phishing

Sociálne siete sú pre podvodníkov úplným rajom. Nájdu tu totiž tie osobné informácie, ku ktorým by sa inde na internete len ťažko dostali.

Ďalšou výhodou je, že je na sociálnych sieťach pomerne jednoduché sa s daným užívateľom spojiť.

Čo je typické pre social media phishing?

Vzhľadom na to, že chaty nemajú špecifickú štruktúru, je pre podvodníkov jednoduchšie vytvoriť klamlivú správu na Facebooku ako napríklad cez e-mail.

Často sa odosielateľ podvodnej správy na sociálnych sieťach tvári ako správca a upozorňuje vás na porušenie pravidiel siete. Vyhráža sa zablokovaním vášho účtu a ako jedinú cestu von ponúka kliknutie na zaslaný odkaz. Poprípade vás núti sa s ním okamžite spojiť.

Tiež vám môže byť poslané falošné pozvanie na účasť v ankete, podvodné video, prosba okomentovať príspevok alebo vám podvodník ponúkne zľavový kupón.

Pomerne často dochádza aj k odcudzeniu účtu a následnému rozosielaniu podvodných správ.

Pokiaľ si nie ste istí, či je profil, ktorý vás kontaktoval, pravý, skontrolujte vždy jeho názov. Tiež koľko spojení má a ako dlho je na platforme aktívny.

Falošné profily bývajú často vytvorené narýchlo a majú krátku životnosť. Nemajú mnoho fanúšikov či priateľov, majú zvláštny názov a nemajú na svojom profile veľa informácií ani príspevkov.

 

payment

 

Čo v podvodných správach smrdí

  1. Naliehanie na vyplnenie vašich osobných údajov (meno, číslo debetnej karty).
  2. Gramatické chyby, texty totiž bývajú prekladané strojovo.
  3. Podivné predvoľby. Štát, z ktorého bola SMS poslaná si môžete skontrolovať na Googli.
  4. Zvláštne znaky ($, ~).
  5. Podozrivá URL.
  6. Ponuky, ktoré sú viac než výhodné (nesplniteľné sľuby).

 

AI v rukách podvodníkov

Vďaka AI sú podvodníci schopní vytvárať uveriteľnejší a personalizovanejší obsah. Celkovo tak dochádza k náročnejšiemu odhaleniu phishingového útoku.

 

Ako pomáha AI podvodníkom

  1. Ešte personalizovanejší obsah - AI zvláda analyzovať veľké objemy dát. Nástroje sú tak schopné vytvoriť presvedčivý personalizovaný obsah. Napríklad e-maily vytvorené pomocou AI tak vyzerajú prirodzenejšie a profesionálnejšie. Je teda jednoduchšie im ako príjemca uveriť.
  1. Krádež hlasu v deepfake nahrávkach – Vďaka deepfake technológiám je v dnešnej dobe možné vytvárať presvedčivé audio aj video. Umelá inteligencia dokonca dokáže napodobniť hlas reálnej osoby. Bude tak čoraz častejšie dochádzať k tomu, že nezvládneme rozpoznať umelý hlas od toho reálneho.
  1. AI ako programátor webu – Existujú také nástroje, ktoré pre vás zvládnu vygenerovať celý web. Vrátane jeho obsahu. V dnešnej dobe je táto téma pre slušných obchodníkov kontroverzná, ale podvodníkom web vygenerovaný AI stačí. Väčšinou sa totiž jedná o rýchlokvašku, ktorá po jej nahlásení zanikne. Problém je, že podvodníkom AI umožňuje vytvárať desiatky webov za veľmi krátku dobu. Zvládnu tak zacieliť na viac ľudí a na konte mať viac obetí.
  1. AI ako analytik a editor – Nástroje umelej inteligencie dokážu analyzovať úspešnosť phishingových kampaní v reálnom čase a automaticky ich upravovať tak, aby boli účinnejšie. Vrátane úpravy jazykovej stránky a dizajnu správy.
  1. Sofistikovanejšie lustrácie obetí – Lustrácia osôb je pre útočníkov časovo náročná. AI im v tomto smere môže neuveriteľne uľahčiť prácu a ušetriť čas. Môžu ju využiť napríklad na lustráciu profilov na sociálnych sieťach.

AI zvláda rozpoznať záujmy užívateľov a odhadnúť ich potreby. Na základe týchto informácií potom môže útočník ľahšie vytvárať obsah (alebo k tomu opäť využiť AI) a prinútiť svoj cieľ správať sa presne tak, ako chce.

Pomôcť môžu regulácie AI, ktoré by mali obmedziť využitie umelej inteligencie na nekalé účely.

 

Phishing

 

Prevencia je základ

Nezabránite tomu, aby sa vás útočník pokúsil skontaktovať. Ale môžete obmedziť príjem podvodných správ, byť obozretnejší a zostať tak v bezpečí.

Tu je pár tipov, ako na to:

  • Používajte spam filtre, najmä v Outlooku alebo Thunderbirde. Pri webových e-mailových službách sú už aktívne.
  • Nastavte si prehliadač tak, aby blokoval vyskakovacie okná.

 

Tip:

Presný postup, ako blokovať alebo povoliť vyskakovacie okná v Chrome nájdete tu.

Presný postup, ako blokovať alebo povoliť vyskakovacie okná v Safari nájdete tu.

 

  • Nech už zadávate údaje na akomkoľvek webe a aplikácii, vždy si zdroj riadne preverte. Pokiaľ vám príde podozrivý, obráťte sa na oficiálny web a nechajte si potvrdiť, že pod nich daná aplikácia alebo stránka naozaj spadá.
  • Pred kliknutím na odkaz naň vždy najprv choďte kurzorom a chvíľu počkajte. Overíte si tak, či má stránka SSL certifikát. Ako to spoznáte? URL stránky musia začínať https.
  • Sledujte varovanie vašej banky a ostatných dôležitých inštitúcií, ktoré monitorujú pokusy o krádež osobných informácií a peňazí. Väčšinou nájdete zoznam odhalených podvodných správ na ich webe.
  • V prípade, že máte podozrenie, že ste sa stali obeťou phishingu, kontaktujte príslušnú inštitúciu. Pokiaľ vám vznikla akákoľvek škoda, mali by ste o tom tiež informovať políciu – phishing je trestný.

 

mail

 

Ako vytvoriť e-mailovú kampaň, ktorá nevyzerá ako od lovca

Pokiaľ bude váš e-mail vyzerať podozrivo, nielen že vďaka nemu nedostanete potenciálnych zákazníkov na svoj web alebo blog, ale vám aj prestanú dôverovať.

Tu je pár tipov, ako napísať taký e-mail, ktorý nebude vyzerať ako od lovca:

  1. Buďte priateľskí, ale s mierou - Oslovujte svojich klientov menom, ale nie je potrebné im pripomínať, kým sú. To by mohlo pôsobiť dosť zvláštne. Je pre vás zásadné vedieť, komu píšete, ale to, že sa o svojich klientov zaujímate a poznáte ich, im ukážte vhodným obsahom. Nie spísaním ich krátkeho bia.
  2. Zreteľne označujte vaše URL adresy – Označujte odkazy v e-maile zreteľne a vyhnite sa skráteným URL. Samozrejmosťou je, že odkazy povedú na bezpečné webové stránky.
  3. Profesionalita je základ - Buďte profesionálny, používajte pekný dizajn, ktorý je pre vašu značku typický. Zároveň píšte z oficiálnej e-mailovej adresy vašej spoločnosti. Používajte profesionálny jazyk a vyhnite sa gramatickým chybám.

Buďte tiež opatrní s výzvami na akciu. Tie sú dôležitou súčasťou každej e-mailovej kampane. Nie je však potrebné vašich potenciálnych zákazníkov príliš urgovať. Nepôsobí to dobre a môže to vyzerať ako phishing.

V skratke buďte jasní, struční a priateľskí. Komunikujte so svojimi klientmi tónom, na ktorý sú zvyknutí.

 

Na záver

Je jasné, že podvodných, nielen phishingových útokov bude v budúcnosti pribúdať. Taktiky aj spôsoby, akými vás budú podvodníci kontaktovať sa budú časom meniť.

Preto buďte vždy obozretní a dobre sa o aktuálnych trendoch v týchto zakalených vodách informujte.