Phishing

Co je phishing?

Jako phishing se označuje kybernetický útok, při kterém se útočník vydává za důvěryhodnou instituci, například banku, policii nebo management či IT oddělení organizace, kde oběť pracuje, a pokouší se vylákat citlivé údaje. Nejčastěji jde o získání uživatelských jmen a hesel, přístupu k bankovnímu účtu nebo údajů z platebních karet. Ty jsou pak zneužity k neoprávněnému přístupu do podnikových systémů, k odcizení peněz, krádeži identity a dalším účelům.

Samotný termín phishing je variací slova fishing (rybaření) a odkazuje na použití návnady (například podvrženého e-mailu) za účelem získání citlivých informací. Phishing má hned několik různých variant.

E-mailový phishing: Klasický phishing realizovaný prostřednictvím plošného rozesílání e-mailů s odkazy na podvržené stránky. E-maily vypadají například jako legitimní zprávy z banky a mají přimět oběti k vyzrazení informací, které mohou útočníci použít k odcizení jejich citlivých dat.

Spear phishing: Tento typ phishingu se zaměřuje na konkrétní jednotlivce a snaží se je přimět k vyzrazení informací nebo ke konkrétní akci (třeba proplacení falešné faktury). Jde o velmi sofistikovaný útok připravený s dobrou znalostí oběti.

Vishing a smishing: Jde o zkratky pro „voice phishing“ a „SMS phishing“, tedy phishing prostřednictvím telefonních hovorů a SMS zpráv. Hlavně při vishingu mají útočníci, kteří se vydávají například za pracovníky banky, velkou pravděpodobnost úspěchu.

Pharming: Podvodná technika přesměrovává oběti na falešné webové stránky (např. přihlašovací stránky internetového bankovnictví), prostřednictvím kterých získávají útočníci přístupové údaje.

Pop-up phishing: Typ phishingu využívající vyskakovací okna na webových stránkách, která zobrazují například varování o zavirování počítače. Cílem je přimět oběť, aby si do počítače stáhla malware.

V obraně proti phishingu příliš nepomáhají běžné bezpečnostní nástroje, ale pouze ostražitost, se kterou důsledně zkontrolujeme a prověříme každý jen trochu podezřelý e-mail.