Podvodné správy sú prepracovanejšie

Doteraz sme čelili podvodným e-mailom, tváriacim sa, že prichádzajú zo spoločností, ktorých sme klientmi. V poslednej dobe sa tieto správy tvária oveľa dôveryhodnejšie a prichádzajú podpísané ľuďmi z nášho blízkeho okolia.

Dobre známe sú nám e-maily z našich bánk upozorňujúce na phishingové správy a na to, že spoločnosť od nás nikdy nežiada overenie osobných údajov takýmto spôsobom. Len nedávno si podobnými útokmi prešli klienti Tatra banky. Podvodný e-mail vzbudzoval dojem, že odosielateľom je banka. Obsahoval odkaz na podvodnú stránku, kde pod zámienkou aktualizácie online bankovníctva požadoval zadanie prihlasovacích údajov do internet bankingu.

Správy bez jedinej chyby

Najčastejšie dáta, ktoré sa správy snažia získať, sú bankové údaje. Českom aj Slovenskom v posledných rokoch prehrmeli vlny phishingových kampaní, tvrdiace užívateľom, že majú dlh alebo je ne nich uvalená exekúcia.

„E-maily v prvej vlne niesli veľmi výrazné gramatické chyby, ktoré boli na prvý pohľad skôr úsmevné, slúžili ako indikátor, že e-mail nie je seriózny. V ďalších vlnách už boli správy lepšie prepracované, bez chýb. Dokonale jazykovo konštruované, stavané na konkrétneho užívateľa,“ popísala útoky Andrea Kropáčová z Národného bezpečnostného tímu CSIRT.CZ.

Zvážte používané zariadenia

Jednotka pre riešenie počítačových incidentov CSIRT existuje aj na Slovensku. Zriadilo ju Ministerstvo financií SR. Podľa jej údajov sú podvodné e-mailové správy stále účinný spôsob, ako  oklamať používateľa a ich počet neklesá.

Na predchádzanie útokom súvisiacich so zneužitím citlivých informácií užívateľom internetu odporúča na serióznu prácu a internet banking používať iné, na to zvlášť určené zariadenie. Na prístrojoch s malou obrazovkou, ako sú napríklad smartfóny, nie sú viditeľné všetky detaily e-mailu. Preto je treba byť obozretnejší alebo radšej využiť vhodnejšie zariadenie.

Najčastejšie riziká

Najaktuálnejší trend útočníkov je zamerať sa na konkrétneho užívateľa. Zistiť si o ňom čo najviac informácií a využiť ich. „To, čo trúsime na facebooku, na blogu, v rôznych chatoch, môže byť pre nás nebezpečné. Ak človek na verejnom profile na internete uvádza, v akom dome býva, ako ho má zabezpečený a od koho má poistku, tieto informácie v okamihu, keď sa na užívateľa chce zamerať nejaký útočník, mu umožňujú ušiť phisingový e-mail na mieru,“ vysvetľuje Andrea Kropáčová z Národného bezpečnostného tímu CSIRT.CZ.

Neznámy kamarát na facebooku

Výnimkou nie sú ani nabúrané kontá na sociálnych sieťach. Môže sa stať, že vám vyskočí pošta od dobrého kamaráta, ktorý je v núdzi a náhle potrebuje požičať peniaze. Tieto phishingové správy zvyknú mať jednu spoločnú vec. Nesú v sebe súbor, na ktorý ste ako užívatelia povinní kliknúť.

„Keď ste si súbor otvorili, tak ste zistili, že sa tým nemusíte zaoberať, ale čo ste si už nevšimli je, že sa do počítača stiahol súbor, ktorý sleduje, čo píšete na klávesnici. Enormne pasie po heslách, takže v okamihu, keď sa niekam prihlasujete, vás kontroluje a získané údaje posiela niekam do centra, kde s tým môže pracovať útočník,“ uviedla A. Kropáčová.

Ostražitosť nie je na škodu

Medzi základné rady, ako rozpoznať takéto phishingové správy, patrí zvýšená pozornosť. Spozornieť treba pri vetách, ako „je to až príliš dobré, než aby to bola pravda,“ platí to hlavne v prípade reklamnej nevyžiadanej pošty. Pravidlom je aj starostlivosť o elektronic

ké zariadenia a ich pravidelná aktualizácia. Je potreba dbať o ochranu prístupových údajov, hesiel. „Nemali by sme jedno heslo používať všade. Treba premýšľať nad tým, kam ich zadávame, akým spôsobom si ich pamätáme, či nemohlo dôjsť k ich odpočtu, či niekde citlivé dáta neunikli. Vyhnúť sa zadávaniu rovnakých hesiel do iných,“ dodala A. Kropáčová.

Zákon o kybernetickej bezpečnosti nemáme

Na Slovensku zákon o kybernetickej bezpečnosti neexistuje. Vytvorená je Koncepcia kybernetickej bezpečnosti, ktorá konštatuje, že súčasné kapacity a mechanizmy v oblasti bezpečnosti sietí a informácií na Slovensku nepostačujú.

Nestíhajú dynamicky sa meniacemu prostrediu hrozieb a nezabezpečujú dostatočne vysokú a právne účinnú úroveň ochrany.

Sledovať stav bezpečnosti, prípadné riešenie incidentov a reakcie na kybernetické útoky by podľa koncepcie mala mať v budúcnosti na starosti národná jednotka. Zatiaľ existuje tím CSIRT.SK, ktorý zabezpečuje služby spojené so zvládnutím bezpečnostných incidentov, odstraňovaním ich následkov a následnou obnovou činnosti informačných systémov.

Podieľa sa na budovaní a rozširovaní poznania verejnosti vo vybraných oblastiach informačnej bezpečnosti. Na svojich internetových stránkach majú pre užívateľov aj online odpoved, v ktorom môžete overiť svoje schopnosti odhaliť phishingové útoky.

Čo je to phishing

V doslovnom preklade z anglického slovného spojenia password fishing – rybolov hesiel. Pojmom phishing sa označuje získavanie citlivých informácií, ako sú napríklad užívateľské mená, heslá, čísla kreditných kariet a ich bezpečnostných prvkov, pomocou falošného vystupovania v role dôveryhodnej autority.

K phishingovým útokom dochádza rôznymi spôsobmi. Prostredníctvom esemesiek, telefonických rozhovorov, ale najčastejšie e-mailom. To najmä kvôli nízkej cene a vysokej účinnosti takéhoto útoku. Za dobu potrebnú k osloveniu jednej potencionálnej obete formou telefónneho rozhovoru je možné odoslať tisícky podvodných správ.

K získaniu osobných údajov využívajú rôzne taktiky a zámienky, napriek tomu majú spoločné rysy, podľa ktorých sa dajú identifikovať a eliminovať.

Petra Pichaničová

Foto: Shuterstock