31. 05. 2023
10 typů phishingu: Jaké nové hrozby útočí na naše počítače
U 31 procent organizací se loni stal alespoň jeden uživatel obětí phishingového útoku, zároveň bylo zjištěno, že 16 procent lidí odhaluje citlivá data připojením k rizikovým hotspotům. V roce 2022 byla nechtěná aplikace nainstalována na 0,4 procenta zařízení se systémem Android, zatímco na zařízeních se systémem iOS to bylo 0,1 procenta.
Uvádí to analýza bezpečnostních trendů na vzorku 500 000 zařízení chráněných společností Jamf, zahrnující systémy iOS, macOS, iPadOS, Android a Windows, v 90 zemích po dobu 12 měsíců.
„Loni a předloni se více než zdvojnásobil počet společností, které měly ve své flotile nainstalovanou potenciálně nežádoucí aplikaci. Ve stejném roce používalo 39 procent společností zařízení s operačním systémem se známou bezpečnostní chybou, tedy nárůst o 11 procentních bodů oproti předchozímu roku. Malwarových a phishingových útoků neustále přibývá, jen v roce 2021 se stala téměř třetina společností obětí phishingu. Vzhledem k rostoucí digitalizaci je bezpečnost technologií podle mého zcela zásadní téma,“ říká ředitel české společnosti Logicworks Ivan Malík.
Hlavní hrozby phishingu jde shrnout a kategorizovat do deseti typů.
- E-mailové zprávy
Jde o nejčastější a klasický typ phishingu. Emaily předstírají, že pocházejí z důvěryhodného zdroje. Útočník rozešle tisíce podvodných zpráv, může získat významné informace a peněžní částky, i když mu naletí jen malé procento příjemců. Při tvorbě podvodných zpráv vynaloží velké úsilí, aby napodobili skutečné e-maily od podvržené organizace. Díky použití stejných frází, písma, loga a podpisů vypadají zprávy legitimně. Vytvářejí v adresátovi pocit naléhavosti. E-mail může například vyhrožovat vypršením platnosti účtu a nastavit příjemci časový limit. Vyvíjení takového tlaku způsobí, že uživatel bude méně pečlivý a náchylnější k chybám.
REKLAMA
- Vishing
Tyto podvody jsou založeny na principu telefonních hovorů, kdy se volající představí jako pracovník banky, který zjistil napadení účtu volaného. Fiktivní bankovní úředník různými tvrzeními vystraší osobu, které volá, a přiměje jí peníze z účtu převést na bankovní účet, který označí jako bezpečný. Tvrdí přitom, že se jedná pouze o dočasné bezpečnostní opatření. Věrohodnost pokynů fiktivního bankovního úředníka umocňuje často další telefonát, tentokrát osoby vydávající se za policistu. Ten potvrzuje volanému tvrzení uvedená v prvním telefonátu a nezbytnost převedení peněz na bezpečnější účet.
Tvrzení podvodníků bývají velmi věrohodná. Často předem disponují informací o skutečné bankovní instituci, ve které má volaný svůj účet.
K tomu využívají tzv. spoofing telefonního čísla. Při něm útočníci dokáží napodobit jakékoliv telefonní číslo, tedy i infolinku banky nebo jiné instituce. Kromě peněz získávají podvodníci také citlivé osobní údaje, které mohou kdykoliv zneužít. Setkáte-li se tedy s podvodným jednáním s popisovaným průběhem, neváhejte kontaktovat Policii ČR, ale také svojí banku. Včasné kroky ještě mohou zvrátit ztrátu peněz, uvádí Police ČR na svém webu.
- Smishing:
Podobně jako u Vishingu používají aktéři hrozeb místo telefonních hovorů ke kompromitaci uživatelů mobilních zařízení zprávy SMS spárované s odkazy nebo přílohami.
- Sociální média a angler phishing
Jde o typ phishingového útoku, který se zaměřuje na uživatele sociálních sítí. Hacker vytvoří falešný účet na sociální síti a vydává se za zaměstnance zákaznického servisu společnosti. Poté kontaktuje zákazníky této společnosti, kteří si stěžovali na sociálních sítích a žádají o pomoc.
REKLAMA
- Spear phishing
Je cílený pokus o krádež citlivých informací, jako jsou přihlašovací údaje k účtu nebo finanční data od konkrétní oběti. Jedná se o variantu e-mailového phishingu, která využívá cílený přístup a zaměřuje se na konkrétní osoby v rámci organizace, například zaměstnance mzdového oddělení.
- Velrybaření (Whaling)
Jde o podvodné jednání, které je v rozporu s pravidly pro ochranu osobních údajů. Podobně jako u spear phishingu, tento útok zpřesňuje svůj rozsah a zaměřuje se na vedoucí pracovníky a členy vedení společnosti.
- HTTP/S:
Útoky založené na webových stránkách, které používají adresy URL, jež často obsahují jemné překlepy, které mohou být na první pohled obtížně zachytitelné, například „iamf.com“ místo jamf.com. Může jít také o domény zabezpečené protokolem SSL, které jsou legitimně zaregistrované, aby obešly funkce bezpečnostní kontroly.
- Padělání webových stránek
Tento typ útoku často doprovází útoky HTTP/S, kdy se vedle škodlivé adresy URL objevuje legitimně vypadající webová stránka plná původního textu, loga, barevných schémat a funkcí, které vypadají jako originální webová stránka a předstírají, že nabízejí stejné funkce a nabídky.
- Watering Hole
Útoky typu „watering hole“ jsou částečně spear phishingové a částečně taktické a zaměřují se na konkrétní skupiny uživatelů a webové stránky, které často navštěvují. Cílem útoku je kompromitovat webové stránky a infikovat je malwarem, aby se při návštěvě webu cílovými uživateli infikovali i oni.
- Vyskakovací okna
Jde o útok na webové stránky. Stejně jako vyskakovací reklamy z technologických minulostí, i tato varianta phishingu vyžaduje, aby útočníci infikovali webovou stránku malwarem, poté využili vložené reklamy nebo novější upozornění na oznámení povolená uživateli a infikovali uživatele.
Systém Android je otevřený ekosystém, což má za následek větší množství rizikových aplikací. Společnost Apple vytvořila řízený ekosystém aplikací a nabízí přísnější ochranu soukromí uživatelů, která omezuje zavádění těchto rizikových aplikací.