Pachatelé nahodí udičku – a pokud se člověk chytí, může ho to stát v některých případech i stovky tisíc korun. Phishing, tedy podvodné vylákání citlivých údajů, je v Česku na vzestupu. Útočníci využívají e-maily, SMS, sociální sítě i QR kódy – a jejich triky jsou čím dál propracovanější. Přečtěte si, jaké formy phishing může mít a jak se mu bránit.

Co je to phishing?

Phishing je druh kybernetického útoku, při kterém se útočník snaží vylákat z oběti osobní údaje, přihlašovací jména, hesla, údajů z internetového bankovnictví nebo platebních karet, které pak využije nejčastěji k finančního obohacení.

Název se foneticky shoduje s anglickým slovem fishing = rybaření, kdy pachatel „nahodí oběti udičku“. Ta se „chytí“ a poskytne mu údaje, které pachatel následně zneužije.

Dřívější phishing byl snáze odhalitelný. Vyznačoval se většinou špatnou češtinou a nelogickou sladbou vět. Dnes s rozvojem umělé inteligence jsou však metody podvodu stále sofistikovanější. Zkušenější podvodník s její pomocí zvládně relativně rychle vytvořit i falešnou aplikaci nebo webovou stránku. Pozitivní zprávou ovšem je, že moderní jazykové modely umělé inteligence umí s velkou přesností phishing i rozeznat.

Phishing a trestní právo

Z pohledu trestního práva je phishing nejčastěji kvalifikován jako trestný čin podvodu. Může se ale jednat i o jiné trestné činy například trestný čin neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací, případně trestný čin vydírání.

Podle Policie ČR je při podávání trestního oznámení velmi důležité předat co nejvíce informací, včetně elektronických zařízení (počítač, mobilní telefon nebo tablet) a dat, která mohou sloužit jako důkaz.

Délka vyšetřování se může lišit v závislosti na tom, jak rozsáhlý je případ, jaká elektronická data jsou k dispozici, jak složité je jejich vyhodnocení a také podle toho, jak dobře spolupracují další zapojené strany, jako jsou banky nebo poskytovatelé internetu.

Typy phishingu

Podle společnosti Microsoft existují následující typy phishingu: 

1. Spear fishing
Oproti klasickému phishingu se jedná o útok, který míří na konkrétního uživatele. (Účetní ve firmě dostane falešný email od ředitele, ať urychleně převede finanční prostředky na nějaký účet.)

2. Smishing
Phishing prováděný přes sms zprávy. (Podvodná sms od banky, že byl zablokován přístup k účtu a pro odblokování je třeba kliknout na odkaz a zadat údaje.)

3. Vishing
Provádí se přes telefon. (Pachatel pomocí takzvaného spoofingu podvrhne číslo banky a zavolá, že byl účet napaden a je třeba peníze pro jejich ochranu převést jinam.)

4. Quishing
Podvody pomocí čtení QR kódu. (Například při platbě parkovného dojde k přesměrování na jinou stránku a poškozený načte falešný QR kód, který může sebrat údaje v bankovnictví a převést finance.)

5. Whaling
Phishing cílící na „velké ryby” (whale=velryba), tedy na vysoce postavené manažery. (Finanční ředitel dostane podvodný, ale velmi profesionální email od generálního ředitele, že je třeba diskrétně převést vysokou částku peněz.)

6. Pharming
Přesměrování ze stránek, které jste chtěli navštívit na podvržené stránky. (V internetovém bankovnictví se otevře stránka, která je téměř k nerozeznání od originální až na jisté detaily, například místo mojebanka je uvedeno mojabanka.)

7. Angler phishing
Podvodníci se vydávají za zákaznickou podpor.u (Pachatel komentuje na sociálních sítí originální příspěvek a vydává se za zákaznickou podporu, což naláká další lidi, aby klikli na odkaz a s domnělou podporou řešili svůj problém.)

8. Clone phishing
Doplňování existujících mailů o podvodné přílohy. (Pachatel naklonuje mail s fakturou, který už Vám přišel s tím, že ve faktuře byla chyba a je třeba uhradit tuto novou.)

9. Popup phishing
Podvodná vyskakovací okna na reálných webových stránkách. (Vyskočí falešné okno s informací, že připojení bylo zablokováno a je třeba znovu zadat údaje.)

10. Search engine phishing
Podvodné stránky vyskakují při vyhledávání mezi prvními. (Pachatel vytvoří téměř identické stránky například www.mojebanka-secure-login.cz, které jsou ve vyhledávání populární. Ty při následném vyhledávání uživateli vyskočí jako první a originální odkaz www.mojebanka.cz až na třetím místě.)

11. Evil twin phishing
Vytvoření podvodného „dvojčete“. (Podvodná síť wifi, která žádá přihlášení nebo zadání platebních údajů, protože údajně je potřeba aktivovat přístup nebo ověřit totožnost.)

12. Crypto phishing
Podvodné stránky či krypto peněženky. (Poškozenému, který je držitel kryptoměn, přijde email s urgentním varováním, že mu byl zablokován účet a je nutná verifikace.)

13. Homograph phishing
Tento útok spoléhá na to, že si člověk nevšimne malého rozdílu v adrese – například písmena „а“ v doméně můžou být z jiného jazyka (například z azbuky) a vypadají téměř stejně jako písmena latinky, ale pro počítač jde o zcela jiné znaky. Tyto vizuálně podobné znaky se označují jako homografy.

14. Business Email Compromise (BEC)
Pokročilá forma spear phishingu, která cílí na firmy obchodující se zahraničními partnery nebo často provádějící bankovní převody. (Pachatel se snaží kompromitovat oficiální e-mailové účty vysokých představitelů firmy nebo finančního oddělení a následně žádají o převod finančních prostředků na účty kontrolované pachateli.)

15. Man-in-the-middle (MITM)
MITM v překladu znamená "muž uprostřed" a spočívá v tom, že se do konverzace mezi 2 subjekty. (Mezi občana a banku tajně vstoupí třetí osoba, která sbírá důvěrná data nebo konverzaci modifikuje.) 

16. Catfishing
V tomto případě se jedná o navazování vztahů s obětí pod falešnou identitou za účelem zisku. (Navázání romantického vztahu, kdy pachatel po určité době nutně potřebuje peníze na něco životně důležitého nebo oběť vydírá kvůli důvěrným informacím, které mu poskytla.)

17. Page hijacking
Další druh phishingu, kdy pachatel zneužije skutečnou webovou stránku k přesměrování nebo podvržení obsahu. (Po otevření reálně webové stránky dojde k nevědomému přesunu na falešnou, která má za cíl zneužít citlivé údaje a získat finanční prospěch.)  

Jak před phishingem bránit

• nevěřit nabídkách na snadné zbohatnutí
• provádět vícefázovou kontrolu
• v případě nejistoty, platbu neprovést a ověřit u své banky
• používané weby nezadávat ručně, ale mít je např. v oblíbených
• aktualizovat webový prohlížeč a antivirus
• nikdy neklikat na odkazy v nevyžádaných e-mailech

Autor: Petra Andresová
Foto: Canva