Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů, úřadů státní správy nebo od IT administrátorů. Principem phishingu je typicky rozesílání e-mailových zpráv nebo nebo zpráv přes sociální sítě, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví nebo e-mailové schránky. Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří je mohou zneužít (např. mu z účtu vykrást peníze nebo z jeho e-mailu rozesílat další podvodné e-maily). Obdobně může prozradit jiné citlivé (osobní) údaje, které pak útočníci mohou zneužít (např. vzít si půjčku na jméno oběti). Phishing je příkladem techniky sociálního inženýrství používané k oklamání uživatelů za využití slabých míst současných bezpečnostních technologií. Ochrana proti rostoucímu množství nahlášených případů phishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření.
TOP 6 příkladů zneužití pro phishing
1)Využití poddomén – většina metod phishingu využívá některou z forem technického oklamání navrženého tak, aby odkazy v e-mailech (a příslušné falešné stránky) vypadaly, že náleží falšované organizaci.
2) Překlepy a zkreslení odkazů – běžným trikem bývají překlepy v odkazech. Dalším běžným trikem je, aby text odkazu vypadal jinak, než skutečný odkaz. V levém dolním rohu většiny prohlížečů se zobrazuje skutečný cíl daného odkazu, na který právě ukazuje myš.
3) Zkracování domén – zkracování domén je taženo popularitou Twitteru a dalších sociálních sítí a mobilních telefonů a dalších zařízení. Uživatelé těchto služeb mohou získat velmi krátký odkaz pro vložení do svých (znakově omezených) zpráv, které automaticky přesměrují návštěvníka na o mnoho delší „skrytý“ odkaz.
4) Unikání filtrům – útočníci začali používat obrázky místo textů, aby tak zkomplikovali anti-phishingovým filtrům detekovat běžně používané texty nebezpečných e-mailů.
5) Padělání stránek – navštívením podvržené stránky klamání nekončí. Některé podvodné stránky používají JavaScript pro změnu adresního řádku.
6) Telefonický phishing – ne všechny metody phishingu vyžadují falešné stránky. Takzvaný Vishing (z anglického voice phishing) někdy používá zfalšovanou identifikaci volajícího. Vyvolá tak dojem, že volá z důvěryhodné organizace.
Boj s phishingem
Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možné používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing.
Top 3 rady pro ochranu před phisingem
1) Snažte se co nejméně poskytovat citlivé údaje
2) Pečlivě čtěte emailové adresy i domény. Podvodné stránky mají často jen drobné odchylky.
3) Udržujte ve svých zařízeních kvalitní a aktualizovaný antivirový program, který dokáže odhalit rafinované techniky phishingu.
