Phishing je anglické slovíčko týkající se útoku na bezpečnost či soukromí kde hlavní roli hraje to, že někdo “nahodí udičku a oběť na ni ochotně naskočí”. Původcem je fishing, chytání ryb a také proto se v češtině setkáte se slovem rhybaření (protože rybaření). Celé to patří pod sociální inženýrství.
TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně. A tohle opravdu nepodceňujte.
Nejčastější útoky tohoto druhu jsou ty, kdy útočníci vytvářejí falešné přihlašovací stránky vypadající přesně jako originál a s jejich pomocí získají přihlašovací údaje oběti. Tu poté připraví o účet v dané službě (například na Facebooku či jiné sociální síti, viz například Jak vám může někdo ukrást Stránku na Facebooku? A jak tomu zabránit?) nebo získají přístup do účtu a škodí třeba tak, že oběť připraví o peníze. To poté, když se někdo nechá nachytat na phishing vydávající se za zprávu z banky (jak to může vypadat viz například Phishing na Servis24 s kopií webu Spořitelny na brazilské doméně).
Tahle základní forma phishingu (rhybaření) zneužívá toho, že lidé si neuvědomují, že něco co “vypadá jako Facebook” zdaleka nemusí být Facebook. Neověří si co je v adresní řádce prohlížeče, neuvědomí si, že přihlašovací údaje se nezadávají nikde jinde, než na originálním webu (dnes navíc pojištěné https komunikací a certifikáty). Nejčastěji se takovéto útoky dějí pomocí podvodných e-mailů.
Existuje pokročilejší rhybaření pod názvem spear phishing kdy je útok cílen na určitou konkrétní osobu, případně na určitou organizaci. Nemusí v něm jít zdaleka o něco tak jednoduchého jako získání přístupových údajů – nastupuje zde například snaha o zavirování počítače (příklad viz Phishing se vydává za zprávu z Volksbank) a následné získání přístupů do počítače či do celé firemní sítě. Nástrojem zde je malware buď přímo přikládané v e-mailech nebo takové, které je součástí speciálně vytvářených webových stránek.
Phishing nemusí nutně používat webové stránky, viz Co je to CEO fraud? A čím dál tím více se objevuje i přes SMS, má tam i vlastní název – Smishing
TIP: Proti nepozornosti a dalším drobnostem může vaše online účty chránit dvoufaktorové ověření, viz například Jak ochránit účet na Facebooku proti hacknutí? Dvoufaktorovým ověřením přihlášení. Hodit se vám bude i Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby a možná si tenhle tip nastudujte ještě předtím, než něco takového budete řešit.
Phishingem (rhybařením) je ale možné získávat i řadu jiných informací, nemusí to nutné vést k napadení online účtů. Záplava phishingových e-mailů i online aktivit vede k tomu, že oběti zadají údaje z platební karty kam nemají, dokonce včetně ochranného CVV čísla ze zadní strany. Cílem aktivit ale mohou být i jiné osobní údaje, které je potom možné využít komerčně nebo v dalších útocích.
Jakkoliv drtivá většina phishingu se odehrává na internetu (web, e-mail), setkat se můžete i s rhybařením telefonickým či přes SMS (již zmíněný smishing). Hlasovému phishingu se mimochodem říká vishing (voice phishing).
TIP: Jak vypadá vishing v praxi : Pozor na tento telefonát. Takhle vás okrade o citlivé údaje a peníze
Je dobré vědět, že dnes prohlížeče umí varovat před zjištěnými phishingovými adresami ještě předtím, než je v prohlížeči otevřete, stejně jako před adresami, které mohou obsahovat škodlivé software (malware, viz například Jak zjistím zda nějaký web není napadený malware?).
Pokud narazíte na phishingový web, kde vás prohlížeč nevaruje, tak ho můžete nahlásit – viz Jak je možné nahlásit nějaký web, který spamuje/podvádí ve vyhledávání či je na něm malware/phishing.
Antivirové či antimalware software sice pomůže chránit proti phishingu co se vám bude snažit vnutit nějaký ten virus či malware, ale většina phishingu je založena na, lidově řečeno, lidské blbosti a nepozornosti. Cílený (spear) phishing navíc žádný antivir neodhalí.
Hodit se může i změna DNS na některé služby, které poskytují ochranu, podrobnosti v Jaké DNS služby používat, pokud chci mít ochranu proti rhybaření a dalším nebezpečím?
V Znamená zámeček (https připojení) v prohlížeči, že je web bezpečný či dokonce ten pravý? Co certifikáty? se dozvíte, že zelený zámeček moc nepomůže.
TIP: Hodit se vám určitě budou Průvodce bezpečným Internetem, který bezpečný být nemůže a více specializovaný Průvodce soukromím na Facebooku