Vánoce nejsou jen svátky klidu a míru, ale také oblíbeným obdobím kybernetických útočníků. Horečnaté nakupování dárků a shon vytváří dokonalé podmínky pro phishingové útoky. Na jaké podvody si dát v předvánočním čase pozor? A jak se proti nim bránit?
Vánoce už jsou za rohem – svátky pokoje, rodiny a tichého rozjímání (hlavně nad úspěchy našich organizací v oblasti GDPR), ale také mumraj, shon a horečnaté shánění dárků na poslední chvíli. A právě nakupování dárků se stalo oficiálním vánočním sportem, kterého se amatérští sportovci účastní zhruba od listopadu, aby kolem 20. prosince přenechali dráhu profesionálům, jimž na nákup dárků stačí poslední čtyři dny před jejich rozbalováním.
Ne nadarmo se v hovorovém jazyce zakotvilo spojení „mít z něčeho druhé Vánoce“. Víte však, kdo má druhé Vánoce už při těch prvních? Podvodníci.
Zběsilé nakupování, dokončování posledních projektů a úkolů probíhá ke konci roku v závratném tempu a právě toho se podvodníci snaží co nejvíce využít. Kdy může být jednodušší zaútočit na někoho kybernetickým útokem než v okamžiku, kdy zrovna jednou rukou vypořádává poslední fakturaci a druhou obaluje vanilkové rohlíčky?
Kybernetické útoky přitom míří nejen na identitu a soukromá práva oběti. Stále častěji se setkáváme s rafinovanými útoky, jejichž primárním cílem nemusí být snaha o krádež platebních údajů, ale instalace nebezpečného malwaru, prostřednictvím kterého může dojít k dalším útokům – doslova až k únosu osobních údajů a klíčových dat společností. V dnešním článku se na tuto oblast podíváme blíže.
Vánoce jsou svátky klidu, ale také častých kybernetických útoků
Jedním z nejčastějších útoků je takzvaný phishing. Jedná se o formu kybernetického podvodu, při které útočník manipuluje oběť, aby poskytla citlivá data, jako jsou například přihlašovací údaje, čísla platebních karet nebo jiné osobní údaje. Phishingové útoky probíhají prostřednictvím různých kanálů, jako jsou e-maily, SMS, sociální sítě nebo falešné webové stránky, které vypadají důvěryhodně a napodobují legitimní služby, například banky, doručovací společnosti nebo oblíbené internetové portály. A právě v období vánočních svátků může být naše pozornost snížená a čas na kontrolu omezený, což vytváří pro útočníky dokonalou příležitost. Ostatně, kdy jindy než o Vánocích, kdy očekáváme příchod cca 20 balíčků objednaných na e-shopu, se útočníkovi podaří mezi maily vložit jeden navíc, který však obsahuje podvodný odkaz?
Při nákupu vánočních dárků přes internet či rozesílání vánočních pohlednic bychom tak měli být zvláště opatrní. Existuje totiž hned několik příkladů vánočních útoků na citlivá data nic netušících obětí pohlcených vánočním shonem.
Příklady vánočních phishingových útoků
Phishingové útoky během Vánoc nabývají mnoha podob. Některé z nich se tváří jako neškodné přání, jiné jako nezbytné oznámení o problémech s doručením dárků. Rozebereme si proto nejběžnější příklady vánočních phishingových útoků, na které je potřeba dát pozor.
1. Falešné vánoční elektronické pohlednice
Častým prostředkem útoků jsou falešné elektronické pohlednice. Útočníci rozesílají zprávy, které vypadají jako vánoční přání od přátel či rodiny. Tyto e-maily často obsahují odkaz na web, kde má být pohlednice zobrazena, nebo přílohu, která ji údajně obsahuje. Ve skutečnosti však obsahují škodlivý kód, prostřednictvím kterého dochází k šíření malwaru. Po otevření přílohy či kliknutí na odkaz se malware nainstaluje do zařízení a útočník pomocí něho získá přístup k osobním údajům oběti. Mezi varovné signály, že je vánoční e-pohlednice škodlivá, patří například pravopisné chyby, neznámý odesílatel, podezřelý odkaz či příloha končící na „.exe“.
2. Podvodné zprávy od „doručovacích společností“
Jako další případ lze uvést vánoční útoky na zákazníky známých e-shopů, jako je Amazon. Často jsou takové útoky spojené s logistikou. Útočníci, již vypadají jako legitimní doručovací společnosti, posílají falešné e-maily ohledně problémů s doručením balíčku.
E-mail obvykle upozorní příjemce na to, že pokud nebude rychle jednat, nebude jeho balíček doručen včas do Vánoc. E-mail může například obsahovat sdělení jako „Vaše zásilka čeká na potvrzení. Klikněte zde pro aktuali zaci údajů.“ či „Balíček nebylo možné doručit. Vyplňte své údaje pro opětovné doručení“.
Pro úpravu doručení či potvrzení objednávky pak útočníci poskytnou v e-mailu podvodný odkaz. Po kliknutí na odkaz jsou příjemci přesměrováni přímo na phishingovou webovou stránku, kde příjemci zadají své přihlašovací údaje nebo je jejich počítač infikován malwarem. Tímto způsobem získají útočníci přihlašovací údaje obětí k e-shopům, včetně platebních údajů, které jsou následně zneužity k neoprávněným nákupům nebo dalším podvodům.
Pozor na falešné aplikace a e-shopy nabízející výhodné vánoční slevy a doručení
3. Falešné e-shopy a aplikace
Mezi další případy patří falešné e-shopy nabízející „skvělé vánoční slevy“ nebo zaručující doručení zboží před Vánoci za výhodných podmínek. Po zaplacení však oběť nedostane objednané zboží a její platební údaje mohou být zneužity. Často se vyskytují i falešné aplikace nabízející slevové vánoční kupony, které obsahují malware. Pomocí malwaru pak dojde k odcizení osobních a platebních údajů a infikaci zařízení. Tyto podvody můžete rozeznat například pomocí překlepů v URL webové adrese či podezřele nízkých cen u oblíbených produktů.
4. Podvodné charitativní weby
V neposlední řadě lze zmínit i falešné webové stránky navržené tak, aby vypadaly jako webové stránky známých charitativních organizací. Po vstupu na webovou stránku je oběť požádána o darování a poskytnutí osobních a platebních údajů, které útočníci zneužijí například ke krádeži peněz či identity oběti. Útočníci tak využívají dobrou vůli obětí, která je pro vánoční období charakteristická.
Útoky se mohou skrývat za falešná PFka či maily od doručovacích společností
Jak rozpoznat phishingový útok
Abyste se nestali obětí vánočního phishingového útoku, je potřeba sledovat několik varovných signálů, které vám pomohou útok identifikovat. Na tyto varovné znaky byste neměli zapomínat ani v období vánočního shonu, pro které je typická snížená pozornost. Jde především o:
nevyžádané e-maily od neznámého odesílatele;
gramatické chyby či překlepy nebo příliš neformální oslovení v e-mailech;
podezřele výhodné nabídky;
vyvolání pocitu naléhavosti či výzva k bezodkladnému řešení situace nebo k okamžitému jednání;
podezřelé přílohy, zejména přílohy obsahující koncovku „.exe“.
JAK SE BRÁNIT PHISHINGOVÝM ÚTOKŮM Prevence phishingových útoků je mnohem jednodušší než řešení jejich následků. Předcházení phishingovým útokům spočívá zejména v následujících opatřeních: 1. Používejte silná hesla, která zahrnují alespoň osm znaků, kombinaci velkých a malých písmen, čísel a jiných znaků. 2. Používejte dvoufaktorové ověřování, jež výrazně zvyšuje bezpečnost, na všech účtech, ze kterých by útočníci mohli získat osobní či platební údaje. 3. Kontrolujte URL adresy podezřelých webových stránek a podezřelých e-mailových adres. 4. Neotevírejte podezřelé e-maily, odkazy či přílohy. 5. Nezadávejte přihlašovací údaje na podezřelé webové stránky. 6. Nainstalujte a pravidelně aktualizujte antivirovou ochranu. |
Právní dopady phishingových útoků
Phishingové útoky mohou být kvalifikovány jako trestné činy v souladu s trestním zákoníkem. Útočníci tak mohou být souzeni například za trestný čin podvodu, neoprávněného přístupu k počítačovému systému a nosiči informací či neoprávněného opatření, padělání a pozměnění platebního prostředku. Jelikož jsou však phishingové útoky často prováděny anonymně, útočníci maskují svou identitu a používají falešné nebo odcizené IP adresy, bývá obvykle složité takové útočníky vystopovat a postavit před spravedlnost.
Dopady phishingových útoků mohou postihnout i správce či zpracovatele osobních údajů dle nařízení GDPR. Pokud e-shopy, prostřednictvím kterých útočníci osobní údaje získají, nezajistí dostatečnou úroveň ochrany údajů či poruší zásady zákonnosti, transparentnosti nebo bezpečnosti zpracování, mohou být vystaveny vysokým pokutám ze strany Úřadu pro ochranu osobních údajů.
Obezřetnost na prvním místě
Vánoční období je sice časem radosti, ale také obdobím zvýšené aktivity podvodníků. Phishingové útoky přitom často cílí na lidskou důvěřivost a horlivé vánoční nakupování. Klíčem k ochraně je informovanost a obezřetnost, a to především v hektickém období. I v čase vánočních svátků je tak důležité zachovávat ostražitost a pamatovat na to, že žádná sleva nestojí za riziko ztráty osobních údajů či finančních prostředků.
Comentarios