Čo je to phishingový útok?
Phishing je zďaleka najbežnejším „hackom“, ktorý sa používa na krádež hesiel, preberanie účtov a vstup do systémov bez autorizácie. Ide skôr o útok na sociálne inžinierstvo, než o skutočný hack v technickom zmysle. Preto je oveľa ťažšie brániť sa.
K phishingu môže dôjsť prostredníctvom ktoréhokoľvek kanála: telefonicky, e-mailom, webovou stránkou alebo dokonca osobne. Stručne povedané, je to pokus o podvádzanie odhalenia tajomstva (napríklad hesla alebo iných údajov).
Slovo phishing označuje termín rybolov, ako napríklad „lov hesiel“, a pravdepodobne predstavuje telefón a rybolov. Pravdepodobne to tiež súvisí s predčasným hackerským termínom phreaking, pretože phishing bol už bežnou taktikou sociálneho inžinierstva už pred nástupom internetu..
Symbol <>< bol použitý na označenie odcudzených alebo phishingových informácií na online fórach, pretože pre robotov bolo ťažké ich odhaliť alebo zablokovať vďaka svojej podobnosti s platným HTML kódom.
Ako sa brániť pred útokmi typu phishing
Jadrom každého phishingového útoku je zvyčajne neschopnosť ľudí ľahko sa autentifikovať. Počítačové systémy sa často nevyrábajú ani s problémami s autentifikáciou, a preto je potrebné vynaložiť značné úsilie na správne overenie schém kryptografických podpisov..
Telefón phishing
Overenie totožnosti volajúceho môže byť ťažké. Čísla, ktoré sa zobrazujú na ID volajúceho, sa dajú ľahko spoofovať, takže aj keď je telefónne číslo oprávnenej osoby známe alebo uložené v telefónnom zozname, neexistuje žiadna záruka, že osoba na druhej strane linky je tým, že hovoria, že sú.
Iba spätné volanie čísla je dôkazom, že skutočne patrí volajúcemu, ale aj potom je dôležité číslo overiť vyhľadaním na internete alebo v telefónnom zozname. Môžete ju tiež považovať za overenú, ak bola zozbieraná osobne, napríklad prostredníctvom vizitky.
Banky, vlády alebo súdy vás takmer nikdy nezavolajú, aby ste požiadali o osobné informácie. Ak áno, požiadajte o meno, titul a oddelenie volajúceho, potom zavolajte späť s verejne uvedeným a dostupným číslom tejto inštitúcie..
E-maily na neoprávnené získavanie údajov sú zďaleka najbežnejšou hrozbou. Útočníci pošlú legitímne vyzerajúce e-maily od finančných inštitúcií, vládnych organizácií alebo generických schém, ako sú lotérie, aby prinútili používateľa navštíviť ich webovú stránku..
Útočníci môžu napríklad vytvoriť falošnú bankovú webovú stránku, ktorá bude vyzerať dostatočne reálne a vyzve používateľa na zadanie osobných údajov. Takéto webové stránky, ktoré neoprávnene získavajú údaje, môžu vyžadovať použitie hesiel, údajov o kreditných kartách alebo všeobecných osobných informácií na použitie v schémach krádeží identity.
Najrobustnejším spôsobom, ako overiť pravosť, je PGP, hoci ho má nastavených len málo jednotlivcov a weby.
Spravidla by sa nemalo klikať na odkazy v e-mailoch, najmä nie na tie, ktoré majú nečakanú korešpondenciu. Namiesto toho by používatelia mali prejsť priamo na web a riadiť sa tam pokynmi. Na komunikáciu s pracovníkmi technickej podpory použite formuláre na webovej stránke.
webové stránky
Webové stránky, ktoré neoprávnene získavajú údaje, môžu vydávať sa za stránky, ktoré obeť pravidelne navštevuje. Mohli by sa tiež jednoducho použiť na podvádzanie používateľa, aby zavolal na falošné číslo zákazníckej podpory alebo na získanie podrobností o kreditnej karte od používateľov, napríklad tým, že ich upozorní na lotériový jackpot.
Obete phishingových stránok sú často privedené na tieto stránky pomocou štyroch rôznych kanálov:
- E-maily: „Vyžaduje sa overenie účtu.“
- Reklamy: „Ste šťastným víťazom!“
- Preklepovanie preklepu: googel.com namiesto google.com
- Vyhľadávacie nástroje: „Hľadali ste svoju banku, tu je vaša„ banka ““
Ak chcete zabrániť tomu, aby ste sa stali obeťou phishingového webu, je vhodné vždy skontrolovať adresy URL navštívených stránok a v ideálnom prípade na ne navigovať iba pomocou uložených záložiek..
Použitie hardvérovej dvojfaktorovej autentifikačnej metódy je tiež vynikajúci spôsob, ako sa chrániť pred phishingom, hoci nie všetky stránky to ponúkajú. Niektorí správcovia hesiel vám tiež môžu pomôcť identifikovať weby neoprávnene získavajúce údaje, pretože automaticky vyplnia vaše heslá iba na stránkach, ktoré predtým overili..
So svojimi osobnými údajmi buďte opatrní
E-maily, ktoré vás tlačia na „overenie účtu“ alebo „na udržanie účtu otvoreného“, sú takmer vždy pokusmi o phishing, ktorých cieľom je upozorniť obete na klikanie na odkazy a rýchle zadávanie informácií..
Keď prijímate takéto e-maily alebo telefónne hovory, buďte pokojní a počkajte, kým sa nevrátite k zariadeniu, ktoré vám vyhovuje, napríklad k stolnému počítaču doma alebo k primárnemu smartfónu..
Na zmiernenie zraniteľnosti voči phishingovým útokom použite záložky, správcov hesiel a hardvérové dvojfaktorové autentifikačné tokeny. Nakoniec neváhajte a overte informácie a vždy nedôverujte e-mailom, reklamám a telefonickým hovorom.
17.04.2023 @ 19:17
Phishing is by far the most common “hack” used to steal passwords, take over accounts, and gain unauthorized access to systems. It is more of a social engineering attack than a real hack in the technical sense, which makes it much harder to defend against. Phishing can occur through any channel: phone, email, website, or even in person. In short, it is an attempt to trick someone into revealing a secret (such as a password or other information). The word phishing comes from the term “fishing,” as in “fishing for passwords,” and probably represents the phone and fishing. It probably also relates to the early hacker term phreaking, as phishing was already a common social engineering tactic before the rise of the internet. The symbol < was used to denote stolen or phishing information on online forums because it was difficult for robots to detect or block due to its similarity to valid HTML code.
To prevent becoming a victim of phishing, it is important to always verify the authenticity of the request. For example, if you receive a phone call from someone claiming to be from your bank, ask for their name, title, and department, then call back using a publicly listed and available number for that institution. Similarly, if you receive an email requesting personal information, do not click on any links in the email. Instead, go directly to the website and follow the instructions there. Finally, be cautious with your personal information and only provide it to trusted sources.