Tenhle článek jsem měl v plánu sepsat už opravdu dlouho. V poslední době se často potkávám s tím, že je čím dál tím těžší jak pro laiky, tak pro lidi motající se kolem IT bezpečnosti rozeznat, o jaký typ podvodu se jedná a zda spadá do té které kategorie.

Současně jsem také zjistil, že na svých školeních jsem schopný pro dovysvětlení jednotlivých pojmů odkazovat na svůj web, ale pojem phishing jsem zde zatím nepopsal. Pojďme to tedy napravit a podívat se na to, jaké jsou rozdíly mezi jednotlivými zkratkami a ukážeme si i mnoho příkladů z praxe.

Phishing

Tento typ podvodu cílí převážně na získání přihlašovacích údajů, jako je jméno a heslo od oběti. Tím se liší od SCAMu, jehož cílem je místo získání přihlašovacích údajů obvykle získání finančních prostředků.

Phishing je jednou z metod sociálního inženýrství a využívá jeho techniky pro manipulaci oběti. Obvykle cílí na pocity jako je zvědavost (Kdo mě to označil na Facebooku?), hrabivost (Jé, vyhrál jsem iPhone 13 Pro!), či strach (Když tu fakturu do dvou dnů nezaplatím, přijde mi domů exekutor!).

Dávno jsou pryč doby, kdy byl phishing znám špatnou češtinou, aktuálně se díky zkvalitnění automatických překladačů jako je DeepL dá i poměrně složitý text přeložit správně, navíc při cílených kampaních útočníci neváhají použít oficiální překlad od agentury či rodilého mluvčího.

Z podvodného e-mailu je pak obvykle nutné buď přejít na podvodnou stránku, kde je nutné se přihlásit či provést jinou akci, nebo otevřít přílohu, která sebou nese nějakou přidanou hodnotu – rozumějte malware.

Tím dochází ke zcizení přihlašovacích údajů, nebo kompromitaci malwarem – a je jedno, jestli se jedná o keylogger nebo ransomware. Phishing svůj účel splnil – je ostatně úspěšný cca v 65 % případů.

Druhy phishingu

Obecný phishing – je odesílán masivně ve vlnách, často říkám, že funguje podobně jako horoskopy – je napsán taky aby se v tom našel každý a uvěřil tomu. Občas může obsahovat gramatické chyby, webové stránce občas chybí HTTPS certifikát, necílí přímo na vás osobně.

Vypadat může třeba takto.

Odkaz místo na mojebanka.kb.cz vede někam do pryč – stačí na něj najet v mailu myší (neklikat) a ukáže se Vám, kam link směřuje. Je tam divná adresa? Neklikám.

Pokud si myslíte, že mladší uživatele jsou phishingu odolní, není to tak. Stačí jim poslat kampaně typu “Dostáváte 3 měsíce Spotify premium zdarma” a většina z nich o svůj účet přijde.

Spear phishing – cílí konkrétně na Vás či Vaši organizaci, útočníci si dali nějakou práci (OSINT), často se vydávají za někoho, koho znáte, aby navodili vztah důvěry. Je zpracován profesionálně, bez chyb, podvodné stránky obsahují platný HTTPS certifikát a jsou k nerozeznání od originálu. Odesílatel je často podvrhnout, využívají se pokročilé techniky jako typosquatting či homoglyfy. Poznává se dost obtížně.

Spear phishing využívám při simulovaných phishingových testech zaměstnanců. Pokud jste firma, mrkněte sem a nechte zkušenosti svých zaměstnanců otestovat: https://boit.cz/phishing

Vishing – jedná se o podvodné telefonáty, které mají za cíl vylákat ze subjektu co nejvíce informací, které jsou pak obvykle použity pro phishing. Druhá varianta je pak taková, že je zapotřebí cíl zmanipulovat pro provedení nějaké akce – otevření e-mailu, či stažení aplikace pro vzdálenou plochu.

Notoricky známé se staly takzvané Microsoft tech support SCAMy, kdy Vám volal někdo anglicky hovořící, obvykle se silným indickým přízvukem a vymyšlenou historkou o tom, že z Vaší firmy probíhá nějaký útok na vládní subjekty, a on je tu od toho, aby Vám pomohl problém vyřešit – stačí když si stáhnete TeamViewer, či Anydesk a necháte ho, aby se připojil k Vám do počítače. Tak určitě.

Krásná ukázka vishingu je zde (AJ s titulky).

Vishing má také svou SCAM variantu.

Smishing – jedná se o phishing pomocí SMS zprávy. Touto formou se útočníci obvykle snaží obejít antiphishingové a antispamové nástroje, které jsou dostupné v počítačích a spoléhají na to, že v mobilním telefonu žádný podobný software neběží. Také zde využívají různé zkracovače odkazů, protože v SMS zprávě si jejich použití běžný uživatel sám omluví a odůvodní.

Má také svou SCAM variantu, viz níže.

Quishing – využívá k podvodům QR kódy. Nejčastěji je koncipován tak, že na nějaký obrázek či web, kde je vystaven QR kód, tak je předán QR kód jiný, podvodný, který vede na stránku útočníka, kde následně dojde ke zcizení přihlašovacích údajů.

Quishing má také svou SCAM variantu, viz níže.

Občas se nějaké rybáře podaří i chytit, ale bohužel je to spíše výjimka: https://www.idnes.cz/zpravy/revue/spolecnost/phishing-podvod-influncer-raymond-abbas-hushpuppi-eset.A210806_084627_lidicky_sub

Phishing na sockách

Phishing ( i když tohle už je spíš sociální inženýrství jako takové) může mít i poměrně nevinné podoby, jako například různé soutěže a kvízy.

Jsou velmi populární na sociálních sítích a pomohou útočníkům třeba odpovědět na takzvané bezpečnostní otázky – ty prosím vždy ignorujte a nevyplňujte podle pravdy.

 

SCAM

Neboli podvod, jehož cílem je v tomto slova smyslu obvykle získání finančních prostředků, čím se liší od phishingu. I když někdy může být phishing použit jako prostředek ke SCAMu – to aby v tom nebyl bordel. 🙂 SCAM jako takový se vyskytuje jak v on-line světě, tak v tom reálném – moc hezky o tom v reálu točí třeba Janek Rubeš.

V on-line světě se pak můžete setkat například s těmito podvody:

Romance scam – zde je cílem navodit vztah důvěry, a uživatele potom okrást, obvykle o finanční prostředky. Jak takový romance scam může fungovat, vidíte na obrázku níže.

Jaké jsou pak důsledky, a že se to týká i uživatelů v ČR, můžete vidět zde:

A nebo ještě lépe ve filmu Podvodník z Tinderurozhodně doporučuji!

 

SCAM přes podvodné e-maily (ex phishing) – známý tako Nigerijské dopisy, má dnes již spoustu variant. Od e-mailu kde Vám slibují dědictví po strýčkovi z Mexika, přes sextortion, kterým se Vás snaží vydírat, až po dojemné příběhy chudáků kteří potřebuji Vaši pomoc. Vypadat mohou třeba takto:

Novinkou pak je, že tento typ podvodu cílí na LGBTQ+ komunitu – což je poměrně zranitelná skupina uživatelů, především těch kteří ještě neprošly commingoutem – představte si, že jste vysoce postavená manažerka a podobně zacílený e-mail dorazí do Vaší schránky a vydírá Vás že info o Vaší orientaci i s historií prohlížení pošle do celé společnosti. Nepříjemná představa. Více třeba zde: https://www.bitdefender.com/blog/hotforsecurity/ftc-warns-lgbtq-community-of-extortion-scams-targeting-them-on-dating-apps/

SCAM přes telefon (ex vishing) – Další možností je potom také vishing cílený na domácnosti, případně starší uživatele, který se bohužel v posledních několika letech rozšířil i v České republice. Podvodníci se obvykle tváří tak, že volají z Vaší banky, kde detekovali podezřelé transakce z Vašeho účtu. Nabídnou Vám zmrazení těchto podivných (neexistujících) plateb, jediné co k tomu potřebují, je ověřit si, že mluví skutečně s Vámi – chtějí tedy abyste jim nadiktovali číslo Vaší karty, kód ze zadní strany a také datum, do kdy karta platí.

Podobných podvodů je více, další pak cílí například na seniory, kdy jim zavolá domnělý vnuk, který je poprosí o zapůjčení peněz například na rozbité auto, a když senior souhlasí, podvodník sdělí, že ve vedlejší vsi se zrovna shodou okolností nachází jeho kamarád, který peníze okamžitě vyzvedne.

SCAM přes bazary a aukční portály

Docela rozsáhlá kategorie ale princip je obvykle stejný – čerstvě založený (déle založené profily jsou obvykle ukradené kvůli dobré historii – to zas až Vám bude někdo tvrdit, že proč by se o něj nějaký hacker zajímal – tak třeba proto) profil má přehnaně velký zájem, nabídne Vám, že pro zboží pošle kurýra a peníze že Vám pošle předem na Vaši platební kartu (! ne účet).

Vydává to za novou a bezpečnou platební službu od pošty, zásilkovny…. doplňte si přepravní společnost dle libosti.

Zásilkovna na to má mimochodem udělaný krásný web, je tam mraky příkladů různých podvodů i s náhledy a tipy na co si dát bacha: https://www.zasilkovna.cz/bezpecnost-ochrana-dat

Následuje přesměrování na podvodné stránky banky, aby mohl zcizit credentials.

SCAM přes SMS (ex smishing)

Jeden z častých podvodů vidíte na tomto obrázku:

Následně jste pře směrováni opět na podvodnou stránku, kde je obvykle vyžadováno přihlášení k vašemu bankovnímu účtu aby proběhla platba za zásilku čí doručení.

Stejně to je k vám může přijít SMS s žádostí o zpětné zaslání nějakého kódu. Může se jednat buď o potvrzení mobilní platby, nebo o pokus obejít multifaktorové ověřování.

 

SCAM přes QR kód (ex quishing) – fejkuje QR kód pro rychlou platbu, je přidán jiný QR kód, který zajistí dodání prostředků na účet útočníka. V ČR se poprvé masově rozšířily tyto podvody během pomoci obětím tornáda v roce 2021. Bohužel.

V zahraničí, kde se pomocí QR kódů platí výrazně častěji, se tento podvod i častěji objevuje – třeba přelepování QR kódů v restauracích, na dokumentech atd.

SCAM ve hrách

SCAMy ve hrách nejsou nic nového, cílem je obvykle ukradení účtu a požadování výkupného za jeho navrácení, případně krádež a prodej obsahu či předmětů, které na účtu oběť měla nakoupené – nože ve hře Counter Strike (ceny v desetitisících korun), skinny v Owerwatch a tak dále. Krádeže účtu se nevyhýbají ani hrám pro děti jako je Minecraft nebo Roblox.

SPAM

Je nevyžádaná zpráva, obvykle e-mail, ale v dnešní době se může jednat klidně o zprávu přes sociální síť, či SMS nebo jiný kanál. Všichni si určitě vybavíme zprávy s nabídkou levné a kvalitní viagry, případně hadici, která se nikdy nezamotá. Občas ale můžete narazit na nějaký klenot, například SPAM šířený přímo do vašeho kalendáře. O tom píši například zde: https://spajk.cz/spamove-kalendare/

Trochu perličkou je vznik tohoto názvu – v USA, se kdysi masově rozdávaly letákové reklamy na šunku s názvem SPAM a od toho, že všechny tato reklama štvala a vůbec oni nestáli, se pojem přenesl i do IT.

Nejlepší cesta jak SPAM zastavit, je krmit antispamové filtry tím, že zprávy budete označovat jako SPAM.

Ve SPAMu občas skončí podvodné e-maily, ale také e-maily regulérní, takže je dobré se do složky se SPAMem občas podívat. Otevřením e-mailu ještě nic neriskujete, maximálně dáte spamerům a útočníkům (případně marketérům) vědět, že jste e-mail otevřeli a Vaše schránka žije.

Pěkně jsi mě vyděsil, co teď?

No tak ze všeho nejdříve bych se mrknul jestli mi už někde neuteklo jméno a heslo. To můžete udělat na této stránce: https://haveibeenpwned.com Zčervenala? Tak je třeba heslo změnit! Ale než se do toho vrhnete, rovnou si nainstalujte správce hesel: https://spajk.cz/bitwarden-spravce-hesel-zdarma/ No a když už v tom budete, rovnou si zapněte dvoufaktorovou autentizaci: Co je to 2FA a proč vícefaktorovou autentizaci používat – Spajk.cz

Samozřejmostí je pak dobrej antivir (Bitdefender, ESET…) a taky zálohování a aktualizace. Dalo by se pokračovat ještě dlouho, ale to zas příště.

A nebo víte co? Mrkněte na můj on-line kurz IT bezpečnosti, kde se dozvíte ještě mnohem víc: Úvod do IT bezpečnosti 

Jste firma? Taky super, proškolím Vaše zaměstnance i ajťáky. Více na: https://boit.cz/

Něco tu chybí? Napište mi a já to přidám!