souhrn
Phishing je zákeřná praktika, při které se útočníci vydávají za důvěryhodné entity, aby přiměli lidi k odhalení citlivých informací.
Naučte se rozpoznávat běžné známky phishingu, jako jsou podezřelé adresy URL a naléhavé žádosti o osobní údaje, abyste zůstali ve střehu.
Naučte se různé techniky phishingu, od běžných e-mailových podvodů až po sofistikovaný spear phishing, abyste posílili ochranu kybernetické bezpečnosti.
Zavedení
Phishing je škodlivá taktika, ve které se zlomyslní aktéři vydávají za důvěryhodné zdroje, aby oklamali lidi, aby sdíleli jejich citlivá data. V tomto článku si osvětlíme, co je phishing, jak funguje a co můžete udělat, abyste se nestali obětí těchto typů podvodů.
Jak funguje phishing
Phishing se opírá především o sociální inženýrství, metodu, při které útočníci manipulují s lidmi, aby vyzradili citlivé informace. Útočníci shromažďují osobní údaje z veřejných zdrojů (jako jsou sociální média), aby vytvořili zdánlivě autentické e-maily. Oběti často dostávají škodlivé zprávy, které vypadají, že pocházejí od rodinných kontaktů nebo renomovaných organizací.
Nejběžnější formou phishingu jsou e-maily, které obsahují škodlivé odkazy nebo přílohy. Kliknutí na tyto odkazy může do zařízení uživatele nainstalovat malware nebo jej přesměrovat na padělané webové stránky určené ke krádeži osobních a finančních údajů.
I když je snazší odhalit špatně napsané phishingové e-maily, kyberzločinci používají pokročilé nástroje, jako jsou chatboti a generátory řeči AI, aby zlepšili autenticitu svých útoků. To uživatelům ztěžuje rozlišení mezi pravou a podvodnou komunikací.
Jak rozpoznat pokusy o phishing
Identifikace phishingových e-mailů může být složitá, ale existují určité známky, které můžete sledovat.
Společné znaky
Buďte opatrní, pokud zpráva obsahuje podezřelé adresy URL, používá veřejné e-mailové adresy, vyvolává strach nebo naléhavost, vyžaduje osobní údaje nebo obsahuje pravopisné a gramatické chyby. Ve většině případů byste měli být schopni umístit kurzor myši na odkazy a zkontrolovat adresy URL, aniž byste na ně klikali.
Podvody založené na digitálních platbách
Phisheři se často vydávají za důvěryhodné online platební služby, jako je PayPal, Venmo nebo Wise. Uživatelé dostávají podvodné e-maily, které je vyzývají k ověření údajů o údajném přihlášení. Je nezbytné zůstat ve střehu a hlásit jakoukoli podezřelou aktivitu.
Phishingové útoky v oblasti financí
Podvodníci se vydávají za banky nebo finanční instituce a tvrdí, že mají bezpečnostní chyby, aby získali osobní údaje. Mezi běžné taktiky patří zavádějící e-maily o převodech peněz nebo podvody s přímými vklady novým zaměstnancům. Mohou také tvrdit, že existuje naléhavá aktualizace zabezpečení.
Phishingové podvody související s prací
Tyto personalizované podvody zahrnují útočníky vydávající se za vedoucí pracovníky, generální ředitele nebo finanční ředitele, kteří požadují falešné bankovní převody nebo nákupy. Hlasový phishing s hlasovými generátory AI po telefonu je další metodou používanou podvodníky.
Jak zabránit phishingovým útokům
Aby se zabránilo phishingovým útokům, je důležité použít více bezpečnostních opatření. Neklikejte přímo na jakýkoli odkaz. Místo toho přejděte na web společnosti nebo oficiální komunikační kanály a ověřte, zda jsou informace, které jste obdrželi, legitimní. Zvažte použití bezpečnostních nástrojů, jako je antivirový software, brány firewall a filtry nevyžádané pošty.
Kromě toho by organizace měly používat standardy pro ověřování příchozích e-mailů. Mezi běžné příklady metod ověřování e-mailů patří DKIM (DomainKeys Identified Mail) a DMARC (Domain-based Message Authentication, Reporting and Conformance).
Pro jednotlivce je nezbytné informovat jejich rodinu a přátele o rizicích phishingu. Pro podniky je životně důležité vzdělávat zaměstnance o technikách phishingu a poskytovat pravidelná školení zaměřená na snížení rizik.
Pokud potřebujete další pomoc a informace, vyhledejte vládní iniciativy, jako je OnGuardOnline.gov a organizace jako Anti-Phishing Working Group Inc. Tyto poskytují podrobnější zdroje a pokyny pro detekci, prevenci a hlášení phishingových útoků.
Typy phishingu
Techniky phishingu se vyvíjejí a kyberzločinci používají různé metody. Různé typy phishingu jsou obvykle klasifikovány na základě cíle a vektoru útoku. Pojďme to analyzovat podrobněji.
Klonování phishingu
Útočník použije dříve odeslaný legitimní e-mail a zkopíruje jeho obsah do podobného, který obsahuje odkaz na škodlivý web. Útočník by také mohl tvrdit, že se jedná o aktualizovaný nebo nový odkaz, a naznačit, že předchozí byl nesprávný nebo jeho platnost vypršela.
Spear phishing
Tento typ útoku se zaměřuje na osobu nebo instituci. Útok kopím je sofistikovanější než jiné typy phishingu, protože je přizpůsoben. To znamená, že útočník nejprve shromáždí informace o oběti (například jména přátel nebo rodiny) a použije tato data k nalákání oběti na soubor škodlivého webu.
Pharming
Útočník kontaminuje DNS záznam, který efektivně přesměrovává návštěvníky z legitimní webové stránky na podvodnou, kterou útočník předem vytvořil. Jedná se o nejnebezpečnější z útoků, protože záznamy DNS nejsou pod kontrolou uživatele, takže se uživatel nemůže bránit.
Lov velryb
Forma spear phishingu, která se zaměřuje na bohaté a důležité lidi, jako jsou generální ředitelé a vládní úředníci.
E-mail spoofing
Phishingové e-maily často podvrhují komunikaci od legitimních společností nebo lidí. Mohou obsahovat odkazy na škodlivé stránky vytvořené pro nic netušící oběti. Na těchto stránkách útočníci shromažďují přihlašovací údaje a také PII pomocí chytře maskovaných přihlašovacích stránek. Stránky mohou obsahovat trojské koně, keyloggery a další škodlivé skripty, které kradou osobní údaje.
Přesměrování webových stránek
Přesměrování webových stránek posílá uživatele na jiné adresy URL, než které zamýšleli navštívit. Aktéři, kteří zneužijí zranitelnosti, mohou vkládat přesměrování a instalovat malware do počítačů uživatelů.
Typosquatting
Typosquatting směruje provoz na falešné webové stránky, které používají pravopis v cizím jazyce, běžné překlepy nebo jemné variace v doméně nejvyšší úrovně. Phisheři používají domény k napodobování legitimních rozhraní webových stránek a využívají uživatelů, kteří zadávají nebo čtou URL nesprávně.
Falešné placené reklamy
Placené reklamy jsou další taktikou používanou pro phishing. Tyto (falešné) reklamy využívají domény, na které útočníci použili překlepy, a jsou placeni za to, aby se zvýšily ve výsledcích vyhledávání. Web se může dokonce objevit jako jeden z nejlepších výsledků vyhledávání na Googlu.
Útok na napajedlo
Při útoku na zalévání phisheři zkoumají uživatele a určují, které webové stránky často navštěvují. Prohledávají tyto stránky z hlediska zranitelnosti a pokoušejí se vložit škodlivé skripty navržené tak, aby cílily na uživatele, až příště navštíví daný web.
Krádež identity a falešné dárky
Na sociálních sítích zosobňují identitu vlivných osobností. Phisheři se mohou vydávat za klíčové vůdce společnosti a inzerovat dárky nebo se zapojit do jiných klamavých praktik. Oběti tohoto podvodu mohou být dokonce individuálně zaměřeny prostřednictvím procesů sociálního inženýrství zaměřených na nalezení důvěřivých uživatelů. Herci mohou hackovat ověřené účty a upravovat uživatelská jména tak, aby se vydávali za skutečnou postavu a přitom si zachovali ověřený status.
V poslední době se phisheři intenzivně zaměřují na platformy jako Discord, X a Telegram pro stejné účely: falšování chatů, vydávání se za jednotlivce a napodobování legitimních služeb.
Škodlivé aplikace
Phisheři mohou také používat škodlivé aplikace, které sledují vaše chování nebo kradou citlivé informace. Aplikace se mohou vydávat za nástroje pro sledování cen, peněženky a další nástroje související s kryptoměnami (které mají uživatelskou základnu predisponovanou k obchodování a vlastnictví kryptoměn).
SMS a hlasový phishing
Forma phishingu založeného na textových zprávách, obvykle prostřednictvím SMS nebo hlasových zpráv, která vybízí uživatele ke sdílení osobních údajů.
Phishing vs. Pharming
Ačkoli někteří považují pharming za typ phishingového útoku, spoléhá se na jiný mechanismus. Hlavní rozdíl mezi phishingem a pharmingem je ten, že phishing vyžaduje, aby oběť udělala chybu. Naproti tomu pharming pouze vyžaduje, aby se oběť pokusila získat přístup k legitimnímu webu, jehož DNS záznam byl útočníkem kompromitován.
Phishing v krypto a blockchain prostoru
Zatímco blockchain technologie poskytuje silné zabezpečení dat díky své decentralizované povaze, uživatelé v blockchainovém prostoru by měli zůstat ostražití vůči sociálnímu inženýrství a pokusům o phishing. Kyberzločinci se často snaží zneužít lidské zranitelnosti k získání přístupu k soukromým klíčům nebo přihlašovacím údajům. Ve většině případů jsou podvody založeny na lidské chybě.
Podvodníci se také mohou pokusit oklamat uživatele, aby odhalili své počáteční fráze nebo převedli finanční prostředky na falešné adresy. Je důležité být opatrný a dodržovat doporučené bezpečnostní postupy.
Závěry
Závěrem lze říci, že pochopení phishingu a informovanost o vyvíjejících se technikách podvodů je zásadní pro ochranu osobních a finančních informací. Kombinací přísných bezpečnostních opatření, vzdělávání a informovanosti se mohou jednotlivci a organizace posílit proti všudypřítomné hrozbě phishingu v našem propojeném digitálním světě. Zůstaňte SAFU!
Další čtení
Pět tipů, jak chránit své držby kryptoměn
Pět způsobů, jak zlepšit zabezpečení vašeho účtu Binance
Jak bezpečně provádět peer-to-peer (P2P) transakce
Právní upozornění a varování před riziky: Tento obsah je prezentován „tak, jak je“ pouze pro obecné informace a vzdělávací účely, bez zastoupení nebo záruky jakéhokoli druhu. Nemělo by být vykládáno jako finanční, právní nebo jiné odborné poradenství, ani není určeno k doporučení nákupu jakéhokoli konkrétního produktu nebo služby. Měli byste vyhledat individuální radu od vhodných profesionálních poradců. Vzhledem k tomu, že do tohoto článku přispěly třetí strany, vezměte prosím na vědomí, že vyjádřené názory jsou názory přispěvatele třetí strany a nemusí nutně odrážet názory Binance Academy. Pro více informací si přečtěte naše úplné právní upozornění zde. Ceny digitálních aktiv mohou být kolísavé. Hodnota investice může klesat i stoupat a investovaná částka se vám nemusí vrátit. Pouze vy jste zodpovědní za svá investiční rozhodnutí. Binance Academy nezodpovídá za žádné ztráty, které vám mohou vzniknout. Tento materiál by neměl být vykládán jako finanční, právní nebo jiné odborné poradenství. Další informace naleznete v našich podmínkách použití a varování před riziky.
