Vytisknout jednu kapitoluVytisknout jednu kapitolu

Minimální úroveň kyber-sebeobrany

2. Phishing

Nejčastější způsob, jak vylákat z uživatelů jejich hesla či jiné údaje, jsou podvodné e-maily, tzv. phishing. Na institucích různého zaměření, vč. institucí veřejné správy řeší desítky někdy i stovky útoků tohoto typu ročně. Scénář je vždy stejný, přijde Vám e-mail, ve kterém Vás nějaká autorita jako např. správa IT, personální oddělení nebo právní oddělení žádá, abyste vyřešili nějakou urgentní věc, např. možné zablokování e-mailové schránky. V e-mailu je odkaz na stránku, ve které se máte přihlásit svým zaměstnaneckým heslem.

Problém je v tom, že e-mail je podvržen a webová stránka, i když může vypadat podobně jako webová stránka vašeho zaměstnavatele, je ve skutečnosti ve vlastnictví útočníka.

Při cvičných phishingových testech v prostředí veřejné správy pravidelně podlíhá tomuto klamu více než 10 % uživatelů. Jedná se tedy o skutečný problém. Zkusíme Vám poradit, jak phishingové e-maily snadno poznat a rovnou smazat.

  • V tomto kontextu platí, že čeština je naštěstí složitý jazyk a útočníci v ní většinou nejsou příliš kovaní. Pokud e-mail začíná slovy „drahoušek uživatel“, máme ihned jasno. Prvním varovným impulsem by tak měl být kostrbatý jazyk zprávy. Ale pozor, automatické překladače se stále zlepšují a nelze vyloučit i tuzemské útočníky. Je tedy třeba pokračovat dál. Obsah zprávy bývá obtížně uvěřitelný. Opravdu mi někdo chce smazat e-mailovou schránku, opravdu mi bude zakázán přístup k SAP? Takové věci se běžně nedějí.
  • Dalším faktorem může být, že zpráva obsahuje časový nátlak. Útočník chce, abyste neměli čas o zprávě přemýšlet. Chce po Vás reakci do pár minut, do hodiny, do jednoho dne.
  • E-mailová adresa, ze které je zpráva poslána, byla často také ukradena někomu jinému. Jako odesílatelé phishingové zprávy tak vystupují mnohdy osoby ze zcela jiných organizací. To je další signál, ale i zde pozor, nemusí tomu tak být vždy. Adresu odesílatele e-mailu lze za jistých okolností celkem snadno podvrhnout.
  • Finálním a nejdůležitějším signálem však je, na jakou stránku Vás phishingový e-mail navádí. Nedbejte na to, jak stránka vypadá. Vždy si v adresním řádku prohlížeče ověřte, že stránka patří vašemu zaměstnavateli a je tedy ve správné doméně. Pozor si dávejte na přesnou textaci domény (např. očekávané @mvcr.cz lze snadno přehlédnout v případě @mucr.cz)