Ako nenaletieť na najčastejšie phishingové podvody

ITPro

8.6.2022

Phishing, čo sa dá voľne preložiť ako „sadnutie na lep“ alebo „chytenie sa na návnadu“, je jedna z najčastejších foriem ukradnutia prihlasovacích hesiel k online účtom bez ohľadu na dvojfaktorové zabezpečenie, neprelomiteľné heslá či iné pokročilé bezpečnostné overovanie.

Pri tomto druhu prieniku ide o vylákanie prístupových údajov formou vydávania sa za dôveryhodnú stranu, predovšetkým inštitúciu, ku ktorej dané prihlasovacie údaje patria. Obeť teda svoje heslo útočníkovi „dobrovoľne“ poskytne.

Týmto spôsobom sa bežne kradnú napríklad účty Facebooku, Gmailu alebo účty úspešných kanálov YouTube, ktoré sa následne používajú na rozposielanie spamu, rozširovanie odkazov na škodlivé stránky (zvyčajne s pokusom o infikovanie vírusom) a iné podvody.

Získanie overovacieho kódu nie je pri phishingu žiadna prekážka

Alternatívou je snaha obeť okradnúť o peniaze. Kým získavanie prístupových hesiel k online bankovníctvu je pomerne raritné, pretože takéto finančné prevody možno po relatívne dlhý čas zvrátiť, veľmi časté je vydávanie sa za poštu alebo inú inštitúciu v snahe donútiť obeť k zaplateniu rôznych „poplatkov“ bez toho, aby tušila, že k okradnutiu došlo. Z pohľadu obete totiž ide o regulárnu platbu, ktorú následne už nerieši.

Zastarané a nebezpečné poučky, ktoré robia viac škody ako úžitku

Obeťou phishingu sa môže stať ktokoľvek bez ohľadu na jeho znalosti a opatrnosť. Záleží len na tom, ako veľmi sofistikovaný a zacielený útok tohto typu je. V praxi je našťastie raritou, aby bol útok šitý na mieru konkrétnej osobe a cielený priamo na ňu. Bežní používatelia sa obvykle stretnú len s hromadným, a teda necieleným phishingom, ktorý má špecifické znaky a dá sa rozpoznávať.

V tejto súvislosti, žiaľ, vôbec nepomáha, že ľudia sa z rôznych zdrojov opakovane stretávajú so zastaranými odporúčaniami, ktoré hovoria o tom, že banka alebo poskytovateľ nejakej online služby si od nich nikdy nebude pýtať prihlasovacie údaje e-mailom. Keby sa to stalo, ide o podvod.

Regulárny e-mail od Googlu vyzývajúci na rýchly preklik a prihlásenie do účtu

Problém je v tom, že tieto varovania sú už dlhé roky celkom absurdné a používateľom dávajú falošný pocit bezpečia. Vyzývajú totiž k predstave, že práve takto prebiehajú tieto typy podvodov a útokov – že phishing je v základe niečo čudné a nezvyčajné, a keďže by na takéto pokusy očividne nenaleteli, nie je sa čoho obávať.

Lenže tak to nie je. Phishingové útoky sa uskutočňujú v drvivej väčšine prípadov tak, že vás e-mail či SMS vyzve na regulárne prihlásenie k vášmu účtu, či už z hľadiska aktivácie, kontroly zabezpečenia, konfigurácie zlepšenia ochrany, alebo čohokoľvek iného.

Nejde teda o nič nezvyčajné. Práve naopak. Obrovské množstvo aj tých najvýznamnejších internetových spoločností (vrátane Googlu a Facebooku) a aj finančných inštitúcií a ich finančných služieb tieto mechanizmy triviálne a bezstarostne používajú z dôvodu používateľského pohodlia.

Ak ste už niekedy klikli na odkaz v e-maile napr. od Googlu alebo Facebooku, ktorý vám bol poslaný z akéhokoľvek dôvodu, vykonali ste v základe všetko potrebné na naletenie na phishing.

Ako podvod prebieha a čo sa dá a nedá všimnúť

Prihlasovací dialóg pre účty Googlu

Z pohľadu používateľa sa nemusí stať nič prehnane podozrivé. Základom je obvykle e-mail, ktorý vám oznámi niečo relevantné o vašom používateľskom účte alebo službe, pričom jeho súčasťou je odkaz na rýchly preklik.

Ide napríklad o informáciu o nezvyčajnom prihlásení do účtu, zmenu konfigurácie, odsúhlasenie zmluvných podmienok a podobne.

Celý obsah e-mailu môže byť doslova rovnaký, ako má regulárny e-mail, ktorý ste už možno mnohokrát predtým dostali. Ak na odkaz v e-maile kliknete, dostanete sa k prihlasovaciemu dialógu Googlu, Facebooku či inej služby, cez ktorý sa prihlásite tak ako tisíckrát predtým. Celý útok je tak dokonaný. Prihlasovací formulár je totiž podvrhnutý a ide len o identickú kópiu toho skutočného. Zadané prihlasovacie meno a heslo teda neodosielate na server danej služby, ale podvodníkovi. Ten ich potom okamžite použije (respektíve jeho automatický stroj) na prihlásenie do regulárnej služby namiesto vás.

Súčasťou celého procesu môže byť aj dvojfaktorové overenie, pretože obeť sa z jej pohľadu prihlasuje regulárne a nemá problém do formulára zadať aj overovací PIN, ktorý práve dorazil cez SMS. Overovacia SMS je totiž reálna. Problémom je, že je vyvolaná simultánnym prihlásením podvodníka s poskytnutými údajmi, nie prihlásením používateľa. Obeť napíše PIN do podvrhnutého formulára a poskytne ho podvodníkovi v reálnom čase, rovnako ako mu pár sekúnd predtým poskytla svoje prihlasovacie údaje.

Útočník sa tak úspešne prihlási do účtu obete, kde okamžite zmení prihlasovacie heslo, pričom zároveň zmení aj doplnkový záchranný e-mail a telefónne číslo pripojené k účtu za svoje. Pôvodného majiteľa tak od účtu úspešne odstrihne, pretože prípadné pokusy o obnovu a reset hesla budú chodiť už na e-mail a telefónne číslo zlodeja.

Získanie overovacieho kódu nie je pri phishingu žiadna prekážka

Ako sa brániť

Pri obrane pred phishingom treba vždy držať v pamäti, že v celom procese podvodu sú relevantné len dva rozdiely, ktoré môžu byť očividné, ale nezriedkavo sú aj veľmi umne skryté v snahe uniknúť pred nepozorným či letmým pohľadom.

Obrana č. 1

Nikdy sa nespoliehajte na to, že phishingový e-mail bude na prvý pohľad zrejmý podľa svojho obsahu. Aj keď ste možno každodenne bombardovaní zástupom smiešnych pokusov, ich existencia nijako nevylučuje možnosť objavenia sa lepšieho.

Phishingový e-mail môže byť obsahovo aj graficky na nerozpoznanie od originálneho. Jeho obsah sa totiž z originálu dá triviálne skopírovať.

Relevantný rozdiel je len to, odkiaľ bol poslaný. Aj keď odosielateľa e-mailu technicky možno podvrhnúť a v základe môžete dostať e-mail z adresy typu spravca@facebook.com, aj v prípade, že ho nikdy neposlal, obyčajne sa to nestane. Väčšina najpoužívanejších e-mailových služieb totiž tieto prepisy hlavičiek deteguje a e-mail do vašej schránky nedoručí.

Vo väčšine phishingových pokusov preto dobre vidíte, že adresát odosielateľa je celkom iný, než by ste čakali od služby, ako je Google, Facebook a ďalšie. Takýto e-mail skrátka musí doraziť z adresy Googlu či Facebooku a nemôže vyzerať ako administrator@nejaka.domena.br.

Nezabúdajte však, že adresa môže byť imitovaná opticky, napríklad v štýle admin@faceb00k.com, kde sú písmená O nahradené číslom 0, čo sa pri zápise FACEB00K.COM môže pri zbežnom či nepozornom pohľade stratiť. Vždy sa teda pred akoukoľvek interakciou s daným e-mailom presvedčte, že odosielateľ je správny.

Prihlasovací dialóg sociálnej siete Facebook

Obrana č. 2

Pamätajte, že podvrhnutý prihlasovací formulár Googlu, Facebooku či inej služby môže byť na nerozpoznanie od originálneho. Útočníkovi totiž nič nebráni v tom, aby tieto stránky navštívil a webovú stránku s týmto formulárom kompletne vizuálne skopíroval aj so správaním a všetkými grafickými prvkami.

Jedinou odlišnosťou môže byť len adresa v adresnom riadku internetového prehliadača. Nemusí ísť len o nezmysel alebo spleť alfanumerických znakov. Pokojne môže mať aj podobu www.server-facebook-login.cc, čo človeka nepoznajúceho doménový systém môže zmiasť a pripadať mu rovnako reálne ako www.facebook.com/login/. Vždy sa teda uistite, že adresa je správna.

Obrana č. 3

Azda tá najspoľahlivejšia forma obrany je však v tejto súvislosti to, že na nevyžiadané e-maily tohto typu budete vždy reagovať pasívne.

Ak daný e-mail dostanete pri svojej vlastnej aktívnej akcii, napríklad v súvislosti s tým, že sa práve registrujete na novej službe a v priebehu pár sekúnd vám príde e-mail s aktivačným odkazom, je veľmi nepravdepodobné, že by presne v tom čase pristál vo vašej schránke pokus o phi shing v danej súvislosti. V takejto situácii je preto celkom normálne na vnútorný odkaz kliknúť a rýchlo tak vykonať príslušnú akciu.

No ak e-mail od Googlu, Facebooku či inej služby prišiel znenazdania a vyzýva vás na nejakú akciu z akéhokoľvek dôvodu, vždy je najbezpečnejšie na vnútorný odkaz neklikať a reagovať naň len pasívne. Navštívte skrátka danú službu klasickou cestou, na jej webe alebo v aplikácii bez ohľadu na e-mail.

Pamätajte na to, že nech je s vaším účtom akákoľvek nezrovnalosť alebo problém, vždy na to budete upozornení aj pri regulárnom prihlásení. Netreba klikať na odkazy v e-maile. Týmto spôsobom sa vyhnete drvivej väčšine rizík v súvislosti s phishingom bez nutnosti čokoľvek kontrolovať, riešiť alebo sa nejako zdržovať.