18. 5. 2018

Bezpečné internetové bankovnictví: Jak se nestat zlatou rybkou

minulém dílu našeho seriálu jsme vás seznámili s phishingem, nebezpečnou technikou internetových podvodníků. Dnes si ukážeme základní pravidla, díky kterým se rizikům phishingu můžete snadno vyhnout.

Základem je prevence

I když věříme, že ke svému internetovému bankovnictví přistupujete zodpovědně, zopakujeme pro jistotu základní bezpečnostní postupy.

  • Pamatujte si, že od své banky můžete e-mailem obdržet výpis z účtu nebo jiné dokumenty, informační zprávy (např. o změně obchodních podmínek), případně upozornění na nějakou událost (pokud jste si zasílání e-mailů nastavili v notifikačním systému). Banka ale nikdy neposílá e-maily s formulářem nebo odkazem na přihlašovací formulář. Pokud e-mail obsahuje výzvu typu Přihlaste se kliknutím zde, může jít o podvod.
     
  • Pokud máte pochybnosti, zda e-mail není podvodný, přihlaste se do svého internetového bankovnictví a ověřte si skutečný stav věci. Adresu bankovnictví ale vždy zapište do prohlížeče sami (nebo využijte uloženou záložku), neklikejte na odkazy uvedené v e-mailu.
     
  • Pokud je pro vás adresa internetového bankovnictví příliš složitá na zapsání nebo si ji nepamatujete, jděte na hlavní web vaší banky a přejděte do bankovnictví z něj. Adresa hlavního webu je obvykle jednoduchá a pamatuje se lépe než adresa on-line bankovnictví.
     
  • Pokud zapisujete adresu internetového bankovnictví do prohlížeče ručně, dejte pozor na překlepy (např. mojeprvnibakna.cz namísto správného mojeprvnibanka.cz). Na překlepové doméně totiž může být falešný web, ze kterého vaše přihlašovací údaje poputují do rukou podvodníků.
     
  • Používejte antivirus, antispyware, firewall. Aktualizujte operační systém, prohlížeč i další software. Bezpečnostní díry v počítači mohou útočníkům otevřít cestu k vašim citlivým informacím i bez zasílání podvodných e-mailů.
     
  • Do internetového bankovnictví nevstupujte z neznámých nebo veřejně přístupných počítačů. Pokud nemáte počítač pod kontrolou, nevíte, co je v něm nainstalováno a jak je zabezpečen.
     
  • Pokud se vaše internetové bankovnictví chová neobvykle, poznamenejte si, co vám přišlo podezřelé, případně si uložte otisk obrazovky (screenshot). Pak bankovnictví uzavřete a kontaktujte zákaznickou linku své banky, kde zjistíte, zda jde pouze o změnu v bankovnictví, nebo jste narazili na podvodnou stránku.  

Phishing neútočí jen na váš bankovní účet

Phishingové útoky zdaleka nemíří jen na klienty bank. Cílem podvodníků je vše, co se dá zpeněžit. Můžete se proto setkat s mnoha dalšími variantami tohoto typu podvodu, například ve formě e-mailu, která vás zavede na falešnou přihlašovací stránku Facebooku (odkazovaná stránka s popisem útoku je v angličtině), v bezpečí nejsou ani uživatelé produktů Apple (v angličtině). Velký pozor dávejte také na odkazy zdánlivě vedoucí na sdílené dokumenty a další soubory. I pod nimi se mohou skrývat podvodné stránky.

Časté omyly související s phishingem

Mé bance někdo ukradl adresář klientů.
V drtivé většině případů phishing nepoužívá databázi klientů banky, ale je rozesílán na adresy získané z jiných zdrojů, například ukradené z napadených počítačů, stažené z veřejně přístupných zdrojů (veřejné rejstříky firem) apod. Proto vám může přijít i falešná zpráva z banky, u které účet ani jiné služby nemáte.

Podvodný e-mail snadno poznám podle špatné češtiny.
Dávno pryč jsou doby, kdy podvodné e-maily obsahovaly robotický překlad do češtiny, plný gramatických chyb a s nesmyslným slovosledem. I darebáci se učí, a proto jsou současné podvodné e-maily často napsány spisovnou a bezchybnou češtinou.

Kouknu na adresu a hned vidím, kam odkaz vede.
Na tento omyl dávejte velký pozor. Útočníci totiž leckdy sázejí i na to, že si odkaz budete kontrolovat, ale přehlédnete detaily. Proto jsou mnohé falešné domény velmi podobné originálu, například místo pravé adresy www.mojeprvnibanka.cz obsahuje podvodný e-mail adresu www.mojeprvnibanka.cc.

Na nějaký podvod jen tak neskočím.
Podvodníci jsou velmi vynalézaví. Mohou do e-mailu zkopírovat text a grafiku z webu banky, nemají problém s věrohodným napodobením formátu skutečných bankovních zpráv (např. těch, ve kterých je vám zasílán výpis). Známy jsou i případy, kdy phishingový e-mail obsahoval varování před phishingem a odkaz, na kterém si lidé měli změnit heslo ke svému účtu. Odkaz pochopitelně vedl na podvodnou stránku.

Snad vidím, od koho mi ten e-mail přišel…
Ne, nevidíte. Podstrčit do zprávy falešnou adresu odesilatele je triviální úkol, který zvládne i amatér. O skutečném autorovi neříká adresa odesilatele vůbec nic.

Tady čtu, že ten odkaz vede na web banky.
Kam odkaz ve skutečnosti vede, nezjistíte v textu, ale až při zobrazení adresy pod odkazem. V internetových prohlížečích a poštovních programech zjistíte skutečnou adresu odkazu tak, že najedete myší (kurzorem) nad text označený jako odkaz. Prohlížeč či poštovní program vám pak skutečnou adresu zobrazí buď na dolním okraji okna, nebo přímo u kurzoru. Vyzkoušet si rozdíl mezi adresou napsanou v textu a adresou skutečnou můžete na následujícím odkazu: www.mojeprvnibanka.cz (najeďte na odkaz kurzorem a prohlédněte si v levém dolním rohu okna adresu, která je ve skutečnosti ukryta pod odkazem).

Tohle se stará věc, dneska už by na to nikdo neskočil.
Phishing rozhodně není historií, objevuje se v mnoha podobách i v současnosti. Zcela čerstvým příkladem je útok, který podrobně zdokumentoval jeden z uživatelů YouTube. V tomto případě se naštěstí jedná o značně amatérský phishing, který díky mnoha chybám v textu snadno odhalíte.

Phishing v praxi

Kupte si iPhone za korunu (a odevzdejte svůj e-mail a přístup k účtu)
Phishing útočící na zákazníky Alzy je čerstvou záležitostí z počátku letošního května. Podvod začíná jako SMS výzva k vyzvednutí balíčku, proklikem odkazu se uživatel dostane na podvodný web, kde „vyhraje“ iPhone za 1 Kč. Cílem útoku je zřejmě krádež přístupových údajů do e-shopu a údajů potřebných k provedení platby. Útok je podrobně zdokumentován na portálu hoax.cz.

Přišel vám balíček (s novým virem)
Své zkušenosti s phishingem mají i zákazníci pošty. Podvodný e-mail s informací o údajně uložené zásilce je odkazoval na falešný web. Ten byl velmi zdařilou kopií skutečného webu České pošty. Cílem útočníků bylo donutit uživatele ke stažení zavirovaného souboru. Popis útoku včetně ukázek e-mailu a falešné stránky najdete na webu viry.cz.

Jsou akademici imunní (vůči podvodům)?
Phishing se nevyhýbá žádné oblasti, příkladem může být přehled útoků na uživatele v síti Univerzity Hradec Králové. V přehledu útoků za poslední tři roky najdete hned několik typických příkladů, jak phishing využívá psychologický nátlak na adresáty: časový tlak (udělejte to hned, jinak bude pozdě), maskování viru za běžný dokument (posíláme vám fakturu) nebo výhrůžky (pozastavíme vám přístup do e-mailu, protože jste k němu přistupovali z „černé IP“). Ukázky podvodných e-mailů včetně komentářů najdete na webu uhk.cz.

Nikdo neunikne (zájmu podvodníků)
Obyčejná žádost o nové zadání přihlašovacích údajů stála za mediálně slavným únikem necudných fotografií amerických celebrit. Stačilo poslat dostatečné množství podvodných zpráv a čekat, kolik adresátů se chytí. Popis a ukázky útoku můžete zhlédnout na portálu Lupa.cz.