Nechcete přijít o přihlašovací údaje a soukromé informace? Na co si dát pozor

Kyberzločinci se stále více věnují podvodům a phishingovým kampaním, které mají oklamat co nejvíce lidí a vylákat z nich osobní údaje. Ukázala to pravidelná zpráva „Brand Phishing Report“ zaměřená na phishingové útoky v 1. čtvrtletí 2023.

Check Point Research, výzkumný tým společnostiCheck Point® Software Technologies Ltd. (NASDAQ: CHKP) zveřejnil pravidelnou zprávu „Brand Phishing Report“ v květnu.

Ilustrační obrázek

Jak už z názvu zprávy vyplývá, výzkum sleduje, jaké značky kyberzločinci nejčastěji napodobují při pokusech o krádeže osobních dat nebo platebních údajů.

Walmart nejčastěji napodobovanou značkou

Nejčastěji napodobovanou značkou při phishingových útocích byl v 1. čtvrtletí 2023 prodejní gigant Walmart (16 % všech phishingových podvodů napodobujících známé značky), který v žebříčku poskočil o 12 míst. Důvodem je významná kampaň lákající oběti na průzkum o „kolapsu dodavatelského systému“.

Na druhém místě bylo znovu DHL a na třetí pozici Microsoft. Celkově byl nejčastěji napodobovaným odvětvím technologický sektor, následovaný přepravou a maloobchodem. Phishingovým útokům přitom čelí většina firem.

Pozor na klikání na škodlivé odkazy

Nejnovější zpráva upozorňuje, že kyberzločinci často zneužívají také finanční instituce. Raiffeisenbank se poprvé dostala do Top 10. Útočníci rozesílají například zprávy, které upozorňují na nedostatečně zabezpečený účet. V okamžiku, kdy uživatel klikne na škodlivý odkaz, je přesměrován na podvodnou stránku, která má z obětí vylákat cenná data.

„Kyberzločinci vytváří takové podvody a phishingové kampaně, které mají potenciál oklamat co nejvíce lidí a vylákat z nich osobní údaje,“ potvrzuje Peter Kovalčík, regionální ředitel Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.

Průzkum: Většina manažerů firem čelila phishingu, šestina ransomwarovému útoku

„V některých případech je cílem zisk informací o účtech, jiné podvody mají ukrást platební údaje. Nejlepší obranou proti phishingovým hrozbám je průběžné vzdělávání uživatelů a s tím následně spojená schopnost lépe rozpoznat triky kyberzločinců. Současně je potřeba používat pokročilá preventivní bezpečnostní řešení, která potenciální útoky zastaví ještě před tím, než mohou způsobit nějaké škody,“ dodává Kovalčík.

Při phishingových útocích se kyberzločinci snaží napodobovat známé značky a jejich webové stránky, včetně URL adresy a designu stránek. Odkaz na podvodný web pak šíří e-mailem nebo textovou zprávou, popřípadě na stránky přesměrují uživatele z jiných služeb či podvodných mobilních aplikací. Podvodný web také často obsahuje formulář, určený k odcizení přihlašovacích údajů, platebních dat nebo jiných osobních informací.

Útočníci se snaží zneužít důvěry a lidských emocí. Pocit naléhavosti může způsobit, že uživatelé na něco kliknou, aniž by si předtím ověřili, zda zpráva skutečně pochází od dané značky. Útočníci mohou oběť také zmanipulovat ke stažení malwaru.

Nejčastěji napodobované značky ve phishingových podvodech za 1. čtvrtletí 2023

  1. Walmart (16 % všech phishingových podvodů napodobujících známé značky)
  2. DHL (13 %)
  3. Microsoft (12 %)
  4. LinkedIn (6 %)
  5. FedEx (4,9 %)
  6. Google (4,8 %)
  7. Netflix (4 %)
  8. Raiffeisenbank (3,6 %)
  9. PayPal (3,5 %)

Oblíbené jsou také různé triky a pokusy o krádeže bankovních informací a účtů. Podvodníci opět zkoušejí v lidech vyvolat emoce a přinutit uživatele k rychlé akci, proto je typickým obsahem takových zpráv urgentně vypadající informace o zablokování účtu.

Podobné podvodné zprávy zneužívaly například známých značek ČSOB nebo Fio banka. Zároveň se šířil i nebezpečný e-mail napodobující zprávu od Raiffeisenbank, který tvrdil, že si uživatel musí aktivovat službu SmartToken, jinak může být ohrožena bezpečnost účtu. Všechny zprávy se na první pohled tváří, jako by byly skutečně odeslané bankou, ale adresa neodpovídala a v e-mailech byly odkazy přesměrovávající uživatele na podvodné stránky.

Řada podvodů se snaží využívat obliby různých streamovacích služeb. Phishingová zpráva napodobující Netflix vyzývala k aktualizaci informací o účtu, protože prý nebyla správně zadána platba na další období. Odkaz na obnovení předplatného přesměroval na škodlivou stránku, jejíž cílem byla krádež platebních údajů. Podobný trik používali i kyberzločinci v nebezpečných e-mailech napodobujících Apple TV+.

Jak se před phishingem chránit? Bezpečnostní tipy:

  1. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. Krádeže přihlašovacích údajů jsou oblíbeným cílem kybernetických útoků. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže hackeři snadno získají přístup k dalším online službám
  2. Pozor na e-maily s žádostí o resetování hesla. Pokud obdržíte nevyžádaný e-mail s žádostí o resetování hesla, neklikejte na odkazy ve zprávě. Kliknutím na odkaz se totiž můžete dostat na phishingové stránky, které sice budou připomínat originální web, ale své přihlašovací údaje poskytnete kyberzločinci.
  3. Nenechte se zmanipulovat. Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu.
  4. Všímejte si detailů. Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se třeba o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://.
  5. Obecně platí: nikdy nesdílejte více, než je nezbytně nutné. Společnosti nepotřebují vaše rodné číslo, abyste u nich mohli nakoupit. Nikdy neposkytujte své přihlašovací údaje třetím stranám.
  6. Smažte podezřelé zprávy. Pokud máte podezření, že něco není v pořádku, důvěřujte svým instinktům a podezřelou zprávu smažte bez otevírání a klikání na odkazy.
  7. Neklikejte na přílohy. Neotvírejte přílohy v podezřelých nebo podivných zprávách – zejména přílohy Word, Excel, PowerPoint nebo PDF, ale samozřejmě ani přílohy typu EXE, MSI nebo BAT.
  8. Ověřte odesílatele. U každé zprávy zkontrolujte, kdo jej posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele. A neváhejte blokovat podezřelé odesílatele.
  9. Neodkládejte aktualizace. V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může kyberzločinci umožnit, aby se dostal k vašim osobním informacím.
  10. Nikdy nevěřte příliš výhodným nabídkám, jako „80% sleva na nový iPhone“. Buďte velmi opatrní i u výstražných zpráv a vždy raději napřímo kontaktujte danou společnost, ať už vám přijde upomínka z banky nebo například zpráva o nedoručené zásilce.

• Teritorium: Česká republika
• Oblasti podnikání: Bezpečnost | Software a ICT služby

Doporučujeme