Co dělat když mi přijde phishing?
Co je to phishing?
Jak poznám, že jsem na správné webové stránce?
- Doména odpovídá té, kterou jste chtěli navštivit.
- Certifikát je vydaný pro odpovídající identitu (společnost).
Proč už zámeček v prohlížeči není zelený?
- Protože se zabezpečený přístup k webovým stránkám natolik rozšířil, že se s HTTPs stal defacto standart. Není proto nutné explicitně upozorňovat na tuto skutečnost.
- Naopak webové prohlížeče ukazují (červeně) stránky na které uživatel přistupuje nezabezpečeně!
Na co si dávat pozor? (Když jsem byl(a) přesměrován(a) na webovou stránku z nějakého odkazu)
- Odkaz vede na legitimní doménu
- Údaje v certitikátu odpovídají, pro koho je vydán…
Typické phishingové zprávy
- Etický kodex. Domnělá zpráva z HR oddělení představující nový etický kodex společnosti. S globálním zájmem o zvýšení diverzity na pracovištích a omezení obtěžování řada společností reviduje své interní pokyny pro zaměstnance. Většina zaměstnanců ví, že by si měli nové pokyny přečíst a že je HR tým povinen je uhánět, dokud to neudělají. Takže kliknutí na tento e-mail vypadá jako úkol, který byste měli vyřídit.
- Zpožděné dodání ročního vyúčtování daní. Simulované upozornění zaměstnancům, že jejich podklady k daňovému přiznání nedorazí v očekávaném termínu. Ať už se příslušné formuláře ve vaší zemi nazývají jakkoli, jedná se o „nezbytné zlo“, o kterém zaměstnanci vědí, že jej potřebují vyřídit, takže možná budou chtít také zjistit, jak dlouhé to zpoždění bude.
- Plánovaná údržba serveru. Pro bezpečnostní experty Sophosu bylo překvapením, že se tato zpráva dostala na 3. příčku v tomto hodnocení, protože spíše cynicky předpokládali, že většina lidí tento druh zpráv z IT spíše ignoruje. Už jen proto, že s tímto typem sdělení stejně nemohou nic dělat. Po další úvaze lze však dojít k závěru, že v dnešní době, kdy množství lidí pracuje z domova, se budou zajímat o to, kdy pravděpodobně dojde k odstávce, aby si podle toho mohli naplánovat svoje aktivity.
- Byl vám přidělen úkol. V případě této zprávy umožňuje nástroj Phish Threat výběr systému na plánování projektů, který daná společnost používá (např. JIRA, Asana aj.), takže e-mail nevypadá jako zjevně falešný. Přestože jde o částečně cílený phishing, organizace by měly předpokládat, že jimi používané podnikové nástroje jsou všeobecně známé a podvodníci si je mohou snadno zjistit, možná dokonce i automaticky.
- Test nového e-mailového systému**. Kdo ze zaměstnanců by nechtěl být nápomocen, když stačí jediné kliknutí?
- Aktualizace pravidel čerpání dovolených. Kvůli omezením a karanténě v souvislosti s koronavirem se ukazuje, že hlášení a čerpání dovoleným může být v praxi problematické. Mnoho společností kvůli tomu odpovídajícím způsobem upravilo svá pravidla pro čerpání dovolené – a kdo by chtěl riskovat, že přijde o volno?
- Zapnutá světla u auta. V této zprávě chce být správce budovy evidentně mile nápomocný, když hlásí, že si někdo nechal na parkovišti rozsvícená světla. Ve skutečnosti by ale zaměstnanci měli zpozornět a pojmout podezření, proč správce posílá fotografii, namísto toho, aby jen napsal registrační značku auta.
- Nedoručená zásilka kurýrní službou. Toto je osvědčený trik, který podvodníci používají už léta. Kvůli nárůstu dodávek do domu vlivem koronaviru je dnes obzvláště důvěryhodný. Ve skutečnosti můžete právě teď očekávat nějakou zásilku – a pokud je to dodavatel, kdo rozhoduje, jakou kurýrní společnost využije, tak ani možná nevíte, kdo vám ji doručí.
- Zabezpečený dokument. Údajně se jedná o „zabezpečený dokument“ od HR týmu, což je pravděpodobně důvodem, proč se jej neobvyklým způsobem pokusíte zobrazit. Tento trik phishingoví podvodníci často používají jako důvod přesvědčit vás, abyste zadali heslo tam, kde obvykle nemusíte, nebo upravili nastavení zabezpečení ve vašem počítači – zdánlivě kvůli posílení zabezpečení, ale ve skutečnosti k jeho snížení.
- Zpráva ze sociálních sítí. V daném případě šlo o simulované oznámení ze sítě LinkedIn sdělující příjemci, že „Máte nepřečtené zprávy od Josefa“. Zdá se, že si LinkedIn právě zažívá nárůst popularity, což není překvapivé vzhledem k tomu, kolik lidí přišlo kvůli koronavirové pandemii o práci nebo jim byla zkrácena pracovní doba. Je lákavé kliknout ze strachu, abyste něco nepromeškali, a podvodníci toho rádi využijí
Přišla mi neznámá zpráva, co teď?!
- Přemýšlejte, než kliknete. I když zpráva vypadá na první pohled nevinně, existují známky podvodu, které jsou očividné, pokud si dáte na čas s kontrolou. Mezi příklady patří pravopisné chyby, o kterých pochybujete, že by je odesílatel udělal, terminologie, která neodpovídá vašemu prostředí, softwarové nástroje, které vaše společnost nepoužívá a chování, jako je třeba změna nastavení zabezpečení, u kterého jste byli výslovně upozorněni, abyste jej neměnili.
- Pokud si nejste jistí, ověřte si zprávu u odesílatele. Ale nikdy si pravost zprávy neověřujte odpovědí na podezřelý e-mail – vždy dostanete odpověď „Ano“, protože legitimní odesílatel by řekl pravdu, ale podvodník by lhal. Použijte podnikový adresář přístupný důvěryhodnými prostředky k nalezení způsobu, jak se spojit s kolegou, o kterém si myslíte, že se za něj někdo vydává.
- Pečlivě si prohlédněte odkazy, než na ně kliknete. Mnoho phishingových e-mailů obsahuje bezchybný text a obrázky. Ale podvodníci často musí při hostování svých phishingových stránek spoléhat na dočasné cloudové servery nebo hacknuté webové stránky a léčka se často projeví v názvu domény, kterou chtějí, abyste navštívili. Nenechte se oklamat, když je název serveru „hodně podobný“ – podvodníci si často registrují téměř stejná doménová jména, jako třeba vasefirna, vasesp0lecnost (s nulou místo písmena O) nebo vasefirma-web, s použitím překlepů, podobně vypadajících znaků nebo doplněného textu.
- Nahlaste podezřelé e-maily vašemu bezpečnostnímu týmu. Zvykněte si to dělat pokaždé, i když to vypadá jako nevděčný úkol. Phishingoví podvodníci neposílají své e-maily pouze jedné osobě, takže pokud jste první, kdo ve vaší společnosti zaznamená nový podvod, včasné varování umožní vašemu IT oddělení upozornit všechny ostatní, kteří zprávu také mohli obdržet.