Prejsť na obsah
Centrum výpočtovej techniky

Phishing je forma podvodu, pri ktorej sa útočník pokúša používateľa nalákať na kliknutie na odkaz alebo otvorenie prílohy, pričom sa vydáva za inú osobu alebo organizáciu, ktorú používateľ pozná alebo ktorej dôveruje.

Cieľom útočníka je podvodom získať od používateľa jeho prihlasovacie údaje, údaje o kreditných kartách alebo infikovať jeho počítač škodlivým kódom.

Phishingové správy často obsahujú znepokojujúce alebo lákavé vyhlásenia, ktoré majú vyprovokovať okamžitú reakciu, prípadne môžu hroziť následkami, ak neodpoviete.

Phishingový útok môže byť vedený prostredníctvom e-mailu, sms alebo aj telefónnym volaním. Najčastejšie sa môžete stretnúť s e-mailovým phishingom zacieleným na používateľov nejakej služby (webmail, internetbanking, kuriérska spoločnosť), alebo na inú skupinu (zamestnancov, podnikateľov, študentov).

Spear phishing je cielený útok zameraný na konkrétneho používateľa, spravidla niekoho z manažmentu alebo finančného oddelenia, ktorého prístupové údaje, dáta alebo oprávnenia sú pre útočníka oveľa cennejšie. Útočník pri ňom používa veľmi dôveryhodnú komunikáciu, ktorú si dôkladne pripravil prieskumom svojho cieľa na sociálnych sieťach a verejných portáloch.

Prišla vám podorzivá správa alebo telefonát? Chcete si preveriť, či je správa pravá alebo podvodná? Kontaktujte nás.

Ako rozpoznať phishing

Znaky podvodného e-mailu alebo správy

  • text v cudzom jazyku,
  • text s pravopisnými a štylistickými chybami (strojovo preložený),
  • text vyvolávajúci dojem ohrozenia alebo časovej tiesne,
  • text ohľadom zvýšenia kapacity, kvóty, predĺženia alebo odblokovania účtu,
  • výzva k zadaniu, overeniu alebo odoslaniu prihlasovacích údajov a hesiel,
  • výzva k prihláseniu sa alebo kliknutiu na potvrdzovací (aktivačný) odkaz, alebo k inej aktivite pôsobiaci ako odoslaný z dôveryhodného zdroja, bez predošlého vyžiadania príjemcom (napr. ak používateľ práve nie je v procese registrácie nejakej služby),
  • text žiadajúci potvrdenie, že poznáte daného (aj reálneho) používateľa,
  • požadovanie úhrady v kryptomene, vydieranie vymyslenou hrozbou (zverejnením údajných kompromitujúcich materiálov, často spojených s vymyslenou návštevou pornostránok),
  • text obsahujúci niektoré z vašich hesiel získané pri úniku databáz prihlasovacích údajov (ak toto heslo niekde používate, bezodkladne si ho zmeňte),
  • všeobecné oslovenie "vážený zákazník" pri správe cielenej na aktivitu konkrétneho jednotlivca,
  • prísľub neočakávanej alebo príliš dobrej odmeny,
  • príloha bez sprievodného textu,
  • príloha neočakávaného druhu od dôveryhodného odosielateľa.

Podvodný telefonát

  • Neznámy volajúci od vás požaduje inštaláciu softvéru alebo inú činnosť, či poskytnutie informácie pod zámienkou riešenia licenčného problému alebo problému s bezpečnosťou, blokovaním konta alebo prekročenia kapacity schránky.
  • Volajúci môže požadovať finančnú úhradu vo forme darčekových poukazov alebo kryptomeny.
  • Často komunikuje lámavou angličtinou, ale nie je vylúčené ani volanie v slovenskom jazyku.
  • Môže sa predstaviť ako zamestnanec známej spoločnosti, napr. Microsoft, banky, právnickej firmy, úradu alebo aj ako zamestnanec STU.
  • Meno môže byť vymyslené, ale pri cielenom útoku sa môže volajúci vydávať za skutočného zamestnanca inštitúcie.

Osvedčené postupy proti phishingu

Elektronická forma phishingu

Podvodný e-mail alebo podvodná stránka, na ktorú vás e-mail nasmeruje, môžu vizuálne vyzerať autenticky, na nerozoznanie od pravej stránky. Farby, logá aj text a jeho rozloženie môžu byť dokonalo skopírované z reálnej stránky. Pozornosť preto venujte hlavne adrese na ktorú vás smerujú odkazy, menu a adrese odosielateľa správy, štylizácii textu a kriticky zvážte obsah správy, či nemá znaky popísané vyššie.

Takto rozlíšite podvodnú adresu od pravej:

  • Pravá adresa stránky alebo odkazu zodpovedá reálnemu názvu, v názve hlavnej domény nie je nič pridané, žiadne písmeno nie je nahradené, doména nie je subdoménou cudzej domény (príklady podvodných doménových názvov: studa.sk, stubalogin.sk, stuba.sk.secure.net, gmai.com, outiook.com, zoznann.sk).
  • Pravá stránka používa protokol https:// a dôveryhodný certifikát vydaný na meno organizácie.
  • Prehliadače a poštoví klienti zobrazia v oblasti stavového riadku skutočnú adresu, na ktorú smeruje odkaz na stránke alebo v e-maili ešte predtým, než na neho kliknete. Porovnajte si, či text na ktorý klikáte zodpovedá tomuto náhľadu.
  • Adresa odosielateľa pracovného e-mailu musí zodpovedať obvyklej konvencii pracovných mailov, napr. odosielateľ minedu@gmail.com nie je pravý, pretože veľké firmy a organizácie majú poštové schránky na vlastnej doméne - napr. v tvare: info@minedu.sk)

Ak vás napríklad e-mail v mene organizácie alebo banky vyzve k činnosti (prihlásenie, overenie, aktivácia a pod.), nevykonajte túto činnosť kliknutím na odkaz v e-mailovej správe ale otvorte si webovú stránku v prehliadači zadaním oficiálneho doménového mena (napr. stuba.sk, microsoft.sk, office.com, gmail.com). Tým sa vyhnete aj ťažko rozpoznateľným homografovým útokom, ktoré zamieňajú znaky za vizuálne podobné písmeno, napr. malé l a veľké i.

Moderní poštoví klienti, internetové prehliadače a antivírusové programy blokujú alebo označujú za podozrivé nebezpečné odkazy a súbory, nesnažte sa obísť tieto varovania. Udržute svoj operačný systém, internetový prehliadač a antivírusový program vždy aktualizovaný.

Pravidelne si zálohujte svoje dáta.

Telefonická forma phishingu

Cez prijatý telefonický hovor nemáte žiadnu spoľahlivú možnosť overiť si pravosť identity volajúceho. Preto pre vylúčenie pochybností uskutočnite spätné zavolanie na číslo, ktoré je zverejnené v oficiálnom telefónnom zozname. Ak je volajúce číslo zahraničné, z iného mesta alebo nie je dohľadateľné na internete, považujte ho za podvodné a nevolajte naň.

Podozrivého volajúceho môžete tiež požiadať, aby vám jeho požiadavku poslal e-mailom alebo listom. Uveďte, že danú záležitosť nechcete riešiť telefonicky. Ak volajúci z akéhokoľvek dôvodu nebude chcieť poslať jeho požiadavku e-mailom alebo písomne, považujte jeho žiadosť za podvodnú. Ak vám požiadavku následne pošle e-mailom, poraďte sa s vašim IT oddelením alebo ju prepošlite na it.security@stuba.sk pre konzultáciu s CVT.

Ako sa chrániť pred falošnou technickou podporou:

  • Microsoft neposiela nevyžiadané e-mailové správy ani neuskutočňuje nevyžiadané hovory na to, aby od vás vyžadoval osobné či finančné informácie, prípadne vám poskytol technickú podporu na opravu počítača.
  • Akákoľvek komunikácia so spoločnosťou Microsoft musí začať od vás.
  • Ak sa zobrazí automaticky otváraná správa s telefónnym číslom, na toto číslo nevolajte. Chybové hlásenia a upozornenia od spoločnosti Microsoft nikdy neobsahujú telefónne číslo.
  • Neočakávanému volajúcemu nepovoľujte prístup na vzdialené ovládanie počítača a neprezrádzajte mu svoje prihlasovacie údaje.

Podozrivý telefonát bez výčitiek ukončite.

Otestujte sa, či rozpoznáte phishing

Phishingový test (slovenský jazyk, csirt.gov.sk)

Naučte sa rozpoznať podvodné e-maily (slovenský jazyk, wombatsecurity.com)

Jigsaw's Phishing Quiz (anglický jazyk, withgoogle.com)

Viac informácii o phishingu a sociálnom inžinierstve

Návody a odporúčania csirt.gov.sk

Phishingové emaily - rozpoznanie a obrana

Príklady reálnych phishingových útokov

Volá Vám technická podpora Microsoft

Matovičovi volali podvodníci. Čo chcela falošná „technická podpora“?

Zvuková nahrávka autentického hovoru podvodníka

Phishing zameraný na používateľov Office 365 a Teams

Príklady phishingových e-mailov z našich schránok