Radek je šikovný student magisterského programu, který doučuje a školí lidi ze svého okolí. To zahrnuje práci se spoustou osobních dat svých žáků. Do e-mailu Radkovi přišla zpráva, která odkazuje na přihlašovací okno systému, kde eviduje své žáky, včetně jejich studia. Odkaz byl doplněný zprávou, že pokud se Radek přihlásí přes zaslaný odkaz ještě ten daný den, dostane zdarma přístup ke dvěma novým modulům systému, které jeho vzdělávání posunou o další úroveň výše.

Obsah zprávy zněl velmi lákavě a pokud by Radek své údaje vyplnil a odeslal, putovaly by přímo do rukou útočníka. Tento příběh je postavený na reálné zkušenosti mnoha uživatelů, jedná se totiž o ukázkový phishing, kdy útočník rozesílá hromadně velké množství podvodných e-mailů a snaží se tak sbírat přihlašovací údaje. Ty pak může libovolně zneužít.

Bezpečnostní útok nazývaný phising je jednou z technik sociálního inženýrství, které pro své cíle využívá velmi citlivou metodu – psychologickou manipulaci, a to skrze přirozené lidské slabosti, tedy například zvědavost, strach či nepozornost. Skrze tento typ manipulace dokáže útočník svou oběť dokonale oklamat. Ta se může následně dopustit bezpečnostní chyby a poskytnout tak útočníkovi informace v podobě citlivých údajů a přístupových práv, nebo rovnou peněžních částek.

Jak se takové chyby vyvarovat?

1. Důvěřuj, ale prověřuj. Zapojte kritické myšlení – proč by vám na internetu dával někdo něco zdarma? Jak již navíc víte z předchozích dílů tohoto seriálu, ne každý e-mail musí být skutečně od toho odesílatele, od jakého se zdá, že je.
2. Útok je skryt v detailu. Soustřeďte se na gramatiku a pravopis zprávy – podivné formulace a chyby by každého uživatele měly ihned zalarmovat.
3. Dvakrát měř, jednou klikni. Pořádně si prohlédněte URL odkaz (někdy může jít jen o prohozená písmenka v adresním řádku), ale i celkovou grafickou podobu stránky. I drobné nuance mohou být předzvěstí nekalosti. Navíc platí, že heslo nikdy nezadáme přes odkaz, který nám někdo zašle.

Vyzkoušejte si, jaké to může být v podobných situacích, jakou zažil Radek. Poznáte phishing a další zákeřné metody? Odhalíte je dostatečně brzy? Otestovat se můžete na webu KYBERTEST, v testu od Google nebo ve slovenské verzi podobného testu na webu CSIRT.SK.

Technik sociálního inženýrství je celá řada – do emailu vám může přijít výzva k zaplacení vyšších i nižších částek, a to jak tvářící se jako korespondence od známých institucí a organizací, tak od vašich známých či kolegů.

Útoky se však netýkají jen emailů. Zvýšit svou pozornost je třeba u jakéhokoliv typu přihlašování, je důležité se soustředit na gramatiku textu a grafické zpracování stránky. K útoku může dojít také prostřednictvím SMS zprávy nebo podvodného telefonátu. Leckterý uživatel si neuvědomí, že takový útok může mít podobu doručovací SMS od dodávky jídla nebo hovoru s osobou vydávající se za bankovního poradce.

Jak je důležité v takových případech postupovat?

Nikdy nikomu nesdělujte své heslo a PIN (písemně ani telefonicky) a nepřihlašujte se prostřednictvím odkazů, které vám někdo zašle v emailu. Vždy zachovávejte chladnou hlavu – přemýšlejte nad tím, proč by po vás mohl někdo něco podobného chtít a v neposlední řadě se nenechte ovlivnit nátlakem („Když se nezaregistrujete do 15 minut, přijdete o všechny výhody!“). Ideální je se permanentně kriticky zamýšlet nad tím, na co a proč na internetu klikáte a všímat si podezřele vypadajících aspektů stránek a mailů.

Vhodným postupem je vždy tuto odhalenou podvodnou činnost nahlásit. Pokud se vám zdají požadavky, které vám dorazily na pracovní či školní email, podezřelé nebo v případě, že phishingu podlehnete, vše obratem nahlaste na security@helpdesk.osu.cz.

Pokud byste odhalili podvodný hovor, zaznamenejte si číslo, ze kterého vám bylo voláno, čas a jaké údaje chtěl útočník vědět. S těmito informacemi je vhodné se poté obrátit na policii, mohou totiž výrazně pomoci při dopadení pachatele.

Chcete se dozvědět více o tom, jak se na internetu chovat bezpečně? Zapojte se do online kurzu nazvaného Základy kybernetické bezpečnosti, který vytvořili odborníci z Centra informačních technologií OU pro zaměstnance a studenty univerzity. Na konkrétních případech si projdete nejčastější chyby, kterých se uživatelé dopouští a naučíte se, jak jim předcházet a účinně se bránit. Kurz najdete na tomto odkaze.