Phishingové útoky jsou na vzestupu – v roce 2023 se počet cílených phishingových útoků v Česku zvýšil o 70 procent oproti předchozímu roku. Útočníci své metody navíc neustále vylepšují a rozpoznat phishingový útok je stále těžší. Jak poznat, že se jedná právě o phishing, a jak se proti němu bránit? Zjistěte, jak nejlépe chránit svá firemní data.
Co je phishing?
Phishing je kybernetický útok, kde se útočníci snaží získat vaše osobní informace, jako jsou přihlašovací údaje a čísla platebních karet. Útočníci přitom šíří tisíce podvodných e-mailů, zpráv na sociálních sítích a falešných webových stránek v naději, že někdo naletí.
Jedná se o jednu z nejzákeřnějších forem kybernetických útoků, které využívají důvěřivost lidí prostřednictvím technik sociálního inženýrství. Phishingové útoky obchází technická bezpečnostní opatření a útočí přímo na samotné uživatele.
7 typů phishingu
1. E-mailový phishing
E-mailový phishing, známý také jako bulk phishing, je posílán hromadně na tisíce e-mailových adres. Na první pohled může vypadat naprosto legitimně. Stačí však jediné kliknutí na odkaz a ocitnete se na falešné webové stránce, kde podvodníci čekají na vaše citlivé údaje.
Cílem těchto podvodných zpráv je přesvědčit alespoň malý zlomek oslovených uživatelů, aby reagovali. Útočníci se často schovávají za loga renomovaných firem, institucí nebo známých osobností, aby zvýšili důvěryhodnost svých podvodů.
Příklad phishingového e-mailu, zdroj: Knowee
2. Smishing
Smishing využívá podvodné textové zprávy. Může to vypadat tak, že dostanete SMS od „banky“ nebo „kurýrní služby“ s varováním o problémové zásilce. Zpráva často obsahuje hypertextový odkaz, který láká uživatele k získání více informací nebo k poskytnutí citlivých údajů, jako jsou přihlašovací údaje či číslo kreditní karty.
Kliknutím na tento odkaz riskujete infikování svého zařízení malwarem nebo poskytnutí osobních údajů podvodníkům.
Příklad smishingu, zdroj: Knowee
3. Pharming
Pharming je útok, který manipuluje s nastavením DNS nebo využívá malware, aby vás přesměroval na falešnou webovou stránku, která na první pohled vypadá věrohodně. Je tedy věrnou replikou cílového webu. Zde se vaše přihlašovací údaje dostanou přímo k útočníkům, aniž byste tušili, že jste obětí podvodu.
Na rozdíl od tradičního phishingu jsou uživatelé přímo přesměrováni na tyto podvodné stránky z vyhledávače, aniž by museli klikat na jakýkoliv odkaz či návnadu.
4. Spear phishing
Tento útok je osobní – útočí na konkrétní osobu. Útočníci shromažďují informace o vás z veřejných zdrojů nebo sociálních sítí, aby vytvořili zprávu šitou na míru. Zpráva vypadá, jako by přišla od vašeho nadřízeného, kolegy nebo známého. Důvěřivě pak poskytnete své citlivé údaje nebo provedete požadovanou akci bez váhání.
Zprávy od útočníků mohou být zasílány i přes jiné komunikační nástroje než e-mail, jako jsou WhatsApp, Messenger a podobně. Klíčovým rozdílem oproti běžnému phishingu je využití cílených a personalizovaných informací k přesvědčení uživatelů ke sdílení citlivých dat. V tomto případě nejde o kvantitu oslovených obětí, ale o kvalitu a přesnost zacílení. 
Příklad spear phishingu, zdroj: Knowee
5. Clone phishing
Clone phishing je technika, při které podvodníci vytvoří přesnou kopii legitimního e-mailu, který jste již dříve obdrželi. V těchto "klonovaných" e-mailech nahradí odkazy nebo přílohy škodlivými verzemi. Když na ně kliknete, otevřete útočníkům dveře.
Můžete se domnívat, že jde o pokračování předchozí komunikace, ale ve skutečnosti jde o past. Příklady zahrnují nabídky na časově omezené "výhodné" akce nebo upozornění na aktualizovanou zprávu, kterou jste již obdrželi. Je důležité věnovat pozornost detailům, jako je design a adresa odesílatele.
6. Vishing (voice phishing)
Vishing je forma phishingového útoku prováděného prostřednictvím telefonních hovorů. Útočníci používají předem nahrané a automaticky přehrávané zprávy vytvořené pomocí generátorů textu na řeč, ale mohou také volat osobně.
Jejich telefonní čísla často vypadají jako čísla skutečných institucí díky technice zvané spoofing. Během hovoru vás varují před údajnou bezpečnostní hrozbou a snaží se vás přimět k odhalení osobních nebo přihlašovacích údajů.
Při jakýchkoliv pochybnostech je nejlepší okamžitě zavěsit a zavolat na oficiální číslo dané instituce, aby se ověřila pravdivost požadavků nebo identita volajícího.
Příklad vishingu, zdroj: Knowee
7. Whaling
Whaling je cílený phishingový útok zaměřený na „velké ryby“ – vedoucí pracovníky a osoby s vysokou rozhodovací pravomocí, jako jsou CEO a CFO. Útočníci vytvářejí pečlivě navržené e-maily, které vypadají jako strategické pokyny nebo důležitá oznámení, s cílem získat přístup k citlivým firemním informacím nebo financím. Tyto útoky jsou velmi sofistikované a mohou mít závažné důsledky pro celou organizaci, pokud jsou úspěšné.
TIP: Zjistěte, jak detekovat kyberútoky a ochránit svou firmu.
Jak phishing rozpoznat?
Phishingové podvody každým rokem rostou a patří mezi nejčastější taktiky, které hackeři využívají k získání citlivých dat. Denně je po celém světě odesláno ohromujících 15 miliard phishingových e-mailů. V roce 2023 bylo phishingovým útokům vystaveno 83 % firem.
Phishingové útoky jsou čím dál sofistikovanější, a proto se každá firma může snadno stát obětí.
7 nejdůležitějších znaků, které vám pomohou rozpoznat phishingový útok
- Naléhavá zpráva: Pokud dostanete e-mail, který vás nutí jednat okamžitě, buďte obezřetní. Skutečná banka nebo důvěryhodný obchodní partner vás nikdy nebudou tlačit do rychlých rozhodnutí bez předchozího upozornění.
- Neznámý nebo podezřelý odesílatel: Při kontrole adresy odesílatele věnujte pozornost detailům. I malý překlep nebo neznámá doména mohou být znamením podvodu.
- Podezřelé odkazy a přílohy: Nikdy neklikejte na odkazy ani neotvírejte přílohy v nečekaných zprávách. Nejprve si ověřte, zda je odesílatel skutečný. Když na odkaz najedete myší, aniž byste klikli, zjistíte, kam skutečně vede.
- Gramatické a stylistické chyby: Phishingové zprávy často obsahují gramatické chyby nebo podivně znějící formulace. Pokud narazíte na špatnou češtinu v důležité zprávě, mějte se na pozoru. S vývojem umělé inteligence však toto rozpoznávací kritérium není tak spolehlivé, protože chyby se vyskytují spíše u amatérských útočníků.
- Neobvyklá žádost o informace: Žádná důvěryhodná instituce, ať už je to vaše banka nebo IT oddělení, by nikdy nepožadovala citlivé údaje, jako jsou hesla nebo PIN kódy, prostřednictvím e-mailu nebo zprávy. Pokud vás někdo požádá o takové údaje, zeptejte se sami sebe, proč by daná osoba nebo instituce měla tyto informace vůbec potřebovat.
- Falešné webové stránky: Při zadávání citlivých údajů se vždy ujistěte, že jste na správné webové stránce. Zkontrolujte URL adresu a hledejte známky zabezpečení, jako je HTTPS a zámeček v adresním řádku. Podvodné stránky mohou vypadat téměř stejně jako ty skutečné, ale drobné rozdíly v URL adrese vás mohou varovat.
- Neočekávaná žádost o platbu: Pokud obdržíte e-mail s žádostí o platbu nebo změnu platebních údajů, vždy si ji ověřte přímo u odesílatele, ale jiným způsobem, než odpovědí na daný e-mail. Phishingové útoky často cílí na finanční oddělení a zneužívají důvěryhodnost firemní komunikace. Buďte obezřetní.
Jak chránit vaši firmu před phishingem
Phishingové taktiky jsou zrádné. Zasáhnout mohou kohokoliv a kdykoliv. Důsledky útoků mohou být pro firmu devastující: únik citlivých dat může vést k poškození reputace, finanční ztráty mohou být enormní a důvěra klientů a obchodních partnerů se může nenávratně otřást.
Jak svá firemní data tedy nejlépe chránit?
Vzdělávejte sebe a své zaměstnance
Nejslabším článkem kybernetické bezpečnosti jsou vaši zaměstnanci. Polovina z nich se setkala s nějakou bezpečnostní hrozbou, přičemž v 58 % případů šlo právě o phishing. Alarmující je, že každý čtvrtý zaměstnanec způsobil IT bezpečnostní incident. To jsou poznatky průzkumu realizovaného firmou Seyfor.
Tyto statistiky zdůrazňují potřebu důkladného školení a zvýšení povědomí o kybernetických hrozbách mezi zaměstnanci. Posilte bezpečnostní povědomí ve vaší firmě např. online kurzem kybernetické bezpečnosti na platformě Knowee. Naučí vaše zaměstnance bezpečnému chování na síti, rozpoznání rizik, správnému používání hesel, i ochraně před phishingem a dalšími hrozbami.
Ukázka online kurzu o kybernetické bezpečnosti na platformě Knowee
Zajistěte komplexní ochranu vaší informační bezpečnosti
Chraňte svou firmu řešením, které poskytuje systematickou a efektivní ochranu. Seyfor nabízí celkové zabezpečení, od identifikace rizik, přes ochranu před útoky až po detekci kyberútoků a reakci na ně. Naši odborníci navrhují a implementují technická a organizační opatření, která chrání vaše data a systémy na všech úrovních. Zároveň vám pomůžeme identifikovat vhodný vzdělávací nástroj tak, aby byl pro vaši společnost co nejefektivnější.
Proč právě Seyfor?
Seyfor se kyberbezpečnosti věnuje již od roku 2003 a naši odborníci mají mnohaleté zkušenosti s ochranou firem před kybernetickými hrozbami. Nabízíme řešení na míru, která zajišťují komplexní ochranu a přizpůsobují se specifickým potřebám vaší firmy.
S naší pomocí nejenže minimalizujete riziko útoků, ale také získáte klid a jistotu, že vaše data a systémy jsou v bezpečí.
Nenechávejte bezpečnost své firmy náhodě. Investujte do ochrany, která vám poskytne komplexní a spolehlivé zabezpečení.
