Jak rozpoznat phishing a nestát se obětí

phishing-methodologyZ nedávno provedeného průzkumu České bankovní asociace vyplynulo, že jen třetina klientů bank zná konkrétní způsob, jakým může dojít k napadení jejich počítače nebo mobilního telefonu.

Nelze se tedy divit, že když těmto klientům přijde nějaký phishing e-mail, který neobsahuje, alespoň na první pohled, zásadní chyby a jeho obsahem je něco, co se jich bezprostředně týká, anebo v nich budí určité emoce, tak nepojmou žádné podezření.

A jsou to především obavy, které vedou příjemce e-mailu k tomu, že jeho přílohu otevře, aniž by se nejprve zamyslel nad tím, kdo a proč mu vůbec píše. Je nasnadě, že pokud by si každý příjemce e-mailu nejprve položil několik otázek, tak by jistě sám přišel na to, zda se jedná o podvodný e-mail či nikoliv.

Vyjdeme-li z toho, že phishing je podmnožina SPAMU, kterým se asi též nikdo z nás nechce zabývat, tak by nám mělo stačit se zamyslet nad tím, jak rozpoznat SPAM. Stačí si jen položit pár jednoduchých otázek. Otázky jsou schválně uvedeny v daném pořadí, protože mnohdy už po zodpovězení první otázky budete mít naprosto jasno a nemusíte e-mail ani otvírat.

  1. Přišel e-mail z pro vás známé adresy a očekával jste ho?
  2. Oslovuje vás odesílatel e-mailu správně vaším jménem?
  3. Je text e-mailu ve vašem jazyce a prost gramatických i stylistických chyb?
  4. Korespondují kontaktní údaje uvedené v závěru e-mailu s adresou odesílatele?
  5. Je v e-mailu odkaz vedoucí na jiné stránky než na stránky dané organizace?
  6. Je součástí e-mailu příloha obsahující spustitelný soubor?

Když se podíváte na poslední SPAM kampaně a rozeslané e-maily, tak zjistíte, že tyhle otázky skutečně fungují, protože byť e-maily neobsahovaly zásadní chyby, tak přišly z nesmyslných adres, příjemce e-mailu nebyl osloven jménem, uvedené kontaktní údaje naprosto nekorespondovaly s adresou odesílatele, a v příloze se nacházel spustitelný soubor.

SPAM-yes-or-no

Pozor, výše uvedené otázky vám zpravidla nepomohou odhalit probíhající spear phishing kampaň, protože pokud je dobře připravena, tak e-maily v rámci takové kampaně přichází zpravidla od známé osoby, příjemce e-mailu je osloven jménem, e-mail neobsahuje žádné chyby, je v něm uveden kontakt a pokud je součástí e-mailu příloha, tak se nejedná o spustitelný soubor, nýbrž je zneužívána nějaká zero-day zranitelnost v přidružené aplikaci jako je Adobe, MS Office apod.

Kdo je uveden jako odesílatel e-mailu?

Pokud je v poli komu uvedena na první pohled nějaká pro vás naprosto neznámá nebo zcela nesmyslná adresa, kterou by normální firma nepoužila, jedná se s největší pravděpodobností o SPAM. Takový e-mail vůbec neotvírejte a rovnou ho smažte.

E-mailovou adresu si opravdu dobře prohlédněte, protože útočník si může zaregistrovat doménu s velmi podobným názvem a spoléhat se na to, že si onoho rozdílu třeba jen v jednom znaku nevšimnete. Útočník si též může zaregistrovat danou doménu, jen na jiné doméně prvního řádu.

Odpovídá doména, která je uvedena v e-mailové adrese, doméně, na které daná firma provozuje svůj web? Pokud ne, tak se s největší pravděpodobností jedná o phishing, protože je krajně nepravděpodobné, aby odesílatel, který vystupuje jako zástupce určité organizace, používal adresu na zcela jiné doméně.

Pozor, v poli FROM může být uvedeno cokoliv, i e-mailová adresa skutečné organizace. Email též mohl přijít od vašeho známého nebo kolegy, jehož počítač již byl napaden.

Jakým způsobem jste jako příjemce e-mailu osloven?

Důvěryhodná organizace zná vaše jméno, takže pro ni obvykle nebývá problém vás oslovit vašim jménem a i ho správně vyskloňovat. To jen útočníci, kteří si někde koupili nebo stáhli seznam e-mailových adres, vaše jméno neznají.

Pozor, ne v každém e-mailu se musí oslovení objevit. Takže se může a také nemusí jednat o phishing.

Jaká je jazyková úroveň textu e-mailu?

Narazili jste na špatný slovosled, skloňování, časování, jsou použita nevhodná slovní spojení, obraty, i samotná slova? Pak se zcela jistě jedná o phishing, kdy útočník využil služeb nějakého automatického překladače jako je Google translator.

Ať už se v textu e-mailu nachází dost závažných chyb anebo jen e-mail obsahuje chyby, kterých si jen málokdo všimne, anebo jim nepřisuzuje žádný význam, protože ví, že takové chyby dělá spousta lidí, tak se jedná o phishing. Nezapomínejte, že automatizované e-maily, i oficiální e-maily, které organizace svým klientům rozesílají, prochází jazykovou korekturou a takovéto chyby neobsahují.

Jsou v e-mailu uvedeny kontaktní údaje na odesílatele?

V závěru každého e-mailu se zpravidla nachází kontaktní údaje. Korespondují tyto údaje s e-mailovou adresou odesílatele a firmou, za kterou daná osoba jedná? Pokud ne, tak se jedná o phishing.

Pozor, uvedené údaje mohou být i smyšlené anebo jsou to kontaktní údaje na útočníka, který se vydává za nějakou organizaci. Vyhledejte si na internetu oficiální stránky dané společnosti a zavolejte na telefonní číslo uvedené na webových stránkách a ověřte si, zda daná společnost takový e-mail poslala.

Nachází se někde v e-mailu nějaký odkaz?

V textu e-mailu se může nacházet odkaz na podvodnou stránku, ale také nemusí. Pokud se odkaz v e-mailu nachází, tak na něj najeďte myší, ale neklikejte. Poté, co se vám zobrazí adresa, na kterou odkaz vede, tak si pozorně prohlédněte, kam odkazuje.

Nezapomínejte, že adresa webu může být také dost podobná té, na které se nachází pravý web a může být opatřena i certifikátem. Pokud odkazuje na nějakou pro vás neznámou doménu, neklikejte na něj. Na této doméně by se mohl nacházet škodlivý kód nebo phishingová stránka, která po vás bude požadovat zadání citlivých údajů.

Je součástí e-mailu příloha?

Jestliže se nachází ve dvojitém archivu jako je RAR nebo ZIP, tak se jedná o phishing a jestli je použit jen jednoduchý archiv, tak nejspíš taky. Ověřte, že máte ve Windows povoleno zobrazování přípon známých typů a že se nejedná o nějaký spustitelný soubor. Pokud ano, je cílem útočníka dostat na váš počítač malware.

Pozor, spustitelný soubor nepoznáte podle ikony daného souboru, ale pouze podle přípony. Avšak i soubory typu doc nebo pdf, které se otevírají v přidružené aplikaci jako je např. MS Word nebo Adobe Reader mohou zneužívat nějaké zranitelnosti v těchto aplikacích.

V případě, že si stále nejste jisti, zda se jedná o SPAM, doporučuji vám zkopírovat si část textu z e-mailu a nechat ho vyhledat Googlem, případně se podívat na stránku hoax.cz, kde je databáze nejrůznějších takových e-mailů.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. Václav Pecháček

    Na jednom našem webu jsem inzeroval nábytek. Přišla mi nabídka z USA. Tu jsem přijal přes paypal, ale podmínky transakce se mi nelíbí. Sliboval, že dopravu zajistí. Ale poslal částku navýšenou o dopravné (o 1000 USD) a prý visí pozastavena na Paypal, dokud tuto částku nezaplatím v hotovosti na nějakou adresu v Nigérii, údajně přepravce Route66 Courier. Na paypal účtu nic o čekající platbě není.
    Zde je opis mailu:

    Dear Vaclav Pechacek
    You have received a PayPal Instant Payment of $ 1,700.00 USD from Miller Rob.

    TRANSACTION STATUS : TEMPORARY ON HOLD
    As mentioned in the receipt of Payment and as per PayPal Merchandise Payment policy, we have fully debited the total amount (above) from the buyer’s account which included the Transport/Delivery Charges (Route66 Courier).
    You would have to Pay the Shipping Charges to the Transport Company through Western Union Money transfer, In order to complete this transaction and get the whole funds Released in your account. So therefore, we advice you go to nearest Western Union Office,and send the excess sum $1000.00 USD to the Transport Agent and send us a Scanned Copy/Photograph of the Western Union Transaction Receipt (in .JPG Format).
    NOTE: This is important as a security measure to ensure safety of this transaction.
    Please, find below the Name and Address of the Transport Agent where the Funds would be sent via Western Union Money Transfer.

    Payment Pending. Western Union Transfer Details required for verification.
    Transfer Status: 99%

    Transport Company: “ Route66 Courier “
    Courier Details:
    Name:Mr Oluwaseun Collins
    City: Ibadan
    State: Oyo
    Postal Code: 23402
    Country: Nigeria


K článku “Jak rozpoznat phishing a nestát se obětí” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: