U 31 % organizací se loni stal alespoň jeden uživatel obětí phishingového útoku, zároveň bylo zjištěno, že 16 % lidí odhaluje citlivá data připojením k rizikovým hotspotům. V roce 2022 byla nechtěná aplikace nainstalována na 0,4 % zařízení se systémem Android, zatímco na zařízeních se systémem iOS to bylo 0,1 %. S těmito údaji přichází analýza bezpečnostních trendů na vzorku 500 000 zařízení chráněných společností Jamf zahrnující systémy iOS, macOS, iPadOS, Android a Windows, v 90 zemích po dobu 12 měsíců.
„Loni a předloni se více než zdvojnásobil počet společností, které měly ve své flotile nainstalovanou potenciálně nežádoucí aplikaci. Ve stejném roce používalo 39 % společností zařízení s operačním systémem se známou bezpečnostní chybou, tedy nárůst o 11 % oproti předchozímu roku. Malwarových a phishingových útoků neustále přibývá, jen v roce 2021 se stala téměř třetina společností obětí phishingu. Vzhledem k rostoucí digitalizaci je bezpečnost technologií podle mého zcela zásadní téma,“ říká ředitel české společnosti Logicworks, Ivan Malík.
Hlavní hrozby phishingu jde shrnout a kategorizovat do 10 typů.
1. E-mailové zprávy
Jde o nejčastější a klasický typ phishingu. Emaily předstírají, že pocházejí z důvěryhodného zdroje. Útočník rozešle tisíce podvodných zpráv a může získat významné informace a peněžní částky, i když mu naletí jen malé procento příjemců. Při tvorbě podvodných zpráv vynaloží velké úsilí, aby napodobil skutečné e-maily od podvržené organizace. Díky použití stejných frází, písma, loga a podpisů vypadají zprávy legitimně. Vytvářejí v adresátovi pocit naléhavosti. E-mail může například vyhrožovat vypršením platnosti účtu a nastavit příjemci časový limit. Vyvíjení takového tlaku způsobí, že uživatel bude méně pečlivý a náchylnější k chybám.
2. Vishing
Tyto podvody jsou založeny na principu telefonních hovorů, kdy se volající představí jako pracovník banky, který zjistil napadení účtu volaného. Fiktivní bankovní úředník různými tvrzeními vystraší osobu, které volá, a přiměje ji peníze z účtu převést na bankovní účet, jenž označí jako bezpečný. Tvrdí přitom, že se jedná pouze o dočasné bezpečnostní opatření. Věrohodnost pokynů fiktivního bankovního úředníka umocňuje často další telefonát, tentokrát osoby vydávající se za policistu. Ten potvrzuje volanému tvrzení uvedená v prvním telefonátu a nezbytnost převedení peněz na bezpečnější účet.
Tvrzení podvodníků bývají velmi věrohodná. Často předem disponují informací o skutečné bankovní instituci, ve které má volaný svůj účet. K tomu využívají tzv. spoofing telefonního čísla. Při něm útočníci dokáží napodobit jakékoliv telefonní číslo, tedy i infolinku banky nebo jiné instituce. Kromě peněz získávají podvodníci také citlivé osobní údaje, které mohou kdykoliv zneužít. Setkáte-li se tedy s podvodným jednáním s popisovaným průběhem, neváhejte kontaktovat Policii ČR a banku. Včasné kroky ještě mohou zvrátit ztrátu peněz.
3. Smishing
Sktéři ke kompromitaci uživatelů využívají SMS spárované s odkazy nebo přílohami.
4. Sociální média a angler phishing
Jde o typ phishingového útoku, který se zaměřuje na uživatele sociálních sítí. Hacker vytvoří falešný účet na sociální síti a vydává se za zaměstnance zákaznického servisu společnosti. Poté kontaktuje zákazníky této společnosti, kteří si stěžovali na sociálních sítích a žádají o pomoc.
5. Spear phishing
Je cílený pokus o krádež citlivých informací, jako jsou přihlašovací údaje k účtu nebo finanční data od konkrétní oběti. Jedná se o variantu e-mailového phishingu, která využívá cílený přístup a zaměřuje se na konkrétní osoby v rámci organizace, například zaměstnance mzdového oddělení.
6. Velrybaření (Whaling)
Jde o podvodné jednání, které je v rozporu s pravidly pro ochranu osobních údajů. Podobně jako u spear phishingu i tento útok zpřesňuje svůj rozsah a zaměřuje se na vedoucí pracovníky a členy vedení společnosti.
7. HTTP/S
Útoky založené na webových stránkách, které používají adresy URL, jež často obsahují jemné překlepy, které mohou být na první pohled obtížně zachytitelné, například iamf.com místo jamf.com. Může jít také o domény zabezpečené protokolem SSL, které jsou legitimně zaregistrované, aby obešly funkce bezpečnostní kontroly.
8. Padělání webových stránek
Tento typ útoku často doprovází útoky HTTP/S, kdy se vedle škodlivé adresy URL objevuje legitimně vypadající webová stránka plná původního textu, loga, barevných schémat a funkcí, které vypadají jako originál a předstírají, že nabízejí stejné funkce a nabídky.
9. Watering Hole
Útoky typu „watering hole“ jsou částečně spear phishingové a částečně taktické a zaměřují se na konkrétní skupiny uživatelů a webové stránky, které často navštěvují. Cílem útoku je kompromitovat webové stránky a infikovat je malwarem, aby se při návštěvě webu cílovými uživateli infikovali i oni.
10. Vyskakovací okna
Jde o útok na webové stránky. Stejně jako vyskakovací reklamy, i tato varianta phishingu vyžaduje, aby útočníci infikovali webovou stránku malwarem a poté využili vložené reklamy nebo upozornění na oznámení povolená uživateli.
Android je otevřený ekosystém, což má za následek větší množství rizikových aplikací. Společnost Apple vytvořila řízený ekosystém aplikací a nabízí přísnější ochranu soukromí uživatelů, která omezuje zavádění těchto rizikových aplikací.
