Podvodů na internetu každým rokem přibývá, jen za rok 2022 řešili policisté více než 18 tisíc případů, což je jednou tolik než v roce předchozím. Útoky jsou navíc čím dál propracovanější a pro běžného uživatele je mnohdy obtížné na první pohled odhalit, že jde o podvod. I přesto však existuje způsob, jak riziko útoku a škody z něj vyplývající minimalizovat.
Firmy i jednotlivci se v současné době nejčastěji setkávají s takzvaným phishingem, což je metoda útoku pomocí sociálního inženýrství. Útočníci se v takovém případě snaží ze svých obětí vylákat přístupové údaje k službám, které používají, a to za pomoci podvodného e-mailu či SMS. Většinou jde o výzvu k ověření údajů s odkazem na podvrženou internetovou stránku, která vypadá velmi podobně jako oficiální webová stránka. Takto získané osobní údaje včetně loginů a hesel poté útočníci využívají dvojím způsobem. »Útočníci buď začnou získané přístupové údaje používat a opanují napadený účet oběti, nebo získané údaje prodají. Prodávají vlastně aktivní e-maily, které jsou provázané s konkrétními osobami a tato data se poté využívají pro spamové útoky,« vysvětluje odborník na kyberbezpečnost ze společnosti Algotech Petr Loužecký a dodává, že problémem při phishingových útocích je i síla uniklého hesla.
Útočníci vědí, že většina uživatelů si s unikátností a komplexností svých hesel příliš hlavu neláme a pokud takto unikne například gmailový účet, kterým se lidé přihlašují k mnoha různým službám, je velkou pravděpodobností, že i heslo k těmto službám bude stejné. Dokážou tedy z jednoho útoku získat přístup k mnoha různým účtům oběti. I to je důvod, proč by měla být hesla pro každou službu unikátní, dlouhá a využívat co nejvíce speciálních znaků i číslic. Podle Loužeckého je také důležité svá hesla pravidelně měnit. »Je složité si zapamatovat řadu hesel, která nedávají žádný smysl, a ještě je každé tři měsíce obměňovat. Ale je to jeden ze základních stavebních kamenů bezpečnosti, tímto krokem mohou uživatelé riziko ztráty osobních a důvěrných údajů výrazně snížit.«
Riziko ztráty důvěrných údajů, nebo dokonce peněz lze ale snížit i dalšími způsoby. Když už uživateli do e-mailové schránky přijde výzva k ověření údajů, je důležité se podívat na adresu, z níž e-mail přišel a také na jeho jazyk. Jakmile je adresa naprosto nesmyslná nebo není na doméně společnosti, za níž se vydává, e-mail je nejlepší rovnou smazat a u dané společnosti si poté ověřit, zda takové e-maily rozesílají. To samé platí při pohledu na jazyk, jakým je e-mail napsaný. Pokud se ale stane, že uživatel na přiložený odkaz klikne, prohlížeč jej přesměruje na podvodné stránky, které vypadají velmi podobně jako stránky oficiální. »Důležité je v takový moment zkontrolovat adresní řádek. Odkaz v případě podvodu směřuje na pofidérní adresu, dále stránce chybí šifrovaný protokol umožňující zabezpečenou komunikaci, který v adresním řádku značí písmena https,« pokračuje Loužecký a druhým dechem dodává, že i tak už může být ale pozdě. Stránky totiž mohou být zavirované, a i když uživatel nevyplní žádný podvržený formulář a údaje neodešle, škodlivý kód se mu může do počítače dostat. Typicky jde o spam a reklamní malware, nebo skript pro těžbu kryptoměn, případně může jít i o ransomware.
Poměrně časté jsou také útoky, které těmito metodami cílí na získání přístupových údajů k bankovnímu účtu. Ať už se jedná o podvodné e-maily či SMS, které odkazují přímo na podvržené stránky internetového bankovnictví, nebo falešný zájem o koupi zboží přes bazar s nabídkou vyzvednutí zboží kurýrem. Ve všech těchto variantách jde útočníkům vždy o přístup k účtu oběti. Zde by měl být varovným signálem zejména fakt, že žádná česká banka nekomunikuje se svými zákazníky tímto způsobem. A druhým varováním je požadavek na vyplnění údajů o platební kartě včetně CVV, zejména v oblasti bazarového prodeje. „Pokud chce někdo poslat prodávajícímu peníze, kód CVV mu k ničemu není. Ten slouží pouze k autorizaci odchozích plateb, a jakmile jej dotyčný vyžaduje, cílí jednoznačně na získání peněz z bankovního účtu,« uzavřel Loužecký.
(zmk)