Kriminalita na internete neustále rastie, pribúda aj spôsobov, ktorými sa podvodníci snažia svoje obete nachytať. V súčasnej dobe dominuje phishing, ten má však mnoho podôb. Využíva najmä ľudské nevedomosti alebo pochybenia. S pomocou metód sociálneho inžinierstva sú podvodníci stále častejšie úspešní aj v oklamaní poučených užívateľov.
9 z desiatich vydarených útokov využilo ľudské pochybenie
Pri pohľade do spamovej zložky e-mailu určite každý nájde aspoň jednu podvodnú správu, ktorá sa z neho snaží vylákať privátne informácie pod prísľubom vysokej výhry či ponuky zázračného prostriedku na čokoľvek. K častým podobám phishingu dnes patria výnimočné investičné príležitosti, ktoré sľubujú rozprávkové bohatstvo výmenou za niekoľko málo osobných údajov. Hoci sa môže zdať, že na podobné podvody môže naletieť len blázon, za 90 % vydarených útokov je prosté ľudské pochybenie.
„Phishing v súčasnej dobe dominuje ako v útokoch na koncových užívateľov, tak aj firemné systémy. Ľudia sú stále nepoučiteľní v tom, že by nemali bezmyšlienkovite klikať na nebezpečné odkazy, takmer pätina ich je ochotných kliknúť na neznámy odkaz. Ak príde mail, ktorý vyzerá ako od banky, prepravné firmy, renomovaného obchodu, takmer tri štvrtiny ľudí neváhajú do odpovede zadať svoje osobné údaje. Metódy podvodníkov sú však stále vynaliezavejšie, aj poučení používatelia napríklad naleteli na telefonické upozornenie na napadnutie ich počítača a povolili útočníkom, ktorí sa zaštítili v mene antivírusovej alebo známej softvérovej spoločnosti, vzdialenú správu svojho počítača. Podvodníci potom získali zneužiteľné prístupové údaje do rôznych systémov a služieb alebo zablokovali či ukradli dáta,“ hovorí Michal Merta, riaditeľ Cyber Fusion centra spoločnosti Accenture.
Phishing je masívnejší na sociálnych sieťach
Phishing v poslednej dobe stále viac presúva na sociálne siete. Objavujú sa tu podvodné reklamy, ponuky tovaru, žiadosti o finančné príspevky. Časté sú aj pokusy o presmerovanie na podvodné stránky. Útočníci využívajú predovšetkým to, že ľudia pri surfovaní po sociálnych sieťach klikajú na odkazy alebo aktívne prvky viac bezmyšlienkovite ako pri práci na počítači, výhodou je aj menšia prehľadnosť na menšom displeji.
„Masovosť využitia sociálnych sietí logicky vedie k tomu, že sa prostredníctvom nich budú podvodníci v kybernetickom priestore budú snažiť loviť svoje obete. Pokiaľ ide o koncových užívateľov, je väčšinou cieľom získať to, čo sa dá priamo speňažiť – či už ide o priame vylákanie finančných prostriedkov, získanie informácií o platobných kartách, prístupe do bankových aplikácií alebo vydieranie. Stále častejšie je aj scudzenie profilov na sociálnych sieťach – či už kvôli vydieraniu ich majiteľa alebo zneužitiu na napálenie ďalších ľudí,“ hovorí Ondřej Ševeček, odborník na bezpečnosť zo školiaceho strediska GOPAS.
Problematická je z tohto pohľadu aj profesná sieť LinkedIn. Práve táto sieť sa pýši nelichotivým prvenstvom – 52 % všetkých phishingových útokov z prvého polroka 2022 sa odohralo práve tu. Útočníci pri svojich nekalých praktikách zneužívajú to, že používa automatické skracovanie URL adries na 26 znakov a vystavený príspevok na sieti môže odkazovať kamkoľvek a cez niekoľko presmerovaní sa používateľ ocitne na phishingovej stránke.
Zneužívajú sa nákupy na eshopoch aj predaje na bazáre
Popularita online nakupovania ani po opadnutí pandémie príliš neklesla, takže zneužitie on-line predajov je lákavý cieľ. Aj keď sa môže zdať, že podvodným e-shopom už ľudia neuveria, stále ide o úspešnú metódu podvodu. Pretože stále viac ľudí nakupuje prostredníctvom mobilných telefónov, viažu sa na to aj podvodné aplikácie, naviazané na konkrétnych predajcov.
Naletieť môžete aj pri kúpe tovaru cez e-bazáre, kedy z kupujúcich chcú podvodníci vylákať údaje o platobných kartách. Častou metódou je presmerovanie na akýsi oficiálne vyzerajúci formulár, do ktorého by kupujúci mal vyplniť údaje o svojej platobnej karte – buď kvôli úhrade alebo doprave tovaru.
„Ľudia by nielen pri nakupovaní, ale akejkoľvek činnosti v kybernetickom, mali spozornieť, ak po nich niekto chce niečo neštandardné. Žiadne citlivé údaje ako informácie o platobných kartách, prístupových heslách do dôležitých služieb a pod. by nemali oznamovať na vyžiadanie po telefóne alebo maile. Banky týmto spôsobom nekomunikujú a solídni predajcovia využívajú zabezpečené a známe platobné portály a služby. Pred mnohými kybernetickými rizikami je ale tiež možné sa poistiť, napríklad pre prípad zneužitia kartových údajov na internete, zneužitie internetového bankovníctva, krádeže identity alebo pre prípad poškodenia pri nákupe tovaru na internete,“ uzatvára Martin Pejsar z BNP Paribas Cardif.
Viac o bezpečnosti a hackingu sa dozviete na pripravovanej konferencii HackerFest už 22. septembra.
