Přijde vám email od vaší banky. Logo je správné, text vypadá profesionálně, tlačítko říká „Ověřte svůj účet". Odkaz vede na stránku, která vypadá přesně jako internetové bankovnictví.
Zadáte přihlašovací údaje. A právě jste je předali podvodníkovi.
Phishing je nejrozšířenější forma kybernetického útoku na světě – a funguje proto, že útočníci jsou v napodobování důvěryhodných organizací stále lepší. Naučit se ho poznat je jedna z nejcennějších věcí, které pro svou digitální bezpečnost můžete udělat.
Co je phishing a proč funguje
Phishing je technika sociálního inženýrství, při které útočník předstírá, že je někým jiným – bankou, poštou, Googlem, šéfem, přítelem – s cílem získat vaše přihlašovací údaje, platební informace nebo přimět vás ke stažení škodlivého souboru.
Funguje proto, že útočí na emoce, ne na technické znalosti. Nejčastější spouštěče jsou:
Urgence
„Váš účet bude zablokován do 24 hodin."
Strach
„Zaznamenali jsme podezřelou aktivitu."
Lákadlo
„Byl jste vybrán k získání odměny."
Autorita
„Zpráva od Finanční správy ČR."
Mozek v emočním stavu hůře hodnotí důvěryhodnost zprávy. Přesně s tím phishing počítá.
Pět varovných signálů v emailu
1. Podezřelá nebo nepřesná adresa odesílatele
Zobrazené jméno může být cokoliv. Co nelze snadno změnit, je skutečná emailová adresa. Klikněte na jméno odesílatele a zkontrolujte skutečnou adresu.
Příklady podvodných adres:
info@ceska-sporitelna-online.cz místo info@csas.cz, nebo security@google-account-alert.com místo no-reply@accounts.google.com.
2. Obecné oslovení
Legitimní organizace, u které máte účet, zná vaše jméno. „Vážený zákazníku" nebo „Dobrý den, uživateli" je signál, že odesílatel vaše jméno nezná.
3. Odkaz, který nevede kam říká
Před kliknutím najeďte myší na odkaz. Zobrazí se skutečná URL adresa. Pokud tlačítko říká „Přihlaste se" ale odkaz vede na login-bank-secure.ru nebo jinou podivnou adresu, neklikejte.
4. Žádost o citlivé informace
Žádná legitimní banka, úřad ani technologická firma vás nikdy nepožádá o heslo, PIN nebo číslo platební karty přes email. Nikdy.
5. Přílohy, které nečekáte
Neočekávaný soubor od neznámého nebo podezřelého odesílatele je klasická cesta k instalaci malwaru. Pokud přílohu nečekáte, neotevírejte ji bez ověření.
Phishing přes SMS: smishing
SMS phishing funguje na stejném principu, ale má vyšší míru úspěšnosti – lidé jsou zvyklí SMS věřit více než emailům.
Typické scénáře
„Vaše zásilka čeká na vyzvednutí, zaplaťte poplatek zde: [odkaz]." Nebo „Váš účet byl kompromitován, změňte heslo okamžitě: [odkaz]."
Pravidlo: Neklikejte na odkazy v SMS od neznámých odesílatelů. Pokud zpráva tvrdí, že je od vaší banky nebo pošty, přejděte přímo na jejich oficiální web.
Falešné weby: jak poznat podvodnou stránku
URL adresa
Podívejte se do adresního řádku prohlížeče. Falešné stránky používají domény jako csas-online.cz nebo google-security-check.com. Legitimní weby mají jednoduchou přesnou doménu – csas.cz, google.com, paypal.com.
HTTPS neznamená bezpečnost
Zelený zámek říká, že připojení je šifrované – neznamená, že stránka je legitimní. Podvodné weby dnes HTTPS mají standardně.
Kvalita obsahu
Překlepy, gramatické chyby nebo texty, které nepůsobí přirozeně česky.
Co dělat když phishing dostanete
Neklikli jste
Označte email jako spam a smažte. Nahlaste ho na phishing@cert.cz.
Klikli jste, ale nic nezadali
Prohledejte zařízení antivirem, změňte hesla preventivně.
Zadali jste přihlašovací údaje
Okamžitě změňte heslo k danému účtu, zapněte dvoufaktorové ověřování a informujte poskytovatele služby.
Proaktivní ochrana: správce hesel a 2FA
Správce hesel jako správce hesel NordPass nebo Proton Pass má skrytou funkci: automaticky vyplňuje hesla pouze na skutečné doméně. Na falešné kopii webu heslo nevyplní.
Dvoufaktorové ověřování (2FA) znamená, že i kdyby útočník vaše heslo získal, bez druhého faktoru se do účtu nedostane.
NordPass – správce hesel, který pozná phishing za vás
NordPass automaticky vyplňuje hesla pouze na skutečné doméně. Na podvodné kopii webu heslo nevyplní – a upozorní vás, že něco není v pořádku.
Vyzkoušet NordPassAffiliate odkaz – podpoříte tím provoz webu
Bezplatná alternativa
Začněte zdarma: zapněte 2FA na svém emailu a bankovním účtu. Stáhněte si Proton Pass zdarma. A příště, než kliknete na odkaz v emailu – zastavte se na tři vteřiny a zkontrolujte adresu odesílatele.
Závěr: phishing spoléhá na spěch
Tři vteřiny pozornosti – adresa odesílatele, URL odkazu, podstata žádosti – jsou dost na to, aby vás ochránily v drtivé většině případů.
Přečtěte si také
Chcete se chránit před digitálními hrozbami?
Projděte si náš průvodce ochranou soukromí a zjistěte, jak se efektivně bránit.