Phishing je jedna z nejrozšířenějších a zároveň nejzákeřnějších forem kybernetických útoků. Na rozdíl od technických útoků, které využívají zranitelnosti v systémech nebo aplikacích, phishing cílí na člověka – útočník se snaží získat důvěru a pomocí podvodu přimět oběť, aby sama předala citlivé informace, například hesla, čísla platebních karet nebo přístup k účtům.
Jak phishing funguje?
Typicky probíhá formou e-mailu, SMS zprávy nebo zprávy na sociálních sítích, která se tváří jako důvěryhodná komunikace – například od banky, pošty, e-shopu, nadřízeného nebo technické podpory. Zpráva často obsahuje naléhavý tón, který má vyvolat strach nebo pocit urgence – například tvrzení, že je účet zablokován a je třeba se okamžitě přihlásit a ověřit údaje.
Kliknutím na odkaz se uživatel dostane na falešnou stránku, která vypadá téměř identicky jako oficiální web. Zde pak zadá své údaje, které ale rovnou putují útočníkovi.
Typy phishingu
Phishing má mnoho podob:
– Spear phishing: cílený útok na konkrétní osobu nebo firmu. Útočník si nejprve oběť „nastuduje“ a zprávu personalizuje. – Whaling: phishing zaměřený na vysoce postavené osoby (např. ředitel firmy). – Smishing: phishing pomocí SMS zpráv. – Vishing: phishing po telefonu, kdy se útočník vydává za bankéře, policistu nebo technickou podporu. – Clone phishing: vytvoření téměř identické kopie dříve odeslaného e-mailu s pozměněným odkazem nebo přílohou.
Historie a významné případy
Termín phishing se objevil v 90. letech, kdy útočníci zneužívali služby jako AOL. Od té doby se útoky výrazně zdokonalily. Jedním z nejznámějších případů byl útok na firmu Sony Pictures v roce 2014, kdy phishingový e-mail zpřístupnil útočníkům přístup do interní sítě, což vedlo k masivnímu úniku dat.
1. Sony Pictures (2014)
Jeden z největších útoků v historii Hollywoodu. Útočníci se dostali do sítě pomocí phishingových e-mailů zaslaných zaměstnancům. Výsledkem byl únik tisíců interních e-mailů, dosud nevydaných filmů, osobních údajů zaměstnanců a finančních dokumentů. Útok byl připsán skupině Guardians of Peace, údajně napojené na Severní Koreu, jako reakce na film The Interview.
2. Google a Facebook (2013–2015)
Phishingový útok vedený jediným mužem – Evaldas Rimasauskas z Litvy. Pomocí falešných e-mailů a faktur vystupoval jako dodavatel Quanta Computer a podvedl zaměstnance Facebooku i Googlu. Obě firmy mu dohromady poslaly přes 100 milionů dolarů. Útok byl sofistikovaný, ale zároveň založený na klasickém sociálním inženýrství.
3. Demokratický národní výbor USA (DNC) – volební kampaň 2016
Ruská skupina Fancy Bear poslala spear phishingový e-mail Johnu Podestovi, předsedovi kampaně Hillary Clinton. E-mail se tvářil jako bezpečnostní upozornění od Googlu. Podesta kliknul a odevzdal přihlašovací údaje. Útočníci získali přístup k tisícům e-mailů, které byly později zveřejněny na WikiLeaks a ovlivnily průběh amerických prezidentských voleb.
4. RSA Security (2011)
Zaměstnanec RSA otevřel e-mail s přílohou „2021 Recruitment Plan.xls“. Šlo o spear phishing, který využil zero-day zranitelnost v Excelu. Útočníci získali přístup k citlivým datům o autentizačním systému SecurID, který používají vládní i vojenské instituce. Incident byl tak vážný, že RSA musela vyměnit tisíce bezpečnostních tokenů.
5. Crelan Bank (Belgie, 2016)
Útok typu CEO fraud – útočníci vystupovali jako generální ředitel a přesvědčili zaměstnance banky, aby schválil převod téměř 75 milionů dolarů. Vše proběhlo pomocí pečlivě cíleného spear phishingu. Až po převodu se zjistilo, že ředitel nic takového nepožadoval.
6. Ubiquiti Networks (2015)
Technologická firma Ubiquiti ztratila 46,7 milionů dolarů, když účetní oddělení obdrželo falešné e-maily od lidí, kteří se vydávali za vedení firmy. Šlo o kombinaci phishingu a tzv. Business Email Compromise (BEC). Peníze byly poslány na účty v Hongkongu.
7. Twitter (2020)
V létě 2020 došlo k masivnímu narušení Twitteru, kdy útočníci získali přístup ke 130 účtům, včetně profilů Elona Muska, Billa Gatese nebo Baracka Obamy. Útok začal phishingem cíleným na zaměstnance Twitteru s přístupem k interním nástrojům. Účty pak byly zneužity k propagaci bitcoinového podvodu.
Jak se chránit?
– Buďte obezřetní: nikdy neklikejte na podezřelé odkazy, neotvírejte přílohy od neznámých odesílatelů. – Důkladně si kontrolujte adresu webové stránky – falešné stránky mají často drobné rozdíly v doméně. – Neposílejte osobní údaje e-mailem. – Používejte vícefaktorové ověření (MFA), které zabrání zneužití účtu i v případě, že útočník získá heslo. – Školení zaměstnanců: lidská nepozornost je nejslabší článek. Pravidelné vzdělávání pomáhá odhalit útok dříve, než dojde ke škodě.
Závěr
Phishing je jednoduchý, levný a často velmi účinný způsob, jak útočníci získávají přístup k cenným datům. Mnoho lidí se domnívá, že by „na to nikdy neskočili“, ale právě přesvědčivost je hlavní síla phishingu. Nejlepší obranou je proto informovanost, opatrnost a bezpečnostní návyky.
