IT (ne)bezpečnost

Phishing

Phishing, někdy nazýván též jako „rybaření, je podvodnou metodou užívanou za účelem získávání citlivých údajů od lidí na internetu. Tyto útoky jsou příkladem užití sociálního inženýrství, kde uživatel v dobré víře odevzdá veškeré informace, které od něj útočník požaduje. S příkladem užití phishingu jsme se již setkali v kapitole věnující se osobním a přihlašovacím údajům.

Phishing lze využít u veškerých způsobů komunikace - nejen na internetu. Nejběžnějším způsobem provedení phishingu je zaslání podvodného emailu, který uživatele vyláká na podvodné stránky, kde uživatelé zadají své jméno a heslo. Nejčastějším cílem jsou přístupy do internetového bankovnictví nebo k emailovým schránkám. Útočník se snaží, aby podvodné stránky i podvodné zprávy působily co nejdůvěryhodněji, jako by je zasílala daná služba, na kterou se útočník zaměřuje.

Využití těchto útoků však není omezeno jen na emaily. Setkat se s ním můžeme i u IM (instant messengingu jako je skype, messenger atp.) a v podobě podvodných telefonů (tzv. telefonický phishing).

K vylákání přístupových údajů od lidí je nutné napsat co nejvíc přesvědčivý email. Můžeme například jménem banky napsat email doporučující změnit si heslo. V těle e-mailu by měl být i odkaz směřující na podvodné stránky.

Podstrčené webové stránky musí vypadat co nejvíc důvěryhodně. To, že mají jinou www adresu není důležité, pokud podvodné stránky vypadají stejně jako oficiální stránky, drtivá většina uživatelů si jiné adresy ani nevšimne.

Naše podvodné webové stránky musí obsahovat formuláře, kam uživatel zadá veškeré údaje, které se nám následně zobrazí.