O tom, že je Česká spořitelna terčem útoků phishingu, bylo napsáno již mnoho řádek tištěného i elektronického textu. Přesto se zdá, že to pomohlo snad jen provozovatelům médií, která s potěšením informují o tom, jak může být elektronické bankovnictví potenciálně nebezpečné. Přitom je potřeba dodržovat jen několik pravidel a nenechat se vyvést z míry.
Co je to phishing?
Phishing je výraz, který pochází z anglického slovíčka pro rybaření. Je to velice trefné, neboť podvodníci opravdu hledají někoho, kdo se jim chytí na udičku. Na udičku v podobě e-mailů nebo webových stránek, které se tváří jako by byly od nějaké důvěryhodné instituce a žádají po vás zadání soukromých údajů, v tomto případě přístupů k elektronickému bankovnictví. Po vyplnění formuláře však zadané údaje nejsou poslány do banky, ale někomu, kdo si už bude vědět rady s tím, jak naloží s penězi, které si z vašeho účtu převede někam do zahraničí.
Obrana
Obrana před phishingem je v celku jednoduchá, vyžaduje však pevné nervy a rozvážnost. Současné poštovní programy dovedou pokusy o phishing rozpoznat. Dovede to i moderní webový prohlížeč. Pokud používáte Internet Explorer 6, měli byste aktualizovat na jeho sedmou verzi. Podobně u Firefoxu a dalších prohlížečů – používejte vždy nejnovější verze, které vás na phishingovou stránku upozorní. Jak to probíhá, můžete vidět v článku Webové prohlížeče a phishing: jak si s ním poradí?. Ne vždy však budete upozorněni, zejména v případech, kdy je podvodná stránka relativně nová, tak vás prohlížeč informovat nebude.
Phishing však můžete rozpoznat celkem dobře i vlastním rozumem. Jestliže v případě České spořitelny má stránka adresu ve tvaru, který s jejím webem nemá nic společného, pak tam rozhodně nic nezadávejte. Problém může být v doručeném e-mailu. Není problém zfalšovat hlavičku odesilatele zprávy, stejně tak jako není problém vytvořit odkaz, který vypadá, že směřuje na web služby Servis24, ovšem odkazuje na úplně jinou adresu.
Navíc byste si měli uvědomit, že snad žádná banka vás nebude kontaktovat e-mailem a nebude po vás žádat ověřování přístupových údajů pomocí nějaké webové stránky.
Psychologický nátlak
Phishingoví podvodníci kromě toho, že se vydávají za seriozní instituce, využívají také psychologických prvků. Představte si, že jste právě (nebo před pár hodinami) použili svou bankovní kartu a následně vám přijde e-mail s informací o tom, že požadavek na platbu touto kartou byl zablokován. Co uděláte? Klinete na odkaz, abyste zjistili příčinu, nebo si uvědomíte, že může jít o podvod?
Podobných příkladů je nespočet. Dnes se mi v e-mailové schránce objevila zpráva, která mě opravdu pobavila. Byla od České spořitelny (jak jinak) a nazvána „Varovani pred novou verzi podvodnych e-mailu“. V textu této zprávy se píše o právě probíhající vlně phishingu. Na konci zprávy je uvedena prosba o autorizaci vaší e-mailové adresy. Jde o opravdu „fikaný“ způsob phishingu, kdy v podstatě podvodníci sami upozorňují na problém, který způsobili. Věřím tomu, že něco takového už někoho z masy neznalých uživatelů opravdu zmate a spousta lidí tomuto nátlaku podlehne.
Kdy to skončí?
Skutečnost, že phishingové útoky na Českou spořitelnu stále pokračují, může mít dvě příčiny. Buď se podvodníci ještě dostatečně nenapakovali a hledají stále nové a nové způsoby, jak získat více peněz, nebo je současný útok velice účinný a pro podvodníky by byla škoda, kdyby zanechali prosperujícího „byznysu“. Jak známo, na lidské hlouposti a neopatrnosti se dá vydělat jmění.
Každopádně bych si přál, aby to již brzy skončilo. Ani ne tak proto, že bych mohl podlehnout a někam něco zadat (byť e-mail se zrušenou platební transakcí mě v prvních sekundách čtení znejistěl), ale proto, že mě už nebaví několikrát za den čistit e-mailovou schránku od phishingových nesmyslů.
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Marketing Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.
Komentáře k článku
Ten seznam e-mailů je zajímavý námět do diskuze. Jsem sice klientem České spořitelny, nicméně chodí mi to na více e-mailů než na ten, na který si nechávám posílat info o platbě.
Mně chodí phishing špořky na dva emaily, co mám na Seznamu, jinam ne. A klient nejsem :)
Prostě nevýhoda toho, být klientem banky, která má nejvíce zákazníků. Tedy jedna z mnoha nevýhod (fronty, nic moc e-banking atd...)
Četl jsem, že tyhle maily chodí i neklientům ČS, takže zdroj adres bych hledal i jinde než v úniku informací z banky.
Jinak, klient jsem a zatím jsem nic podobného nedostal :(
to skoro zní, jako by Vám to bylo líto ;-)
Holt nejsem pro nikoho 'Drahoušek zákazník', jaké srdečné oslovení.
:-).
No jinak mě chodí teď maily od "ČS" taky každý den a s ČS nemám nic společného, takže ty adresy budou někde posbírány víceméně náhodně.
Ani se není co divit - stačí když vám pár neznalých kamarádů posílá každý druhý den nějaké to "vtipné video" atd. :-[ a v seznamu příjemců vidíte nejméně 50 lidí a email byl takto přeposlán již mnohokrát... To pak není pro rybáře a spamery problém, když se k takovému mailu dostanou, si z něj vydolovat, naprosto bez práce, desítky emailových adres... :-/
Rybaření ČS mě taky štve, i když nejsem jejím klientem a svůj e-mail jsem na jejich stránkách nikdy neuváděl, tak mi to chodí taky každý den, ale to bude tím, že tento můj e-mail je všeobecně přesicen spamem.
Alespoň by se ty hovada mohli naučit česky. Většina těch mailů (přišlo mě jich už cca. 20 a stále to houstne)je napsaná příšernou hatmatilkou, napůl latinkou napůl bukvicemi. Zdá se, že na divokém východě se učí rybařit kdejaký fracek a výsledky tomu odpovídají.
To téma je stále žhavé a zdá se ,že se promyšlenost útoků stupňuje a zkouší to různými směry a zaslechl jsem někde ,že to posílají jako test!
Téma jsem také zpracoval a jakýsi test pro uživatele prohlížeče Opera stvořil, ale podvod to není. Opera a Google Desktop mi dobře reagují a varují a nastavení mám dobré, spamy nemám od doby ,kdy jsem se pocvičil na email klientovi u Motoroly Razr V3 a schránky u operátora.
Nemusíte to číst a zkoušet, a vstup je volný pro všechny. Rád prezentuji svou práci, ale nenutím nikoho.
Adresa pro radost i poučení je: http://niniopera.blogspot.com
ninive@
No, myslím, že to bude trvat do té doby, než Česká spořitelna nezavade do autorizace nějaký dynamický prvek (stačily by i rotující číselné řady). Mé přihlašovací údaje např. ze Citibank by byly phisherům bez mého elektronického klíče na houby. Kód, který bych použil by již za pár vteřin nebyl platný. A proto asi ani nikdo neotravuje.
Spíše by mě zajímalo, jak to, že tyto maily chodí zrovna klientům - kdo a jak se dostal k jejich emailům. Já například tyto pokusy nedostávám, ač na některé adresy chodí spamu hafo...
Takže dle mého - chyba banky. A ještě ji asi utíkají data.