Phishingové útoky na české banky pokračují, jak nepřijít o peníze?

Co je to phishing

Phishing je hackerská technika spočívající v podvodném vylákání přihlašovacích údajů od nepozorného uživatele. Název tato technika získala zkomolením anglického slova fishing (rybaření), a to nikoliv náhodou. Podstatou rybaření je totiž rovněž nalákání nepozorných ryb na návnadu, ve které je skrytý háček. A ten je v přeneseném smyslu ukrytý i ve phishingu.

Celý proces funguje tak, že uživatel klikne na odkaz v e-mailu. Ten se tváří, jako by ho poslal někdo jiný, v Česku obvykle banka. Útočníci si záměrně vybírají za svůj cíl ty největší banky, protože u nich je poměrně velká pravděpodobnost, že adresát e-mailu vlastní bankovní účet právě u dané finanční instituce.

V e-mailu je obvykle informace vybízející adresáta k nějaké akci – „máte nepřečtenou zprávu v internetovém bankovnictví“, „změňte si své heslo“, „přihlaste se do svého internetového bankovnictví kvůli…“. V e-mailu, který může být vyveden velice profesionálně, včetně třeba oficiálních barev banky, jejího loga, či dokonce správných kontaktních údajů na centrum péče o zákazníky, je také vždy přítomen odkaz na ony stránky internetového bankovnictví. A to je právě ten háček, na který se má „ryba“ chytit.

Tak trochu jiné webové stránky

Po kliknutí na odkaz, který dokonce může obsahovat správně napsanou adresu webových stránek příslušné banky, respektive jejího internetového bankovnictví, se však uživatel dostane na zcela jiný web. Místo adresy https://internetovebankovnictvivasibanky.cz se ocitne třeba na https://internetovebankovnictvivasibanky.cz.uhx.net. Toho si však už nemusí všimnout, protože stránky, jež se mu po kliknutí zobrazí, budou na první pohled vypadat identicky jako ty správné a oficiální.

S ohledem na to, že české banky své zákazníky začaly důsledně chránit před podobnými podvodníky, pouze přihlašovací údaje k internetovému bankovnictví nestačí. Útočník pro potvrzení platby potřebuje ještě SMS kód, stejně jako pro změnu kontaktního telefonního čísla (pokud je přes internet možná). Z tohoto důvodu phishingové stránky často obsahují ještě jedno pole přihlašovacího formuláře či jeden mezikrok přihlašování navíc – právě pro onen SMS kód.

Podvedený nemusí nic poznat

Phishingoví útočníci jsou velice důmyslní. Když už jim na jejich falešných stránkách předáte všechny údaje, které potřebují, obvykle vám napíšou nějakou chybovou hlášku a pak vás milerádi přesměrují na oficiální stránky internetového bankovnictví, abyste nic nepoznali. Vy své přihlašovací údaje pak zadáte znovu a přihlásíte se už do svého skutečného internetového bankovnictví. Na rozdíl od chycené ryby tak žádný problém nezaznamenáte. Tedy dokud vám nezmizí peníze z účtu.

Jak se bránit

Ačkoliv může phishing vypadat jako velice zákeřná hackerská technika, ve skutečnosti se není čeho bát. Stačí se držet jen několika základních jednoduchých pravidel a phishingoví útočníci si na vás nepřijdou! Proto:

1) Nikdy nenavštěvujte stránky internetového bankovnictví kliknutím na odkaz v e-mailu. Ani kdyby to byl e-mail přímo od vaší banky. Odkaz na své internetové bankovnictví si uložte třeba do oblíbených stránek v prohlížeči nebo jej najdete na oficiálních webových stránkách banky, jejichž adresu sami zadáte přímo do prohlížeče.

2) Pokud si nejste jistí, zda je příslušný e-mail skutečně od vaší banky, kontaktujte telefonicky centrum péče o zákazníky.

3) Pokud se vám zdá, že internetové bankovnictví vaší banky se najednou chová nestandardně, vypadá nějak jinak apod., ověřte si, že jste na správné webové adrese a pro jistotu také kontaktujte centrum péče o zákazníky.

4) Neklikejte na žádné odkazy pro instalaci jakýchkoliv aplikací, ani těch mobilních. Aplikaci pro mobilní bankovnictví své banky najdete vždy v oficiálním obchodě – v App Store, Google Play, Store (pro Windows Phone).