Phishing

Úvod do phishingu

Phishing je forma sociálního inženýrství. Na rozdíl od jiných kybernetických útoků, které se přímo zaměřují na sítě a zdroje, útoky sociálního inženýrství využívají lidskou chybu, falešné příběhy a nátlakové taktiky k manipulaci obětí, aby neúmyslně poškodily sebe nebo svou organizaci. Při typickém pokusu o phishing se zločinec vydává za někoho, komu oběť důvěřuje, například za kolegu, šéfa, autoritu nebo zástupce známé značky. Zločinec odešle zprávu, ve které oběť instruuje, aby zaplatila fakturu, otevřela přílohu, klikla na odkaz nebo provedla jinou akci.

Vývoj a dopad phishingových útoků

Phishing, termín, který je dnes synonymem pro počítačovou kriminalitu, vznikl díky programu AOHell, který vyvinul teenager z Pensylvánie. Tento raný malware byl zaměřen na AOL (America Online), populární online službu v počátcích internetu, a používal mechanismy ke krádeži informací o kreditních kartách a prolamování hesel, což vedlo k narušení služeb AOL. Program AOHell položil základy automatizovaného phishingového softwaru a ovlivnil pozdější metody phishingu, včetně těch, které používá komunita Warez – skupina zabývající se hackováním a sdílením pirátského softwaru.

Počátky phishingu

Komunita Warez se zasloužila o první organizované phishingové útoky, které začaly v roce 1996. Byly zaměřeny na uživatele služby AOL a používaly algoritmus pro generování náhodných čísel kreditních karet. Když našli platné číslo, vytvořili skutečné účty AOL, aby podvedli další uživatele. Toto počáteční schéma phishingu se vyvinulo v sofistikovanější taktiku sociálního inženýrství, kdy se útočníci vydávali za zaměstnance společnosti AOL a shromažďovali citlivé informace.

Po těchto prvních podvodech se taktika phishingu rychle přesunula na e-mail. První phishingové e-maily se pohybovaly od nepřesvědčivých schémat, jako byly ty, které zahrnovaly falešné nigerijské prince, až po sofistikovanější pokusy, jako byl virus Mimail z roku 2003. Virus Mimail byl šířen prostřednictvím e-mailu, který se vydával za e-mail od společnosti PayPal a vyzýval uživatele k aktualizaci údajů o jejich kreditních kartách. Mnoho uživatelů, oklamaných přesvědčivým logem PayPal, zadalo své přihlašovací údaje na škodlivé webové stránce.

Hrozba zaměřená na člověka

Phishing je obzvláště nebezpečný, protože využívá lidskou psychologii a nespoléhá se na technologické zranitelnosti. Útočníci často nepotřebují přímo prolomit systémy nebo přechytračit nástroje kybernetické bezpečnosti. Místo toho oklamou osoby s oprávněným přístupem k citlivým informacím a přimějí je, aby nevědomky napomohly útoku.

Phishery mohou být jak jednotliví podvodníci, tak organizované zločinecké skupiny, které mohou phishing využívat k různým nekalým účelům, včetně krádeže identity, podvodů s kreditními kartami, krádeží peněz, vydírání, převzetí účtu a špionáže. Mezi cíle phishingových útoků patří jednotlivci, společnosti a vládní agentury. Významným příkladem je phishingový útok na prezidentskou kampaň Hillary Clintonové v USA v roce 2016, kdy ruští hackeři použili falešný e-mail s obnovením hesla a ukradli tisíce e-mailů. Podvodnými e-maily se nechal oklamat dokonce i IT helpdesk kampaně.

Moderní techniky phishingu

Phishing se výrazně vyvinul a využívá více komunikačních metod a sofistikovaných technik k oklamání cílů. Moderní pokusy o phishing mohou věrně napodobovat legitimní společnosti, takže je obtížné je odhalit bez pečlivého zkoumání.

Mezi současné techniky phishingu patří:

• Rybářský phishing: K němu dochází prostřednictvím sociálních médií, kde se ke shromažďování citlivých informací používají podvržené adresy URL, rychlé zprávy nebo falešné profily. Útočníci mohou také využívat profily na sociálních sítích k získání osobních informací, aby posílili svou manipulaci.
• Klonování a podvržení domény: Útočníci vytvářejí e-maily, které se velmi podobají těm legitimním, používají přesné kopie zpráv nebo falšují názvy domén, aby e-maily vypadaly jako pravé. Často se vydávají za velké a známé společnosti, aby uživatele přiměli ke sdělení osobních údajů.
• Smishing: Tato technika kombinuje phishing s posíláním falešných textových zpráv, jejichž cílem je získat informace, jako jsou čísla kreditních karet nebo hesla.
• Spear phishing: Vysoce cílený spear phishing spočívá v tom, že útočníci shromažďují podrobné informace a vytvářejí personalizované e-maily, které vypadají, že pocházejí z důvěryhodných zdrojů.
• Lov velryb: Tento typ phishingu se zaměřuje na vedoucí pracovníky nebo vysoce postavené osoby a často zahrnuje sofistikovanou sociální manipulaci a shromažďování informací.
• Vishing: Vishing je kombinací phishingu a VoIP (Voice over Internet Protocol) a zahrnuje podvodné telefonáty s cílem získat citlivé informace.

Souhrnně lze říci, že phishing se vyvinul od prvních programů, jako je AOHell, až po složité systémy zahrnující různé komunikační metody. Tato hrozba je stále významná, protože využívá lidskou psychologii, a proto je pro jednotlivce i organizace důležité, aby zůstali ostražití a informovaní o těchto neustále se vyvíjejících taktikách.