Obnoviť stránku

Varování před novou vlnou phishingových útoků

Aktualizováno

Rádi bychom vás varovali před novými phishingovými útoky, o kterých nás intenzivně informujete poslední dny přes zákaznickou linku.

Aktuálně se jedná o zprávy obsahující informace:

  1. o zrušení platby a vrácení peněz
  2. nebo o soutěžích a nabídkách na extrémně zlevněné produkty (například značky KitchenAid)

Je pravděpodobné, že s přicházejícími Vánocemi bude počet online podvodů znatelně stoupat.

Prosíme, na tyto emaily nereagujte, neodpovídejte na soutěžní otázky a určitě nevyplňujte osobní a platební údaje. Nejedná se v žádném případě o oficiální marketingovou akci společnosti Alza.cz.

Phishing: krádež digitálních údajů

i

Co to je phishing?

V rámci e-commerce se nejčastěji setkáváme s kybernetickým útokem, kterému se říká phishing. Phishingové útoky se v poslední době stávají stále sofistikovanějšími. Jde o emailové, sms kampaně nebo kampaně přes jiné instantní zprávy, které vyvolávají pocit naléhavosti, strachu a přimějí oběti k sesdílení citlivých informací nebo ke kliknutí na škodlivé odkazy.

Často bývá ale na první pohled jasné, že se nejedná o legitimní email od Alza.cz.

Obecné tipy, jak phishing identifikovat

  1. Falešná identita: Útočník se vydává za fungující značku společnosti i. Často využívá názvy známých firem nebo institucí, aby vzbudil důvěru. V příkladu výše můžeme vidět, že email dle popisu přichází od Alza.cz, ale odesílatelem je společnost Slevopark.
  2. Design emailu: Phishingové emaily ve většině případů nevypadají moc vzhledně. Můžeme si všimnout rozdílů ve velikostech písma, špatného oslovení nebo gramatiky. Je důležité si uvědomit, že podvodník se snaží postupně co nejlépe napodobit reálný email, a proto se tyto chyby začínají postupem času vytrácet a je nutné být více pozorný. 
  3. Lákavá nabídka: Obsah emailu předstírá výhru v soutěži nebo jinou lákavou nabídku. Cílem je získat pozornost oběti a přimět ji k interakci. Často se můžeme setkat s výhrou nějakého trendy zboží jako je např. Nový typ iPhonu, tak, aby podvodník oslovil co největší skupinu. Zde je také důležité si vůbec promyslet, zdali jsme se do nějaké soutěže hlásili.
  4. Požadavek na citlivé Informace: Po získání pozornosti oběti útočník žádá o osobní údaje, jako jsou jméno, adresa, číslo bankovního účtu nebo informace o platební kartě. Údajně jsou tyto informace potřebné pro zpracování výhry nebo k poskytnutí slibované odměny. Zpravidla je získávání informací prováděno pod nátlakem, to znamená, že na zadání údajů máte jen velmi omezený časový úsek Když to nestihnete, tak výhra propadne.
  5. Zneužití Informací: Jakmile oběť poskytne požadované údaje, útočník je může zneužít pro finanční podvody, krádež identity nebo další škodlivé aktivity. Pokud Vám byly vaše údaje ukradeny/zneužity tak je důležité tyto situace ihned řešit.

Jaká je motivace k phishingovým útokům?

Útočník při phishingovém útoku obvykle požaduje získání citlivých informací od oběti. Mezi tyto informace mohou patřit přihlašovací údaje k různým online účtům, jako jsou e-mail, bankovní služby nebo sociální sítě, osobní údaje včetně jmen, adres, telefonních čísel a rodných čísel apod.

Jak útočníci zneužívají získané informace?

Útočníci tyto informace využívají k různým účelům. Mohou je použít ke kriminálním aktivitám, jako je krádež identity, podvodné transakce nebo praní špinavých peněz. Citlivé údaje mohou také prodat na černém trhu nebo na dark webu jiným zločincům.

Převzetí kontroly nad online účty obětí může vést k dalším podvodům nebo vydírání. V případě podnikové špionáže mohou útočníci získat citlivé informace o konkurentech nebo obchodních partnerech. Další možností je vydírání, kdy útočník hrozí zveřejněním citlivých údajů, pokud oběť nezaplatí výkupné.

Co mám dělat, když se stanu obětí phishingového útoku?

Pokud jste se stali obětí phishingového útoku a útočníci získali vaše soukromé informace, je důležité jednat rychle a podniknout několik kroků k minimalizaci škod. Zde je obecný postup, jak se zachovat:

  1. Změňte hesla: Okamžitě změňte hesla ke všem vašim online účtům, zejména k těm, které byly potenciálně kompromitovány. Zvolte silná a jedinečná hesla pro každý účet.
  2. Ověřte účty: Zkontrolujte své online účty, zda nedošlo k neobvyklým aktivitám. Pokud zjistíte jakékoli podezřelé transakce nebo změny, nahlaste je příslušné službě nebo organizaci.
  3. Informujte banku: Pokud byly kompromitovány vaše finanční informace, okamžitě kontaktujte svou banku nebo poskytovatele kreditní karty. Požádejte o blokaci karty a vydání nové. Zkontrolujte své bankovní výpisy a upozorněte banku na všechny neautorizované transakce.
  4. Aktivujte dvoufaktorovou autentizaci (2FA): Tam, kde je to možné, aktivujte dvoufaktorovou autentizaci pro zvýšení zabezpečení vašich účtů. Tato metoda přidává další vrstvu ochrany tím, že vyžaduje kromě hesla ještě další ověřovací krok.
  5. Kontaktujte podporu: Pokud se jedná o účet na specifické službě (například e-mail, sociální sítě), kontaktujte jejich zákaznickou podporu a informujte je o útoku. Požádejte o pomoc při zabezpečení vašeho účtu.
  6. Nahlaste útok: Nahlaste phishingový útok na příslušných místech, například u svého poskytovatele internetových služeb, na antiphishingové portály nebo na národní centrum kybernetické bezpečnosti.
  7. Sledujte své kreditní skóre: Pokud byly kompromitovány vaše osobní údaje, je dobré sledovat své kreditní skóre, aby bylo možné včas zachytit případné pokusy o zneužití vaší identity. V některých zemích můžete požádat o upozornění na změny ve vašem kreditním záznamu.

Co dělat, pokud mě útočník vydírá?

Neodpovídejte vyděrači: Nepokoušejte se vyjednávat ani splnit požadavky útočníka. Odpověď může povzbudit další vydírání.

Zachovejte důkazy: Uchovejte všechny důkazy o vydírání, včetně e-mailů, zpráv, snímků obrazovky a všech dalších forem komunikace. Tyto důkazy mohou být důležité pro vyšetřování.

Kontaktujte policii: Okamžitě nahlaste vydírání policii. Poskytněte jim všechny shromážděné důkazy a spolupracujte při vyšetřování. Vydírání je trestný čin a policie vám může poskytnout podporu a ochranu.

Kontaktujte právníka: Právník specializující se na kybernetickou bezpečnost nebo trestní právo vám může poradit, jak dále postupovat a chránit vaše práva.

Ověřte svá nastavení ochrany soukromí: Zkontrolujte a upravte nastavení ochrany soukromí na sociálních sítích a dalších online platformách, aby vaše osobní informace byly co nejméně přístupné.

i

Zašifroval vám útočník hardisk?

V případě, že vám útočník zašifruje harddisk, jedná se o ransomware útok, což je jiná forma kybernetického útoku než phishing. Ransomware zašifruje vaše data a útočník požaduje výkupné za jejich odšifrování.

Jaký je doporučený postup v případě zašifrovaných dat? Více informací v článku: Co je Ransomware?

Proč se nevyplatí neagovat na vydírání?

V obecné rovně se doporučuje neplatit výkupné a s útočníkem nekomunikovat. Samozřejmě platí, že podobné rady se snadno dávají, ale v praxi to zpravidla už tak jednoduché není. Proč se ale přesto vyplatí právě tuto zásadu dodržet?

  1. Žádná záruka ukončení vydírání: Neexistuje žádná jistota, že vyděrač splní své sliby a přestane vás obtěžovat nebo zveřejní citlivé informace, i když splníte jeho požadavky. Mnoho obětí zjistilo, že po zaplacení výkupného nebo poskytnutí požadovaných informací vydírání pokračovalo.
  2. Podpora zločinu: Komunikací s vyděračem a případným splněním jeho požadavků podporujete jeho nezákonné činnosti. To motivuje útočníky pokračovat v těchto praktikách a vydírat další oběti.
  3. Zvýšení pravděpodobnosti budoucích útoků: Pokud útočníci zjistí, že jste ochotni komunikovat a plnit jejich požadavky, můžete se stát cílem dalších útoků, ať už od stejných útočníků nebo od jiných skupin, které se dozvědí o vaší ochotě vyhovět.
  4. Možné právní důsledky: V některých jurisdikcích může být splnění požadavků vyděračů nelegální, protože může být považováno za podporu nezákonných aktivit.
  5. Nezákonné aktivity: Vyděrači často používají získané prostředky k financování dalších nezákonných aktivit, což může mít širší negativní dopady na společnost.

Nejznámnější phishingové útoky

Útok na Sony Pictures (2014)

Co se stalo? Útočníci použili phishingové e-maily, které vypadaly jako legitimní komunikace od důvěryhodných zdrojů, aby oklamali zaměstnance a přiměli je ke kliknutí na infikované odkazy nebo otevření škodlivých příloh.

Škody: Tento útok vedl k masivnímu úniku citlivých informací. Byly zveřejněny tisíce e-mailů, osobní údaje zaměstnanců, finanční informace, nezveřejněné filmy a obchodní plány. Kromě přímých finančních ztrát způsobených přerušením provozu a náklady na obnovu systému se společnost musela vypořádat i s významným poškozením své reputace. Celkové škody byly odhadnuty na stovky milionů dolarů.

i

Jak se poučit?

Vždy si ověřujte e-maily, které obsahují odkazy nebo přílohy, zvláště pokud jsou od neznámých nebo neočekávaných odesílatelů. Používejte bezpečnostní software, který skenuje přílohy a odkazy na přítomnost malwaru.

Útok na Johna Podestu (2016)

John Podesta byl předseda volební kampaně Hillary Clintonové během prezidentských voleb v USA v roce 2016.

Jak se to stalo? Podesta obdržel e-mail, který vypadal jako bezpečnostní upozornění od Googlu, a byl přesměrován na falešnou přihlašovací stránku, kde zadal své přihlašovací údaje.

Škody: Útok vedl k úniku tisíců e-mailů Johna Podesty, které byly následně zveřejněny na WikiLeaks. Tyto e-maily obsahovaly citlivé informace o volební kampani Hillary Clintonové, což vedlo k významnému politickému dopadu a mohlo přispět k výsledku prezidentských voleb v USA v roce 2016. I když přímé finanční škody nejsou známy, politické a reputační škody byly značné.

i

Jak se poučit?

Nikdy neklikejte na odkazy v e-mailech, které tvrdí, že jsou z bezpečnostních důvodů, a vždy se přihlašujte přímo na oficiální webové stránky služeb. Používejte dvoufaktorovou autentizaci (2FA) pro další úroveň ochrany.

Útok na Target (2013)

Target je jeden z největších maloobchodních řetězců v USA.

Jak se to stalo: Útočníci použili phishingové e-maily k infikování počítačů třetí strany, poskytovatele HVAC služeb. Tito poskytovatelé pak nevědomky otevřeli dveře k síti Targetu.

Škody: Útočníci získali přístup k platebním informacím o přibližně 40 milionech kreditních a debetních karet a osobním údajům asi 70 milionů zákazníků. To vedlo k přímým finančním ztrátám ve formě náhradních karet a kompenzací zákazníkům, právních nákladů a pokut. Celkové náklady na řešení útoku byly odhadnuty na přibližně 202 milionů dolarů. Reputace Targetu také utrpěla a důvěra zákazníků byla výrazně narušena.

i

Jak se poučit?

Zabezpečte nejen své systémy, ale i systémy vašich dodavatelů a partnerů. Implementujte bezpečnostní opatření, jako jsou segmentace sítě a omezení přístupu, aby se minimalizovalo riziko šíření útoku.

Útok na Dropbox (2012)

Dropbox je populární služba pro ukládání a sdílení souborů online. Služba si zakládá na ochraně osobních dat svých klientů.

Jak probíhal útok? Útočníci získali přístup k e-mailovým adresám zaměstnanců Dropboxu a zaslali falešné e-maily, které vypadaly jako interní komunikace, což vedlo k otevření škodlivých příloh.

Škody: Phishingový útok vedl k úniku e-mailových adres zaměstnanců a potenciálně i k úniku dalších uživatelských dat. I když přímé finanční škody nejsou známé, společnost Dropbox musela vynaložit značné prostředky na posílení svého zabezpečení a obnovu důvěry zákazníků. Tento incident zvýraznil potřebu lepší ochrany dat a interního zabezpečení.

i

Jak se poučit?

Buďte obezřetní i při přijímání e-mailů od známých odesílatelů, pokud jsou neočekávané nebo obsahují nezvyklé přílohy. Učte zaměstnance, jak rozpoznat phishingové útoky a jak na ně správně reagovat.

Pokud máte podezření, že jste se stali obětí podvodu, kontaktujte nás prostřednictvím kontaktního formuláře. Pokud k podvodu došlo, kontaktujte v prvé řadě policii a případně banku pro zablokování platební karty.

Bezpečnost a podvody Softwarová ochrana PC
Kontaktní formulář

Skúste naše cookies

My, spoločnosť Alza.cz a.s., IČO 27082440, používame súbory cookies na zaistenie funkčnosti webu a s vaším súhlasom o. i. aj na personalizáciu obsahu našich webových stránok. Kliknutím na tlačidlo „Rozumiem“ súhlasíte s využívaním cookies a predaním údajov o správaní na webe na zobrazenie cielenej reklamy na sociálnych sieťach a reklamných sieťach na ďalších weboch.

Viac informácií
Rozumiem Podrobné nastavenia Odmietnuť všetko
P-DC1-WEB13