Ako odhaliť phishing v e-maile?

Tieto rady vám s tým pomôžu

Žijeme v dobe, kedy platíme niekoľkokrát denne. Prihlasujeme sa na veľa webových sídel, spravidla dávame “zapamätať heslo” a naša ostražitosť klesá spolu so snahou vyriešiť všetko rýchlo, efektívne a bez prekážok.

No vďaka zníženej pozornosti sa môžeme ľahko stať obeťou phishingu. Čo to vlastne je a ako ho rozoznať?

Phishing je taký “nevírusový” vírus tejto doby v našich e-mailoch, správach či na sociálnych sieťach. Nevírusový preto, lebo to nie je žiadny skutočný počítačový vírus, ako ich poznáme z minulosti. Vírus je v tom zmysle, že sa v posledných rokoch šíri na internete neskutočným tempom.

Čo to vlastne phishing je?

Je to snaha o ukradnutie vašich citlivých údajov. Doslovne lovenie hesiel (“password fishing” => “phishing”).
Funguje na princípe podvodu, kedy sa útočník vydáva za niekoho (alebo niečo), komu by ste mohli dôverovať – napríklad vaša banka, kamarát na Facebooku či potenciálny kupec vášho tovaru z Bazošu.

Poďme sa na to pozrieť bližšie.

Phishing v e-maile

Možno ste to už zažili už aj vy. Prišiel vám e-mail z banky, v ktorom vás žiadali o urgentné vykonanie nejakej aktivity. Alebo vám prišla úplne skvelá zlacnená ponuka tovaru. Pri takýchto e-mailoch si treba dávať pozor na viacero vecí.

Tipy na odhalenie phishingu v e-maile:

Skontrolujte meno odosielateľa: Nie je nezvyčajné, že adresa odosielateľa nevyzerá tak, ako by mala. Síce to vyzerá ako e-mail z banky, ale adresa znie napr. “” – teda nie .sk pre slovenskú banku a ešte aj nejaký divný text. Alebo “” – tá “1” je veľmi významná, lebo je to proste… úplne iná adresa. Asi ako Račianska a Rajčianska.

Preto si dávajte pozor na adresu webovej stránky. Škodlivé webové stránky môžu vyzerať rovnako ako legitímne stránky, ale adresa URL môže používať schválne chybný variant alebo inú doménu (napr. .com namiesto .sk).

Viac k tomu aj od SK-CERT (v kompetencii Národného bezpečnostného úradu).

Pozrite si gramatiku: E-maily obsahujúce phishing bývajú často plné chýb, štylistika je neprávna alebo sú napísané rovno v anglickom jazyku.

Zamyslite sa, či obsah e-mailu vyzerá, ako má: Je to typ oznamu, na aký ste u vašej banky zvyknutý? Cítite v ňom urgentnú výstrahu či nátlak na okamžitú reakciu? E-maily, ktoré chcú vaše citlivé údaje (napr. na prihlásenie) treba vždy čítať pozorne a s rozumom. Nie ich iba prejsť očami.

Zvážte, či je tam nejaký klik na link: Ak sa vám zdá e-mail podozrivý a dokonca obsahuje aj link, na ktorý ste vyzvaný kliknúť, prejdite na ten link najskôr myšou resp. kurzorom (neklikajte). Objaví sa vám skutočná adresa, na ktorú vás chce link zobrať a tu viete rýchlo zistiť, či ide o phishing, resp. či je to odlišná adresa od toho, čo čakáte (teda napr. adresa banky).

2. Phishing na Facebooku

Veru, phishing neobišiel ani sociálne siete. Vie byť tak šikovne zamaskovaný, že ho na prvý pohľad nemusíte odhaliť. Poďme sa pozrieť, na čo si dávať pozor. Najplnší je ho Facebook, ale podobné princípy platia aj inde.

Tipy na odhalenie phishingu na Facebooku:

Neotvárajte podozrivý status kamaráta či podozrivú reklamu: Dnes je už úplne bežné stretnúť na Facebooku statusy s bombastickými správami, ako váš kamarát zarobil tisícky eur za pár dní a podobne. Keď na tieto statusy kliknete, okamžite zrazu bez vášho vedomia šírite ďalej podobné statusy.

Možno si poviete, že sa nič také nestalo. Facebook teraz za vás šíri nejaký smiešny status, no a čo? No hrozba je ďaleko vyššia. Čo môže kliknutie na takýto link spôsobiť?

Národný bezpečnostný úrad to spísal takto: “Napríklad odcudzenie prihlasovacích údajov k vášmu Facebook kontu alebo inštaláciu malvéru do vášho zariadenia. Ten môže mať široké použitie – od krádeže citlivých údajov, cez zaznamenávanie vašej klávesnice až po využitie vášho počítača alebo mobilného telefónu na ďalšie útoky.”… taaakže?

Neklikajte na linky v správe od starého kontaktu, ktorý sa už dlho neozval: Zasvietila vám v Messengeri správa od kamaráta, s ktorým ste si nepísali niekoľko rokov? A dokonca ešte aj znela tak zvláštne, v štýle: “Ahoj, si to ty na tomto videu?”

Gratulujeme! Práve ste si našli v správe podvodný link, na ktorý určite neklikajte! Je občas náročné vyznať sa v tom, čo je ešte reálna správa od kamaráta a čo už útok na vaše citlivé údaje v súkromnej správe, ale nikdy nie je zlé byť za každých okolností ostražitý.

Súťažné príspevky: Veľmi obľúbený spôsob útočníkov, ako sa dostať k vašim údajom, je súťaž. Vidina veľkej výhry ľudí rozptyľuje natoľko, že nemálo ich dobrovoľne odovzdá údaje o svojej platobnej karte v domnení, že si vyhlasovateľ súťaže iba overuje totožnosť súťažiaceho. A zrazu sú obeťami phishingu.

Nezabúdajte, že nikto nemá prečo pýtať si len tak údaje k vašej platobnej karte (teda ak zrovna neplatíte na platobnom portáli). Rozhodne nie pri akejkoľvek súťaži. A ani keď máte niečo dostať… lebo na kreditnú kartu vám takto nič nemôže prísť. Ak by ste aj riešili nejakú žiadosť o novú kartu, nepríde to len tak cez Facebook.

3. Phishing v chate / telefonáte

Phishing má veľa rôznych podôb, takže je pomerne náročné ho odhaliť. Spomeňme si ešte tieto dva:
Tipy na odhalenie phishingu v chate / telefonáte:

Nedôverujte neznámemu kontaktu vo WhatsAppe či inom chate: Ak sa od vás niekto snaží vymámiť napr. údaje o spomínanej platobnej karte – je to predsa podozrivé, nie?

Nie tak dávno, v januári 2022, sme boli svedkami rozsiahlych podvodov, v ktorých potenciálny kupec z bazárového obchodu presviedčal príjemcov jeho správ, že si tovar vyzdvihne cez kuriéra. Dokonca mal v úmysle platiť dopredu cez známu doručovaciu službu. Najprv však bolo potrebné zadať údaje z platobnej karty.

Phishing ako vyšitý, ale dobre skrytý za dôveryhodne kopírované oficiálne služby, s akými sa ľudia na bazároch denne stretávajú. Preto vždy sledujte aj tieto veci – oficiálne logo značky, či má web https alebo iba http, ochranné certifikáty stránky…

A nebojte sa overovať si veci aj vo vyhľadávači cez viaceré zdroje. Napr. reputáciu neznámeho e-shopu. Určite sa totiž neponáhľate prísť o svoje peniaze.

Zložte hovor, ktorý od vás žiada citlivé údaje: Banky sa snažia vcelku výrazne vzdelávať svojich klientov o aktuálnych nástrahách, s ktorými sa môžu stretnúť. No stále sme len ľudia a veľakrát tieto informácie idú uchom dnu a uchom von, až kým čelíme napr. reálnemu phishingu.

Ten sa deje aj v našich telefónoch. Ak vám niekto zavolá s tým, že je to človek pracujúci pre vašu banky, buďte vždy ostražitý. Banka ani nikto iný na vás nesmie vyvíjať nátlak.

Nikdy nesmiete byť nútený presúvať peniaze inam, blokovať si na žiadosť iných karty, vyberať peniaze, odovzdávať prihlasovacie údaje k internet bankingu. Takýto telefonát radšej zložte a overte si situáciu osobne s vašou bankou. Ak je to dôležité, banka to určite nebude chcieť z hodiny na hodinu.

Phishing má dnes veľmi veľa podôb. My sme si spomenuli jednu z nich, no pri všetkých jeho podobách platí:

• Vždy si overujte, od koho vám prišla správa / e-mail.
• Takisto na čo klikáte (klikajte len na to, čomu dôverujete).
• Nikomu nedávajte svoje citlivé údaje a v prípade už napáchaných škôd, riešte situáciu okamžite. Čím skôr konáte, tým je vyššia šanca prekaziť úmysel útočníkov.

Staré dobré “dôveruj, ale preveruj” platí aj dnes. Na internete dvojnásobne!