Phishing není jen jednou z hlavních hrozeb pro domácí uživatele, ale také velkým nebezpečím pro podnikové sítě. Postupně se dostává až na pozici nejobávanější podvodné techniky. Že se nejedná jen o plané nebezpečí vyplývá i z výzkumů zaměřených právě na phishing. Toto léto bylo nějakým způsobem více či méně ohroženo phishingem až 73 procent významných amerických finančních společností.
Daniel Šafář, manažer prodeje Check Point
Intenzita útoku sílí, bude i trendem budoucnosti
Banky ale samozřejmě nejsou jediným cílem útoků. Podle výzkumů dosáhly útoky letos v červnu takové intenzity, jakou neměly nikdy od roku 2004. Bohužel můžeme tvrdit, že situace se bude jenom zhoršovat.
Experti předpovídají, že kromě narůstající intenzity bude i forma útoků čím dál sofistikovanější. Dnes tyto hrozby dokáží prolomit bezpečnost důvěryhodných organizací a to jednoduše přes email. Kanál se však může měnit. Útoky již byly zaznamenány i přes komunikační software, jako MSN Messenger, přes textové zprávy v telefonu (SMS) nebo protokol VoIP. S narůstajícím počtem útoků je potřebné zvýšit povědomí uživatelů o hrozbách a ochraně a investovat do ochrany firemní sítě.
Je to zdání důvěryhodnosti, co dělá phishing tak úspěšným. Pojmenování phishing je odvozeno z anglického slova fish a lovu ryb, protože hackeři loví hesla a finanční data z moře internetových uživatelů. Způsob používání má kořeny v teorii nazvané sociální inženýrství, pomocí něhož se hackeři snaží doslovně řídit, manipulovat chování uživatele a oklamat ho. Mezi hackery mohou být i zloději identit. Ve firemním prostředí může jedno takové zaváhání ohrozit celou síť, iniciovat finanční podvod nebo dokonce průmyslovou špionáž.
Nejvíce napadení bylo zapříčiněno škodlivým útokem přes email, který odkazoval na nebezpečné webové stránky jevící se uživateli jako důvěrně známé. Například stránky banky uživatele. Uživatel je pak vyzván, aby zadal důvěrná data, číslo kreditní karty, hesla nebo jiné firemní informace. Další hrozbou je pharming, který uživatele přesměřuje na škodlivé stránky nebo proxy server. Někdy je součástí phishingu také spyware, který data krade přímo od uživatele.
Útoky pomocí SMS zpráv
Phishing budoucnosti dělá z tohoto všeho jenom dětskou hru. SMiShing nebo-li útoky na uživatele přes přijatou textovou zprávu v mobilním telefonu. SMS obsahuje link na webovou stránku, po kliknutí se hackeři dostávají k informacím z mobilního telefonu uživatele a mohou telefon přes internet ovládat. I takové útoky již byly zaznamenány.
Hrozbou budoucnosti je také takzvaný vishing, který k odcizení informací využívá VoIP místo chybného webového linku. Při této formě phishingu přijmou uživatelé telefonát informující o potížích s jejich kreditní kartou. Hovor vybízí oběť, aby následně po telefonátu volala na zadané číslo a vyřešila tak problém se svou kreditní kartou. Na daném čísle je oběť vyzvána k zadání čísla své kreditní karty nebo jiných detailů svého bankovního účtu. Často je VoIP využíván jenom k proniknutí spyware do telefonu. Když si představíme, že business přes VoIP je dnes již běžnou záležitostí, tak to zavání vishingovou epidemií.
Check Point si je vědom vážnosti těchto hrozeb, a proto nabízí řadu bezpečnostních řešení pro komplexní ochranu, které tyto hrozby limitují. Samozřejmě je ale velmi důležitou součástí prevence, jejíž součástí je i vzdělávání v této oblasti. Uživatelé musí být o hrozbách phishingu a také o jeho různých formách informováni. Měli by vědět, čeho si je třeba všímat v emailech a textových zprávách. Nejdůležitější je citlivé informace zadávat jenom osobně v bance nebo jiné instituci. Phishing, stejně jako rybaření, je nanic, pokud nic nebere.
Autor článku pracuje na pozici manažer prodeje společnosti Check Point Software Technologies Ltd., která se zabývá poskytováním řešení v oblasti zabezpečení internetu.