Kyberzločinu teď dominuje sociální inženýrství
Kriminalita na internetu neustále roste, přibývá i způsobů, jimiž se podvodníci snaží své oběti nachytat. V současné době dominuje phishing, ten má však mnoho podob. Využívá zejména lidské nevědomosti nebo pochybení. S pomocí metod sociálního inženýrství jsou podvodníci stále častěji úspěšní i v oklamání poučených uživatelů.
Při pohledu do spamové složky e-mailu jistě každý najde alespoň jednu podvodnou zprávu, která se z něj snaží vylákat privátní informace pod příslibem vysoké výhry či nabídky zázračného prostředku na cokoli. K častým podobám phishingu dnes patří výjimečné investiční příležitosti, které slibují pohádkové bohatství výměnou za několik málo osobních údajů. Ačkoli se může zdát, že na podobné podvody může naletět jen blázen, za 90 % zdařilých útoků je prosté lidské pochybení.
„Phishing v současné době dominuje jak v útocích na koncové uživatele, tak firemní systémy. Lidé jsou stále nepoučitelní v tom, že by neměli bezmyšlenkovitě klikat na nebezpečné odkazy. Pokud přijde mail, který vypadá jako od banky, přepravní firmy, renomovaného obchodu, najde se stále mnoho lidí, kteří neváhají do odpovědi zadat své osobní údaje. Metody podvodníků jsou však stále vynalézavější, i poučení uživatelé například naletěli na telefonické upozornění na napadení jejich počítače a povolili útočníkům, kteří se zaštítili jménem antivirové nebo známé softwarové společnosti, vzdálenou správu svého počítače. Podvodníci pak získali zneužitelné přístupové údaje do různých systémů a služeb nebo zablokovali či ukradli data,“ říká Michal Merta, ředitel Cyber Fusion centra společnosti Accenture.
Phishing je masivnější na sociálních sítích
Phishing se v poslední době stále více přesouvá na sociální sítě. Objevují se zde podvodné reklamy, nabídky zboží, žádosti o finanční příspěvky. Časté jsou i pokusy o přesměrování na podvodné stránky. Útočníci využívají především to, že lidé při brouzdání po sociálních sítích klikají na odkazy nebo aktivní prvky více bezmyšlenkovitě než při práci na počítači, výhodou je i menší přehlednost na menším displeji.
„Masovost využití sociálních sítí logicky vede k tomu, že se jejich prostřednictvím budou podvodníci v kyberprostoru budou snažit lovit své oběti. Pokud jde o koncové uživatele, je většinou cílem získat to, co se dá přímo zpeněžit – ať už jde o přímé vylákání finančních prostředků, získání informací o platebních kartách, přístupu do bankovních aplikací nebo vydírání. Stále častější je i zcizení profilů na sociálních sítích – ať už kvůli vydírání jejich majitele nebo zneužití pro napálení dalších lidí,“ říká Ondřej Ševeček, odborník na bezpečnost z Počítačové školy Gopas.
Problematická je z tohoto pohledu i profesní síť LinkedIn. Právě tato síť se pyšní nelichotivým prvenstvím – 52 % všech phishingových útoků z prvního pololetí 2022 se odehrálo právě zde. Útočníci při svých nekalých praktikách zneužívají to, že používá automatické zkracování URL adres na 26 znaků a vystavený příspěvek na síti může odkazovat kamkoliv a přes několik přesměrování se uživatel ocitne na phishingové stránce.
Zneužívají se nákupy na e-shopech i prodeje na bazaru
Popularita online nakupování ani po opadnutí pandemie příliš neklesla, takže zneužití on-line prodejů je lákavý cíl. I když se může zdát, že podvodným e-shopům už lidé neuvěří, stále jde o úspěšnou metodu podvodu. Protože stále více lidí nakupuje prostřednictvím mobilních telefonů, váží se k tomu i podvodné aplikace, navázané na konkrétní prodejce.
Naletět můžete i při koupi zboží přes e-bazary, kdy z kupujících chtějí podvodníci vylákat údaje o platebních kartách. Častou metodou je přesměrování na jakýsi oficiálně vypadající formulář, do kterého by kupující měl vyplnit údaje o své platební kartě – buď kvůli úhradě nebo dopravě zboží.
„Lidé by nejen při nakupování, ale při jakékoli činnosti v kyberprostoru, měli zpozornět, pokud je po nich vyžadováno cokoliv nestandardního. Žádné citlivé údaje, jako jsou informace o platebních kartách, přístupových heslech do internetového bankovnictví nebo heslech do důležitých služeb, by neměli nikdy sdělovat dalším osobám, a to ani osobně, ani na vyžádání po telefonu či e-mailu,“ upozorňuje Martin Pejsar z BNP Paribas Cardif. „Pro mnohá kybernetická rizika je pak možné se v současné době pojistit. Pojištění pak platí například pro případ zneužití karetních údajů na internetu, zneužití internetového bankovnictví, krádeže identity nebo pro případ dodání poškození při nákupu zboží na internetu.“