Čo je to Phishing - ako sa mi podvodníci pokúšajú ukradnúť peniaze.

26.04.2016 20:11

Dnes ráno mi na môj e-mail prišla správa, údajne od PayPalu (internetová peňaženka), aby som si aktualizoval svoje prihlasovacie údaje. Som pomerne skúsený užívateľ internetu a viem, že s veľkou pravdepodobnosťou ide o podvodnú metódu, tzv. Phishing, prostredníctvom ktorej sa podvodníci snažia získať moje prihlasovacie údaje (heslo, email) do PayPalu. V tomto článku sa vám pokúsim zrozumiteľne vysvetliť, čo je to ten Phishing a ako sa pred týmto podvodom brániť.

 

Čo je to Phishing?

Phishing znamená v preklade rybolov, lovenie hesiel. Je to forma internetového podvodu, pri ktorej sa podvodníci od vás snažia získať prihlasovacie údaje (heslo, číslo kreditnej karty, číslo účtu, ochranný kód CVV/CVC kód atď.), buď k vášmu internetovému bankovníctvu (Tatra Banka, VÚB a iné), alebo k nejakej internetovej peňaženke (PayPal, SolidTrustPay, prípadne k inej virtuálnej peňaženke), aby následne mohli váš účet vykradnúť.

 

Ako to funguje?

Tento podvod väčšinou prebieha tak, že podvodník (Phisher) vytvorí web, ktorý po vizuálnej stránke vyzerá úplne ako kópia už existujúcej originálnej stránky (napríklad mnou spomínaný PayPal), alebo ponúka nejaké výhody po prihlásení sa cez ich webovú stránku. Následne vám podvodník pošle na váš email správu, v ktorej sa vydáva za support Paypalu (prípadne Tatra Banky, VÚB atď.), a vyžaduje od vás, aby ste si zmenili prístupové heslo, prípadne niečo iné. Často sa v e-mailovej správe objavuje aj vytváranie pocitu ohrozenia a časového tlaku – váš účet bude zrušený, ak ihneď nezadáte potrebné údaje (ako aj v mojom prípade – viď obrázok nižšie).

 

Ako vypadá Phishing e-mail v praxi. Fotka správy, v ktorej ma podvodníci nabádajú k zmene prihlasovacích údajov.

 

V správe mi píšu, že v poslednej dobe sa na môj PayPal účet prihlásilo viacero ľudí z iných krajín. Taktiež tam píšu niečo o nelegálnych nákupoch, pre ktoré mi vraj pozastavili účet, a ak si do troch dní nezmením prihlasovacie údaje, zablokujú mi ho natrvalo.

 

E-mail na prvý pohľad vzbudzuje dojem, že je odoslaný od PayPalu. Ako vidíte, v priečinku OD: sa nachádza PayPal Inc., taktiež sa tam nachádza logo tejto virtuálnej peňaženky. Dôveryhodne pôsobí aj grafická podoba správy. Keď som si však pozrel emailovú adresu, z ktorej mi táto správa prišla – lose@webbox255.....  bolo mi hneď jasné, že to nie je od PayPalu.

 

Na konci e-mailovej správy sa nachádza link, resp. odkaz, na ktorý keď kliknete, presmeruje vás na podvodníkovu falošnú stránku. Vy v domnienke, že sa prihlasujete na skutočnú stránku Paypalu, vyplníte vaše prihlasovacie údaje, no do systému vás to, samozrejme, neprihlási (keďže je to falošná stránka). Podvodník však dosiahne to, čo chcel. Takto jednoducho získa vaše prístupové údaje (email, ktorým sa prihlasujete na PayPal, heslo) a následne sa prihlási na váš účet cez skutočnú stránku PayPalu. Čo sa bude diať potom? To snáď ani netreba spomínať...

 

Ako odhaliť podvodný email, resp. ako sa brániť pred Phishingom.

 

1. Banky nepotrebujú od vás, aby ste si menili prihlasovacie údaje.

Banky, ani virtuálne peňaženky ako PayPal, nemajú najmenší dôvod požadovať od vás citlivé osobné údaje či prístupové heslá, preto e-maily tohto typu rozhodne neposielajú! Ak vám teda príde e-mail, v ktorom od vás niekto požaduje zmenu prihlasovacích údajov, s veľkou pravdepodobnosťou ide o podvod. Taký e-mail radšej ani neotvárať a rovno zmazať.

 

Nemusia to však byť len správy zamerané na aktualizáciu prihlasovacích údajov, môžu vám posielať aj e-maily s informáciou o neuskutočnení platby, oznam o dočasnom zablokovaní účtu či platobnej karty, alebo prieskum vašej spokojnosti s bankou. Možností, ako vás nalákať, je nekonečne veľa, cieľ je však jediný - aby ste sa cez e-mail (prípadne aj Facebook) preklikli na ich falošnú stránku a vyplnili vaše prihlasovacie údaje.

 

Pozor, podvodné e-maily vám môžu chodiť aj v prípade, že nepoužívate žiadnu internetovú peňaženku ani Internet Banking. Napríklad mne pár mesiacov dozadu prišiel e-mail, aby som si zmenil prístupové údaje do VÚB, pritom v tejto banke účet ani nemám.

 

2. Nikdy neklikajte na odkazy v e-mailoch.

Keď už si chcete zmeniť heslo alebo osobné údaje v nejakej internetovej peňaženke alebo v Internet Bankingu, otvorte si stránku cez google. Čiže zapnite google, napíšte do vyhľadávacieho riadku napr. PayPal alebo Internet Banking Tatra Banka a prihláste sa. Alebo môžete priamo do adresného riadku prehliadača napísať www.paypal.com.

Nikdy, opakujem, nikdy sa neprihlasujte na stránke, na ktorú ste sa dostali cez e-mail alebo Facebook. Mohlo by ísť práve o spomínanú Phishing stránku, prípadne by mohol link obsahovať nejaké škodlivé kódy, ktoré sa vám pokúsia nainštalovať do počítača.

 

3. Dávajte si pozor na preklepy.

Pri písaní do adresného riadku prehliadača si dávajte pozor na preklepy. Môže sa stať, že namiesto www.paypal.com napíšete www.pazpal.com. Tá stránka bude vyzerať presne ako originál, preto vám ani nenapadne, že môže ísť o falošný web, ktorý si dočasne zaregistroval nejaký podvodník. Vy následne vypíšete svoje prihlasovacie údaje a už sa veziete...

 

4. Skontrolujte URL adresu webu.

Keď už ste sa predsa len preklikli cez e-mail, Facebook alebo iným spôsobom, odporúčam pred prihlásením sa skontrolovať adresný riadok, resp. URL adresu stránky. Všetky banky a internetové peňaženky používajú šifrovaný HTTPS protokol, zatiaľ čo v prípade HTTP protokolu sa informácie prenášajú cez nezašifrované pripojenie, a teda ak by niekto údaje pri ich prenose zachytil, ľahko ich môže zneužiť.

 

V praxi to vyzerá nasledovne:

Pri prihlasovaní sa na PayPal by ste mali mať v adresnom riadku prehliadača toto:

 

Ako by mala vypadať URL adresa, keď sa prihlasujete na PayPal.

 

Obdobne je to aj pri prihlasovaní sa do Internet Bankingu Tatra banky, VÚB, prípadne inej banky. 

 

Ako by mal vypadať adresný riadok prehliadača, keď sa prihlasujete na Internet Banking Tatra Banky.

 

Ako by mal vypadať adresný riadok prehliadača, keď sa prihlasujete na Internet Banking VUB.

 

Ako vyzerá falošná stránka:

Zo zvedavosti som klikol na ten odkaz v e-maile, ktorý mi dnes prišiel, a mal som pravdu. Skúste si porovnať dva nasledujúce obrázky:

 

  Skutočná stránka so šifrovaným HTTPS protokolom.  Falošná stránka s nešifrovaným HTTP protokolom.

 

Ako vidíte, dizajn falošnej stránky je takmer identický so skutočnou stránkou PayPalu. Pre šikovného web programátora to totiž nie je žiadny problém. Rozdiel je práve v URL adrese, ktorá sa nachádza v adresnom riadku prehliadača. Zatiaľ čo na ľavom obrázku je skutočná stránka PayPalu s HTTPS:// protokolom, vpravo sa nachádza falošná stránka s nešifrovaným HTTP:// protokolom, navyše so zvláštnym názvom domény – http://mail07.total1.net/manual/... . Takto veľmi jednoducho sa dá rozpoznať podvodná Phishing stránka.

 

Ak ste na výzvu e-mailom reagovali, čiže ste klikli na odkaz v e-maile a na presmerovanej stránke ste vyplnili svoje prihlasovacie údaje, odporúčam okamžite túto stránku opustiť, prihlásiť sa na originálnej stránke PayPalu, buď tak, že pôjdete cez google, alebo priamo do adresného riadka prehliadača napíšete www.paypal.com, a následne si zmeniť heslo! Potom kontaktujte support na oficiálnych stránkach a prepošlite im podvodný e-mail.

 

5. Neprihlasujte sa z počítača, ktorý nemáte pod kontrolou.

Neodporúčam prihlasovať sa, a už vôbec nie nakupovať, z cudzieho počítača, prípadne z verejnej kaviarne. Počítače by mohli obsahovať vírusy, trójske kone a rôzne programy na monitorovanie činnosti, ktoré zachytia údaje o vašej platobnej karte, prípadne prihlasovacie údaje, a odošlú ich inam. Pozor si treba dať aj na otvorenú WIFI sieť. Ak ste pripojený cez WIFI, uistite sa, že nezdieľate súbory z vášho počítača. Všetky súbory, ktoré zdieľate, totiž môžu vidieť aj ostatné osoby pripojené na túto sieť.

 

6. Nezadávajte svoj e-mail na diskusných fórach.

Najlepšie urobíte, ak svoj e-mail nebudete na internete vystavovať. Aby podvodníci mohli zasiahnuť čo najväčší počet užívateľov, potrebujú poznať ich e-mailové adresy. Preto prehľadávajú internetové fóra, rôzne weby, chaty a pod., kde si nechávajú automatickými robotmi zaznamenávať všetky e-mailové adresy.

Alebo si vytvorte 2 e-mailové adresy, jednu z nich využívajte pre súkromnú komunikáciu a druhú pre verejnú komunikáciu (fóra, diskusie...).

 

Pár slov na záver.

Najlepšou ochranou pred Phishingom je používanie nejakého antivírusového programu i antispyware programu, ktoré dokážu odhaliť ďalšie druhy škodlivého softvéru, no a, samozrejme, firewall. Ďalej odporúčam používať k svojej e-mailovej schránke ochranu proti spamu. Túto ochranu môže zabezpečiť poskytovateľ e-mailovej schránky. Väčšina podvodných e-mailov je pri správnom fungovaní antispamovej ochrany rozoznaná a také e-maily sú blokované. 

 

 

Mohlo by vás zaujímať:

Mohlo by vás zaujímať:

Diskusná téma: Čo je to Phishing - ako sa mi podvodníci pokúšajú ukradnúť peniaze.

Neboli nájdené žiadne príspevky.

Pridať nový príspevok