Phishing nemusí cílit pouze na kryptoměny

Internet je skvělé místo pro práci, zábavu, ale také pro různé podvodné techniky. Jejich cílem je připravit vás o dvě důležité věci – data a peníze. V poslední době jsou to mimo jiné i kryptoměny, které stále častěji přitahují pozornost podvodníků.

Blockchain zná technologický svět už od roku 2009. Vše začalo jako anonymní iniciativa s ambicí vytvořit kryptoměnu, tedy decentralizovaný substitut státem kontrolovaných měn.

Kryptoměny jsou oblíbeným cílem i prostředkem

Vznikl tak fenomén, který přilákal obrovské množství investorů, ale také podvodníků, pro které se kryptoměny staly oblíbeným cílem i prostředkem. Například výkupné v rámci ransomwarových útoků po vás budou hackeři vymáhat téměř vždy v kryptoměnách.

Vedle kryptoměn se s využitím technologie blockchainu rozvíjí také fenomén nezaměnitelných tokenů NFT (non-fungible tokens). Fakticky se jedná o jedinečné elektronické (často umělecké) dílo, jehož vlastnictvím se může pyšnit právě jeden člověk. Ačkoliv kopii může mít prakticky kdokoliv.

Co roste na hodnotě, to láká i útočníky

Díky své popularitě získaly kryptoměny a některé NFT velkou hodnotu. Toho si samozřejmě všímají i hackeři. Proto mají útoky na peněženky držící kryptoměny vzestupnou tendenci a probíhají často velmi sofistikovaným způsobem.

Mezi takové útoky patří například odchycení hesla při přihlašování do peněženky pomocí škodlivého kódu. Přesto existují i snadnější cesty – občas stačí uživatele o přístup do peněženky prostě jen požádat.

Za úspěšným útokem stál phishing a vhodné načasování

V únoru 2022 došlo k phisingovému útoku na uživatele největší burzy s NFT tokeny OpenSea. Způsobil škodu větší než 1,7 milionů dolarů a základem jeho úspěchu bylo mimořádně vhodné načasování. Burza OpenSea totiž právě informovala své uživatele o plánovaném přechodu na nový kontrakt (smlouva o převodu NFT) a vyzývala je k aktualizaci svých účtů.

Útočník využil danou situaci a v podobně znějícím duchu vyzýval podvrženým e-mailem uživatele k akci s výhodou ušetření významného poplatku spojeného se změnou kontraktu (provedení transakce).

Cesta k penězům uživatelů pak byla snadná

Uživatelé s vidinou úspory peněz tak v mnoha případech udělili souhlas s přístupem do své peněženky nesprávnému subjektu. Útočník pak po získání přístupu do peněženek dokončil tento koordinovaný útok a odeslal si na svůj účet vybrané hodnotné NFT.

Podle šetření bezpečnostní služby Blockchain PeckShield se útočník zaměřil na 32 klientských účtů a během tří hodin získal 254 tokenů.

Mezi ukradenými NFT jsou například známé tokeny z Bored Ape Yacht Club (kreslené obrázky znuděných opic) a sbírek Azuki v celkové hodnotě 641 ethereum. V době psaní tohoto článku tedy přibližně 1,7 milionu dolarů.

Phishing není omezen pouze na kryptoměny a NFT

Útočníci si pro své útoky rádi vybírají známé instituce, jako jsou banky a úřady, jejichž jménem pak vystupují. E-mail na první pohled vypadá tak, že přišel například z vaší banky, od České pošty nebo od ředitele společnosti, kde pracujete.

Využitím známé značky či autority se útočník snaží oběť přinutit k akci. Tím je nejčastěji kliknutí na zaslaný odkaz, který obsahuje škodlivý kód, jehož otevřením se útočník dostane do počítače oběti, nebo zadání citlivých informací (např. přihlašovací údaje).

Jak se před phishingem chránit?

Bohužel jediný způsob, jak se vyhnete těmto typům podvodů, je, že je včas je rozpoznáte. Nevyužívejte proto nabízené odkazy a zadávejte citlivé informace pouze na legitimních webových stránkách, které navštívíte obvyklým způsobem.

Webová adresa (URL adresa) podvodné stránky se často nepatrně liší od adresy originálního webu. Obvykle obsahuje překlep nebo jinou koncovku (doménu). Odchylku přitom můžete zjistit až po otevření nabízeného odkazu či stisknutí tlačítka.

Jaké jsou typické znaky phishingu?

Obzvlášť, když podvodná e-mailová zpráva může obsahovat oficiální logo i další prvky běžné komunikace? Společnost Eset proto přináší výstižný přehled, jak se nestát obětí phishingu:

• Požadavek na citlivé informace – žádná seriózní banka nebo finanční situace po vás nikdy nebude chtít vyplnění hesla do internetového bankovnictví v e-mailu. Jde o jednoznačný znak phishingu.
• Špatná gramatika – špatná čeština, která připomíná jednoduchý překlad, je velkým varovným signálem, který vám pomůže odhalit podvodnou zprávu.
• Neočekávaný e-mail – nevyžádané e-maily od neznámých osob otevírejte vždy se zvýšenou pozorností.
• Přílišná naléhavost – útočníci vás chtějí donutit provést požadovanou akci co nejrychleji, abyste něměli čas o ní přemýšlet. Pokud na vás e-mail příliš tlačí, nutí kliknout na tlačítko či odkaz (časově omezené nabídky, výhry), buďte obezřetní.
• Velmi výhodná nabídka – lákavé zboží zdarma, služba za nesmyslně nízkou cenu, to vše je typické pro phishing.
• Podezřelá doména – české banky určitě nepoužívají německou nebo čínskou doménu.

Co mohou proti phishingu dělat firmy?

Vzhledem k tomu, že útočnící cílí na koncové uživatele, kterými jsou ve firmách typicky zaměstnanci, je důležitá prevence. K tomu slouží pravidelné vzdělávání.

• Brožurka: Do začátku vám doporučujeme přehled 7 způsobů útoku, na které se zaměstnanci nechávají nejčastěji nachytat. Při jeho psaní jsme čerpali z našich praktických zkušeností. Stáhněte si ho zdarma na našem webu.

• Kurzy: další možností jsou kurzy, na kterých se uživatelé dozví, kdy zpozornět a jak na podezřelé e-maily a další nástrahy reagovat. Ideální jsou praktické kurzy, kde si studenti mohou vše vyzkoušet a zeptat se lektora.

• Testovací phishingové kampaně: Zajímavé může být i otestování své firmy. Připravíme pro vás bezpečnou phishingovou kampaň, díky které vyzkoušíme vaše zaměstnance a výsledky vám pošleme. Součástí je i vzdělávací video, ve kterém vám odhalíme všechny nástrahy, které jsme v kampani použili. Je to praktická zkušenost, kterou si vaši lidé určitě zapamatují.

Pro nejlepší výsledek kombinujte různé přístupy a často je opakujte. Eliminujete tak riziko hrozby od nově příchozích zaměstnanců, kteří ještě nemusí mít tolik zkušeností s phishingem.

Martin Listopad
Autor článku je jednatel společnosti DoxoLogic ze skupiny Moore Czech Republic.