Phishing, pharming, vishing, spoofing, trashing, quishing - vysvetlenie a príklady

Autor: redakcia
06.02.2023 (13:00)

Viete aké podvody sa skrývajú pod týmito názvami? Vysvetlíme vám ich podstatu a poradíme, ako sa proti nim brániť.

Phishing

Phishing vznikol z anglických slov password fishing (chytanie hesiel) a slova phreaking, ktorí používali v minulosti hackeri. Phishing je podvodná metóda na získavanie osobných údajov, napr. prihlasovacie údaje, heslá, čísla platobných kariet alebo PIN kódy mailom. Phishing je založený na veľkom množstve e-mailov, ktoré vyzerajú, ako by ich poslala banka. Klienta v nich žiadajú, aby navštívil stránku banky kliknutím na link v e-maile. Samozrejme falošný. Ak klient zadá prihlasovacie údaje na takejto stránke, môžu byť zneužité.

Quishing

Quishing je podvodná aktivita veľmi podobná phishingu. Podvodník rozposiela emaily obsahujúce QR kód, ktorý odkazuje na falošnú stránku. Oproti bežným mailom, ktoré obsahujú škodlivý link, sú tieto maily nebezpečnejšie, pretože ich nedokáže spoľahlivo odchytiť váš antivírusový filter.

Príklad ako funguje quishing: Otvoríte si Outlook a v doručenej pošte nájdete e-mail od Microsoftu, ktorý vás informuje, že jeden e-mail vám nebol doručený a môžete si ho prečítať po prihlásení sa do Microsoft 365. Na konci mailu je QR kód a pokyny, že naskenovaním QR kódu získate prístup k svojej nedoručenej pošte. A keďže ste zvedavý, vezmete telefón a naskenujete ho. Po naskenovaní ste presmerovaný na prihlasovaciu stránku Microsoft 365 a vyzvaný na zadanie prihlasovacích údajov, aby ste získali prístup k svojej pošte. Po zadaní údajov sa stránka znovu načíta a tvári sa, akoby nefungovala. V domnení, že ide o chybu, zadáte svoje prihlasovacie údaje znova a teraz sa skutočne prihlásite do apky Outlook online, pričom po nedoručenom maili je ani stopy. Ani si nevšimnete, že ste práve odovzdali prístup k svojmu mailu bohviekomu.

Pharming

Pharming vznikol z anglických slov phishing a farming. Je to podvodná metóda, ktorá spočíva v presmerovaní názvu www stránky na inú adresu. Každej webovej adrese napríklad ib.banka.sk prislúcha číselná adresa napríklad 215.5.213.144. Presmerovanie takejto adresy môže haker uskutočniť buď napadnutím servera DNS alebo zmenou súboru hosts priamo na počítači používateľa.

Škodlivý softvér, ktorý spôsobuje zmeny v súbore hosts si užívateľ môže stiahnuť nevedomky do svojho mobilu alebo PC tak, že klikne na link vo phisingovom maili, ktorý mu bol zaslaný. Keď sa chce neskôr prihlásiť do svojho internetbankingu, je presmerovaný na stránku, ktorá vyzerá identicky ako webová stránka jeho banky, no je falošná. Užívateľ zmenu zvyčajne nespozoruje, prihlási sa do IB a po chvíli sa mu objaví oznam, že stránka nie je k dispozícii. Podvodníci odchytia jeho prihlasovacie údaje.

Aký je rozdiel medzi phishingom a pharmingom? Pharming je typ phishingu, pričom užívateľ nemusí kliknúť na škodlivý link, aby ho presmeroval na falošný web. Namiesto toho je obeť okamžite presmerovaná na stránku s falošným DNS záznamom. Pharming možno preto charakterizovať ako „phishing bez návnady“.

Vishing

Vishing vznikol spojením dvoch anglických slov – voice a phishing a je to metóda sociálneho inžinierstva, kde sa útočník snaží získať dôverné informácie klienta napr. jeho prihlasovacie údaje, číslo karty či PIN kód pomocou telefonického hovoru. Telefonický hovor sa tvári, že je od „vašej kartovej spoločnosti“ alebo „banky“, zvyčajne od pracovníka z „oddelenia bezpečnosti a podvodov“. Povie vám, že vaša karta bola zablokovaná pre podozrivé transakcie a musíte preukázať, že ju vlastníte. Požiadajú vás, aby ste zadali trojciferný bezpečnostný kód zo zadnej strany platobnej karty, jednorazový prístupový kód, ktorý vám bol práve zaslaný, alebo váš PIN kód. Podvodných schém je viac, napíklad vám oznámia, že z vášho účtu sa niekto pokúša previezť vaše peniaze.

Spoofing

Spoofing pochádza od slova "spoof“ znamená "falošný". Pri spoofingu sa útočník schováva za inú identitu, maskuje svoje meno, telefónne číslo, e-mailovú adresu, či webovú adresu, aby presvedčil používateľa, že komunikuje so známym dôveryhodným zdrojom. Napríklad s bankou.

Spoofing sa využívá v kombinácii s ďalšími typmi útokov. Najčastejšie sa s ním stretávame v kombinácii s vishingom – telefonickými podvodmi a phishingom – emailovými podvodmi.

Trashing

Trashing pochádza z anglického slova "trash", čo znamená odpad. Prostredníctvom trashingu sa podvodník snaží získať citlivé údaje a ako zdroj využíva údaje v súboroch, ktoré boli vyhodené do koša - "vyberanie odpadu". Podvodník používa vírusy, ktoré skenujú súbory vyhodené do koša a vyhľadávajú v nich dôležité informácie, napr. heslá . Tento podvod sa veľmi často kombinuje s niektorým z predchádzajúcich podvodov, pretože pri trashingu podvodník nezíska kompletné informácie, ktoré potrebuje na uskutočnenie podvodu.

Ako sa brániť

Mnohé podvody sú veľmi sofistikované a ľudia si často uvedomia že naleteli, až keď je neskoro. Treba si uvedomiť, že banky, kartové spoločnosti ani polícia nikdy od klientov nežiadajú prihlasovacie údaje, číslo karty, PIN ani overovacie kódy. Podvodníci už prišli nato, že je jednoduchšie vymámiť prístup do IB alebo ku karte od ľudí, ako prelomiť bankové bezpečnostné systémy. Preto sa rozmáhajú falošné maily, telefonáty či SMSky.
  • poriadne si skontrolujte adresu odosielateľa. Napríklad e-mail od VUB by mal prísť z e-mailovej adresy ...@vub.sk a nie z adresy vubsupport@gmail.com, ani z info@vab.sk.
  • pozor si dajte ak sa od vás vyžaduje okamžitá akcia. Podvodníci niekedy používajú zastrašovacie taktiky, ako je pokuta alebo zablokovanie účtu, aby vás prinútili poskytnúť svoje údaje bez premýšľania.
  • ak máte pocit, že email/telefonát/smska , ktorú ste dostali je falošná, zavolajte do banky alebo ju navštívte osobne. Na kontaktovanie nepoužívajte čísla alebo emaily, ktoré vám pošle podvodník. Telefónne číslo na call centrum si overte na webovej stránke banky, alebo ho nájdete priamo v aplikácii vašej banky.
Viac bezpečnostých typov nájdete tu.
 
Foto: Laura BC, Burst.shopify.com