… citlivé údaje zadá přes sedmdesát procent …

Minulý týden byli klienti spořitelny napadeni stylem, kterému se říká phishing a česky rhybaření. Technicky se jedná o triviální záležitost, rhybář se neprolamuje do bankovních systémů, ale snaží se vylákat důležité informace vydáváním se za někoho důvěryhodného tím, že zašle podvrženou emailovou zprávu (scam) a připraví falešné webové stránky. Adresa webových stránek bývá odlišná od oficiálních, odtud i název útoku. Častěji než malá změna se ovšem použije název domény, který je pro laika matoucí. Obsah zpráv i grafika však působí naprosto autenticky.

Vyzvídat se mohou nejenom přihlašovací údaje, zejména k bankovním účtům a platebním systémům, ale i čísla kreditních karet, dále pak různé osobní údaje, které se použijí ke krádeži identity později jinak. Rovněž rozsah lákadel je široký a předem nevymezitelný. Od autoritativní žádosti o určité úkony kvůli vaší bezpečnosti, přes průzkumy spojené se zajímavou odměnou, pro jejíž inkaso je nakonec nutné zadat přístup ke svému účtu, až po zajímavé modifikace, kdy se má volat zvláštní číslo ze zprávy a údaje se vyzvoní telefonicky hovorovému automatu.

Podle poradenské firmy Gartner na odkaz v rhybařící zprávě klikne dvacet procent adresátů a tři procenta vyplní údaje. Podle studie z akademického prostředí v případě použití přesných sociálních a kontextových informací citlivé údaje zadá přes sedmdesát procent oslovených, téměř každý. Rozeznat falešnou webovou stránku může být někdy složité i pro specialistu.

Rhybaření je sociálním inženýrstvím, podobně jako třeba takzvané nigerijské dopisy. Osoby se mu tedy mohou bránit. Neklikat na podezřelé odkazy, nepřenášet je ani způsobem „copy&paste“, nevolat na čísla ve zprávě. Do banky přistupovat přes ručně zapsanou dobře známou webovou adresu a volat přes telefonní číslo z vlastního papírového telefonního seznamu. Nikdy nezadávat sensitivní data v reakci, na příchozí zprávu, ale i na jiné podezřelé okolnosti.

Máslo na hlavě mají i ty banky, které svým klientům dovolují slabou autentizaci pouze heslem. Polehčující okolností pro ně je, že k tomu jsou nuceny trhem. Podle průzkumu agentury NMS považuje osmdesátčtyří procent českých uživatelů tuto ochranu za dostatečnou. Tomu je třeba čelit osvětou.

Ze zákona by se rhybařením též měl zabývat Úřad pro ochranu osobních údajů, neboť každý scam je z principu též nevyžádnou obchodní zprávou (spam). Má osobní zkušenost je, že úřad je natolik zavalen hlášeními spamu, že bohužel nemá kapacitu ani na včasné rozeznání a zkoumání scamu. I technologicky jsou jeho možnosti nutně omezené. Při ohrožení se proto obracejte rychle především na svou banku.

Předpovědi pro budoucnost jsou spíše chmurné. Útoky mají mít vyšší kvalitu kontextových informací i dokonalejší technickou podstatu než rhybaření. Lepší zabezpečení účtu poskytují např. autentizační části hesel posílané uživateli přes zprávy SMS, v lepší variantě šifrovaně aplikaci na mobil. Pro ochranu kont s významnějšími částkami nebo kontokorentem byste měli volit silnější technologie: elektronický podpis na čipové kartě nebo autentizační kalkulátor. Obecně platí, že v závislosti na výši chráněných aktiv a vašich potřeb jejich ovládání je třeba zvolit i odpovídající stupeň ochrany, jejich kombinaci, popř. další doplňky bezpečnosti. Zásady opatrnosti proti rhybaření se vám však hodí vždy.

(v redakční úpravě vyšlo v HN dne 17.10.)

---

Autor je konzultant e-podpisu, VKC.CZ