Ochrana účtu před phishingem

Termín phishing popisuje podvody snažící se o ukradení totožnosti za využití podvodných webových stránek, e-mailů nebo jiných zpráv. Cílem phishingového útoku je získat přístup k vašemu účtu a citlivým údajům. Útočník může vytvořit vlastní web, který napodobuje web respektované společnosti, nebo vám může zaslat zprávu, která se bude tvářit jako zpráva z důvěryhodného zdroje. Phishingové zprávy mohou pocházet z falešného účtu nebo z účtu, který byl napaden.

Phishingová zpráva vás může vyzývat k následujícím úkonům:

  • Otevření odkazu.
  • Stažení souboru.
  • Otevření přílohy.

Pokud cokoli z výše uvedeného uděláte, může být váš počítač nebo mobilní zařízení napadeno malwarem, což je škodlivý software (červ, trójský kůň, bot nebo virus). Po napadení vašeho zařízení získá útočník přístup k vašim osobním údajům.

Phishingové podvody mohou také zahrnovat přímé žádosti o osobní údaje, například o přihlašovací údaje k bankovnímu účtu.

Phishingové podvody vás mohou vyzývat k zadání osobních údajů následujícím způsobem:

  • E-mailem nebo jiným systémem pro zasílání zpráv.
  • Prostřednictvím formuláře.
  • Kontaktováním podvodného telefonního čísla.
  • Zasláním na podvodnou fyzickou adresu.

Dokonce i žádost o zadání e-mailové adresy a resetování hesla může být nebezpečná.

Jak poznat varovné signály

Před phishingem se můžete chránit tím, že se seznámíte s varovnými signály. Všechny zprávy čtěte řádně bez ohledu na to, od koho se zdají být a všechny weby prověřujte bez ohledu na to, jak povědomě vypadají.

Příliš obecné sdělení

Přestože může být phishingový útok dobře připravený a ušitý na míru vašemu podnikání, obecnost sdělení je průvodním znakem většiny phishingových podvodů. Dávejte si pozor na zprávy, které se zdají být od důvěryhodných společností, ale začínají vágními osloveními:

Vážený majiteli účtu,

Pokud zpráva slibuje důležitou obchodní nebo finanční příležitost, ale neobsahuje dostatek podrobností, ze kterých by se dalo poznat, že vás odesilatel zná, pak se může jednat o podvod:

Jsem bankéř Frederick. Kontaktujte mě co nejdříve ohledně pozůstalosti po zemřelém příbuzném. V SMS zprávě toho moc napsat nemůžu. Napište mi e-mail na níže uvedenou adresu.

Obchodní zprávy z osobních účtů

Sofistikovaní útočníci o vás mohou na internetu získat dostatek informací a vytvořit zprávu, která bude zdánlivě pocházet od skutečného kontaktu:

Aktualizace velkoobchodní nabídky

Dobrý den, ráda(a) bych vám poskytl(a) nové informace. Tady je tabulka našich aktuálních velkoobchodních cen: fabric-prices-2016-oct.xls

Doufám, že se vám naše poslední zásilka triček líbila! Pokud budete mít nějaké další otázky, neváhejte se na mě obrátit.

--

Julia Chan

Manažer pro zákazníky

Vzorky látek

Když vás chce útočník napadnout, může se zaměřit na obchodní účet vašeho obchodního partnera, nebo založit falešný osobní účet. Pokud například vaše obchodní partnerka Julie používá uživatelské jméno juliachan3857, pak se útočník může pokusit zaslat e-mail z uživatelského jména juliachan9665. Tato podoba útoku vychází ze dvou skutečností:

  • Lidé často pošlou zprávu ze špatného účtu omylem.
  • I když Juliinu osobní e-mailovou adresu znáte, nebudete ji asi příliš pečlivě prověřovat.

Překlepy, špatná gramatika, stylové odchylky

Zločinci neberou příručky o vytváření obsahu tak vážně jako profesionální tvůrci obsahu. Kromě překlepů a gramatických chyb vás mohou na podvod upozornit také nepřesnosti v následujících věcech:

  • pravopisné chyby.
  • velká písmena.
  • čísla.
  • interpunkční znaménka.
  • formátování.

Alarmující nebo příliš vzrušený tón

Pozor na časově omezené požadavky, které se vás snaží přimět jednat bez přemýšlení. Shopify vám například rozhodně nezašle zprávu následujícího znění:

Došlo ke katastrofálnímu selhání serveru. Zašlete v odpovědi vaše uživatelské jméno a heslo do 24 hodin, jinak navždy ztratíte přístup k vašemu obchodu.

Stejně tak si dávejte pozor na zprávy nabízející věci, které zní až příliš dobře, například 90% slevu na zájezd, která platí, jen pokud budete jednat okamžitě.

Zvláštně vypadající adresy URL

K phishingovým pokusům mohou být využity adresy URL, které vypadají správně, dokud se na ně nepodíváte zblízka. Mnoho phishingových pokusů používá adresy URL, které jsou vybrané tak, aby připomínaly adresy URL, které znáte. Jak je vidět v níže uvedené tabulce, pokud běžně kupujete plavky v Example Apparel na legitimní adrese URL a přijde vám e-mail s odkazem na falešnou adresu URL, pak je jasné, že se jedná o phishingový pokus.

Skutečná adresa URL vás přesměruje na doménu example-apparel.com, která je ve vlastnictví firmy Example Apparel, falešná adresa URL vás přesune na podvodnou stránku na doméně com-aquatic.net, kterou pravděpodobně vlastní zločinci.

Legitimní adresa URL Falešná adresa URL
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

Obavy kvůli jinému způsobu komunikace

Promluvte si se zdánlivým odesilatelem podezřelé zprávy osobně nebo telefonicky a vyřešte spolu obavy týkající se webové stránky.

Pokud odesilatele kontaktujete telefonicky, použijte ověřené číslo nebo číslo, které se objevuje na několika důvěryhodných online zdrojích. Pokud například obdržíte podezřelou žádost o informace od vaší daňové správy e-mailem, pak zavolejte na číslo, které je uvedeno na loňském daňovém přiznání. Nevolejte na číslo, které je uvedené na podezřelém webu nebo v podezřelém e-mailu.

Ujistěte se, že vaše připojení k webu využívá HTTPS

Když se připojíte k jakémukoli webu, který vás žádá o zadání uživatelského jména a hesla nebo jiných citlivých údajů, přesvědčte se, že se vedle adresy URL v prohlížeči objevuje ikona zámku:

Ikona zámku vám sděluje, že je připojení k webu šifrováno pomocí protokolu HTTPS. Adresy URL pro zašifrovaná připojení začínají na https://, nikoli na http://. Připojení, která používají http:// odesílají data prostým textem, což znamená, že mohou být po cestě zachycena a přečtena.

Než kliknete na odkaz na jakékoli místo, kde očekáváte, že budete zadávat informace, ujistěte se, že adresa URL začíná na https://.

Otevírejte pouze přílohy nebo odkazy, které očekáváte

Neotevírejte přílohy, odkazy ani formuláře, pokud je neočekáváte a nevíte, co obsahují. Nejenže vás mohou přesměrovat na škodlivou stránku určenou ke kradení informací, ale mohou vaše zařízení také nakazit malwarem.

Pokud text odkazu vypadá jako adresa URL, ujistěte se, že odpovídá adrese URL v odkazu samotném. Odkaz tvářící se jako https://help.shopify.com v těle e-mailu vás může přesměrovat na phishingovou stránku na jiné adrese URL:

Mnoho phishingových útoků se snaží zaměřovat na internetové bankovnictví. Pokud vám přijde podezřelý e-mail od vaší banky se speciální nabídkou na půjčku, na odkaz neklikejte. Místo toho zadejte adresu URL banky do nového okna a přesvědčte se, zda se nabídka objevuje v ovládacím panelu vašeho účtu.

Pozor na veřejné wi-fi

Veřejné sítě wi-fi se na cestách hodí, ale poskytují zločincům řadu způsobů, jak získat přístup k vašim informacím. Rizika můžete snížit tím, že přijmete opatření k ochraně sebe sama i vašich dat.

Ověření názvů hotspotů

Útočník může vytvořit svůj vlastní nezašifrovaný hotspot wi-fi, který bude pojmenován podobně jako legitimní hotspot na stejném místě, například jako síť v kavárně. Pokud se připojíte k phishingovému hotspotu, útočník vás může přesměrovat na vlastní stránku, kde na vás může působit malware, nebo kde vás vyzve k zadání soukromých informací.

Než se připojíte, ujistěte se, že je hotspot, který chcete používat, legitimní. Pokud neuvidíte název hotspotu napsaný na viditelném místě, zeptejte se zaměstnance.

Vypnutí přístupových bodů zařízení

I když se připojíte k ověřenému veřejnému wi-fi hotspotu, i tak vám hrozí útok, protože se můžete nacházet na stejné síti jako útočník. Veřejné wi-fi sítě jsou mnohem méně bezpečné než soukromí sítě, mezi něž patří síť u vás doma nebo v kanceláři:

Chraňte se tím, že před připojením vypnete sdílení souborů na síti a zapnete bránu firewall. Ani při přijetí těchto opatření není zrovna dobrý nápad zasílat nebo přijímat citlivý obsah pomocí veřejné wi-fi sítě.

Zasílání a přijímání citlivých údajů po VPN

Virtuální soukromé sítě navazují zabezpečené připojení mezi vaším zařízením a servery společnosti provozující VPN. VPN servery pak mohou předávat vaše informace na internet. Pokud útočník získá přístup k datům, která přenášíte a přijímáte na veřejném hotspotu, data budou zašifrovaná a útočníkovi nebudou k ničemu:

Pokud chcete zjistit, jak vybrat VPN, doporučujeme ke studiu weby Techradar a PC Mag.

Bez VPN je nejbezpečnější volbou na veřejné síti wi-fi žádné citlivé údaje neposílat.

Pokud budou vaše osobní údaje narušeny, řiďte se oficiálními pokyny

Osobní identifikovatelné údaje jsou data, která lze použít k identifikaci konkrétního člověka, případně k využití jeho identity. Mezi osobní identifikovatelné údaje patří:

  • celé jméno.
  • e-mailová adresa.
  • fyzická adresa.
  • telefonní číslo.
  • číslo kreditní karty.
  • číslo sociálního pojištění (nebo rodné číslo, číslo pasu, SIN, SSN).
  • řidičský průkaz.
  • datum narození.

Pokud došlo k poskytnutí osobních identifikovatelných údajů podezřelým způsobem, nebo pokud byl narušen váš účet Shopify, pak se řiďte pokyny, které platí ve vašem státě. Může se jednat například o pokyny vydané kanadskou či americkou vládou:

Kanada

Co dělat:

Hlášení:

Spojené státy

Co dělat:

Hlášení:

Chcete začít prodávat s Shopify?

Vyzkoušet zdarma