Phishingová encyklopedie
Phishingová encyklopedie pro bezpečnostní a IT týmy
Srozumitelná a praktická vysvětlení phishingových taktik, útočných technik a opatření, která před nimi chrání - od odborníků na ofenzivní bezpečnost.
Pilířoví průvodci
Pilířoví průvodci
Začněte těmito hloubkovými průvodci, kteří pokrývají základy phishingu a obrany.
Co je phishing? Definice, příklady a jak útoky probíhají
Phishing je forma sociálního inženýrství, při níž se podvodník vydává za někoho důvěryhodného – kolegu, banku či dopravce – a snaží se z vás vylákat přihlašovací údaje, schválit platbu nebo spustit škodlivý soubor. Podle evropských statistik o řešení bezpečnostních incidentů je právě phishing nejčastější branou, kterou se útočníci poprvé dostanou dovnitř firmy. V tomto článku najdete srozumitelné phishing vysvětlení, popis toho, jak phishing funguje, přehled kanálů, kterými přichází, i praktické rady, jak se mu bránit.
Druhy phishingu: kompletní přehled a jak je poznat
Než se začnete bránit, musíte vědět, proti čemu stojíte. Phishing dnes zdaleka neznamená jen podvodný e-mail - útočníci přesedlali na SMS, telefonní hovory i QR kódy a každý kanál má své vlastní triky. V tomto přehledu projdeme všechny hlavní druhy phishingu, ukážeme si, jak fungují, jaké návnady jsou dnes v Česku a Evropě nejčastější, a hlavně podle čeho každý z nich okamžitě poznáte.
Jak poznat phishing: varovné signály, na které si dát pozor
Umět poznat phishing patří k nejužitečnějším dovednostem, jaké v práci můžete mít. Podvodné e-maily a zprávy totiž zůstávají nejčastější branou, kterou se útočníci dostávají do firem. V tomto návodu si projdeme konkrétní varovné signály phishingu, ukážeme si, jak bezpečně ověřit odkaz i odesílatele, a hlavně si řekneme, co dělat, když vám něco nesedí.
Jak se bránit phishingu ve firmě: vrstvená obrana krok za krokem
Phishing nezastavíte jediným opatřením, a přitom právě on bývá v Evropě nejčastější vstupní branou útočníků do firem. Skutečně účinná ochrana před phishingem ve firmě proto stojí na několika vrstvách: technické filtrování, posílení identit, pravidelné školení zaměstnanců v kyberbezpečnosti a rychlá kultura nahlašování, díky níž hrozbu zachytíte dřív, než se stihne rozšířit. Tento návod ukazuje IT a bezpečnostním manažerům, jak postavit obranu, která je praktická a zároveň měřitelná.
Spear phishing a BEC podvod: kompromitace firemního e-mailu
Spear phishing je cílený útok šitý na míru konkrétnímu člověku nebo roli a stojí za nejdražším druhem internetové kriminality vůbec, kterým je kompromitace firemního e-mailu (BEC). Podvodník si oběť pečlivě nastuduje, vydává se za šéfa nebo dodavatele a nakonec přiměje zaměstnance poslat peníze na cizí účet. V tomto průvodci si vysvětlíme, jak útočníci sbírají informace, jak vypadá podvod jménem ředitele i falešná faktura, proč tyto e-maily proklouznou přes filtry a jak se firma může bránit dřív, než peníze odejdou.
Moderní phishingové techniky: jak útočníci obcházejí MFA a překonávají filtry
Moderní phishingové techniky dávno nejsou jen neuměle napodobená přihlašovací stránka s pravopisnou chybou. Dnešní útočníci sázejí na proxy typu adversary-in-the-middle, MFA únavu, falešná okna Browser-in-the-Browser, zneužití OAuth souhlasu, quishing a ClickFix - a obcházejí přitom právě ta opatření, která je dříve spolehlivě zastavovala. V tomto průvodci si vysvětlíme, jak jednotlivé techniky fungují (koncepčně, z pohledu obránce) a jak proti nim budovat odolnost.
Slovník phishingových pojmů
Slovník phishingových pojmů
Rychlé definice pojmů, na které narazíte v celé encyklopedii.
- Adversary-in-the-Middle (AiTM, útočník uprostřed)
- Phishing v reálném čase, který přeposílá komunikaci mezi obětí a pravou službou. Zachytí přitom nejen heslo, ale i živou přihlášenou relaci, čímž obejde většinu dvoufaktorového ověření.Zjistit více
- BEC (podvodný útok na firemní e-mail)
- Cílený podvod, při kterém se útočník vydává za vedení firmy, kolegu nebo dodavatele a snaží se přesměrovat platbu či získat citlivá data. Často se obejde zcela bez příloh i odkazů.Zjistit více
- Browser-in-the-Browser (BitB, falešné okno v prohlížeči)
- Technika, která přímo uvnitř webové stránky vykreslí falešné přihlašovací okno včetně přesvědčivého adresního řádku, aby napodobila důvěryhodné přihlášení přes účet Googlu či Microsoftu.Zjistit více
- ClickFix (předstíraná oprava)
- Návnada maskovaná za opravu nebo ověření (falešná CAPTCHA či chybová hláška), která oběť navede, aby si do počítače sama zkopírovala a spustila škodlivý příkaz.Zjistit více
- DMARC (spolu s SPF a DKIM)
- Sada standardů pro ověřování e-mailů: SPF a DKIM potvrzují, že zpráva skutečně pochází z uvedené domény, a DMARC říká příjemcům, jak naložit se zprávami, které kontrolou neprojdou. Společně omezují podvržení odesílatele (spoofing).Zjistit více
- Homoglyfový útok
- Záměna znaků v doméně nebo názvu za opticky totožné znaky z jiné abecedy (například cyrilské „а“), díky čemuž je falešná adresa k nerozeznání od pravé.Zjistit více
- MFA fatigue (zahlcení výzvami k ověření)
- Útok, který uživatele zaplaví opakovanými výzvami ke schválení druhého faktoru tak dlouho, dokud z otrávenosti nebo zmatku jednu z nich nepotvrdí a nevpustí útočníka dovnitř.Zjistit více
- OAuth consent phishing (zneužití souhlasu s aplikací)
- Útok, který přiměje uživatele udělit podvodné aplikaci oprávnění přes OAuth. Útočník tak získá trvalý přístup k e-mailové schránce či souborům, aniž by potřeboval heslo.Zjistit více
- Passkey / FIDO2 (přístupový klíč)
- Způsob přihlašování odolný vůči phishingu, který nahrazuje hesla kryptografickými klíči navázanými na pravou webovou stránku. Údaje tak nelze zadat na podvržené stránce ani je zopakovat přes proxy útočníka.Zjistit více
- Payload (škodlivý obsah)
- Vlastní škodlivá část útoku, kterou se útočník snaží doručit, například nebezpečná příloha, odkaz nebo skript. Liší se tak od návnady, jejímž úkolem je oběť přesvědčit, aby zareagovala.Zjistit více
- Phishing
- Forma sociálního inženýrství, při níž útočníci rozesílají podvodné zprávy jménem důvěryhodné organizace, aby z obětí vylákali přihlašovací údaje, peníze nebo citlivá data.Zjistit více
- Phishingová stránka
- Podvodná webová stránka, na kterou vede phishingový odkaz. Bývá to věrná napodobenina skutečného přihlášení nebo formuláře, která odešle útočníkovi vše, co do ní oběť zadá.Zjistit více
- Pretexting (smyšlená záminka)
- Vymyšlení uvěřitelného příběhu a falešné identity, třeba IT podpory nebo auditora, kterým si útočník získá důvěru a zdánlivě oprávněně si vyžádá informace nebo nějaký úkon.Zjistit více
- Quishing (phishing přes QR kód)
- Phishing, který ukrývá podvodný odkaz do QR kódu a přesune oběť na soukromý mobil, kde firemní filtry a kontrola fungují hůře nebo vůbec.Zjistit více
- Sběr přihlašovacích údajů
- Vylákání uživatelských jmen, hesel a ověřovacích kódů přes podvržené přihlašovací stránky či formuláře, aby se útočníci později dostali do skutečných účtů.Zjistit více
- Smishing (phishing přes SMS)
- Phishing šířený přes SMS nebo chatovací aplikace, který se nejčastěji vydává za přepravce balíku, banku nebo úřad a obsahuje zkrácený odkaz.Zjistit více
- Sociální inženýrství
- Manipulace lidí s cílem vylákat z nich informace nebo je přimět k nějakému jednání. Útočník místo technických chyb zneužívá důvěru, autoritu, časový tlak a ochotu pomoci.Zjistit více
- Spear phishing (cílený phishing)
- Cílený phishingový útok šitý na míru konkrétní osobě nebo pozici. Díky předchozímu průzkumu oběti působí mnohem důvěryhodněji než plošně rozesílaný phishing.Zjistit více
- Typosquatting (podvodně podobné domény)
- Registrace domén, které napodobují tu pravou pomocí běžných překlepů nebo drobných úprav. Při zběžném pohledu na adresní řádek pak vypadají jako legitimní.Zjistit více
- Vishing (telefonický phishing)
- Phishing vedený po telefonu, při kterém volající tlačí na oběť, aby prozradila kódy nebo schválila transakci. Stále častěji se přitom využívají i hlasové deepfaky.Zjistit více
Další krok
Chcete měřit svůj program phishingových simulací a školení?
Domluvte si demo a podívejte se, jak PhishGun podpoří simulace, školení, reportování i podklady pro audit.