Phishingová encyklopédia
Phishingová encyklopédia pre bezpečnostné a IT tímy
Zrozumiteľné a praktické vysvetlenia phishingových taktík, útočných techník a opatrení, ktoré pred nimi chránia - od odborníkov na ofenzívnu bezpečnosť.
Pilierové sprievodcovia
Pilierové sprievodcovia
Začnite týmito hĺbkovými sprievodcami, ktoré pokrývajú základy phishingu a obrany.
Čo je phishing? Definícia, príklady a ako tieto útoky fungujú
Phishing je podvod založený na sociálnom inžinierstve – útočník sa vydáva za dôveryhodnú osobu, firmu alebo úrad a snaží sa z vás vylákať prihlasovacie údaje, schválenie platby alebo inštaláciu škodlivého softvéru. Z európskych prehľadov o kybernetických incidentoch pritom dlhodobo vyplýva, že práve phishing býva najčastejšou bránou, cez ktorú sa útočníci dostanú do organizácie. V tomto sprievodcovi vám zrozumiteľne vysvetlíme, čo je phishing, ako prebieha phishingový útok, aké kanály a návnady využíva a čo robiť, aby ste mu nenaleteli.
Typy phishingu: prehľadná klasifikácia útokov
Kto pozná typy phishingu, vie sa proti nim aj lepšie brániť. Od hromadných e-mailov cez smishing a vishing až po quishing s QR kódmi - v tomto sprievodcovi nájdete jednotlivé druhy phishingu, ich fungovanie, návnady obľúbené u útočníkov na Slovensku aj v EÚ a najmä znak, ktorý každý z nich prezradí.
Ako rozpoznať phishing: varovné signály a znaky podvodu
Vedieť, ako rozpoznať phishing, patrí dnes medzi najužitočnejšie zručnosti v práci aj v súkromí. Podvodné emaily a SMS zostávajú najčastejšou bránou, cez ktorú sa útočníci dostanú do firmy. V tomto návode si ukážeme konkrétne varovné signály phishingu, naučíte sa bezpečne overiť odkaz aj odosielateľa a budete presne vedieť, čo robiť, keď vám niečo nesedí.
Ochrana pred phishingom vo firme: viacvrstvová obrana, ktorá funguje
Phishing nezastaví jediné opatrenie a v Európe naďalej stojí na začiatku väčšiny úspešných útokov. Spoľahlivá ochrana pred phishingom vo firme preto kombinuje viacero vrstiev: technické filtrovanie pošty, posilnenie identít, pravidelné školenia zamestnancov o kybernetickej bezpečnosti a rýchle nahlasovanie podozrivých e-mailov. Tento návod ukazuje IT manažérom aj bezpečnostným tímom, ako poskladať obranu, ktorá je praktická a zároveň merateľná a pokryje aj povinnosti podľa NIS2 a DORA.
Spear phishing a BEC podvod (kompromitácia firemného emailu)
Spear phishing je cielený a dôkladne pripravený útok mierený na konkrétneho človeka alebo pozíciu a práve on poháňa BEC podvod, teda kompromitáciu firemného emailu, ktorá patrí k finančne najničivejším formám kybernetickej kriminality. V tomto návode si vysvetlíme, ako si útočníci zisťujú informácie o obetiach, čo presne znamená CEO fraud podvod a podvod s falošnou faktúrou, prečo tieto správy emailové filtre tak často prepustia a ktoré vrstvy obrany naozaj fungujú, keď sa chcete brániť BEC útoku.
Moderné phishingové techniky: ako útočníci obchádzajú MFA a oklamú filtre
Dnešný phishing už dávno nie je len nemotorná kópia prihlasovacej stránky s preklepmi. Útočníci dnes siahajú po proxy typu adversary-in-the-middle, po MFA fatigue, falošných oknách browser-in-the-browser, OAuth consent phishingu, quishingu aj ClickFixe – a robia to s jediným cieľom: obísť práve tie opatrenia, ktoré ich kedysi spoľahlivo zastavovali. V tomto sprievodcovi si vysvetlíme, ako jednotlivé moderné phishingové techniky fungujú z pohľadu obrancu a ako si voči nim vybudovať skutočnú odolnosť.
Slovník phishingových pojmov
Slovník phishingových pojmov
Rýchle definície pojmov, na ktoré narazíte v celej encyklopédii.
- Adversary-in-the-Middle (AiTM, útočník v strede)
- Phishing v reálnom čase, pri ktorom útočník sprostredkúva komunikáciu medzi obeťou a skutočnou službou. Zachytí pritom heslo aj prihlásenú reláciu, čím dokáže obísť väčšinu spôsobov MFA.Zistiť viac
- BEC (podvod s firemným e-mailom)
- Cielený podvod, pri ktorom sa útočník vydáva za konateľa, kolegu alebo dodávateľa, aby presmeroval platbu alebo získal citlivé údaje. Často nepoužíva žiadny škodlivý kód ani odkazy, len text e-mailu.Zistiť viac
- Browser-in-the-Browser (BitB, falošné okno v prehliadači)
- Technika, ktorá priamo na webovej stránke vykreslí falošné prihlasovacie okno vrátane presvedčivého adresného riadka, aby napodobnila dôveryhodné prihlásenie cez Google alebo Microsoft.Zistiť viac
- ClickFix (falošná oprava)
- Návnada maskovaná za opravu chyby alebo overenie (napríklad falošná CAPTCHA), ktorá obeť navedie, aby si do počítača sama skopírovala a spustila škodlivý príkaz.Zistiť viac
- DMARC (spolu so SPF a DKIM)
- Súbor štandardov na overovanie pravosti e-mailov: SPF a DKIM potvrdzujú, že správa naozaj pochádza z uvedenej domény, a DMARC určuje, ako majú prijímatelia naložiť so správami, ktoré overením neprejdú. Spolu výrazne sťažujú falšovanie odosielateľa (spoofing).Zistiť viac
- Homoglyfový útok
- Zámena znakov v doméne alebo názve za opticky zhodné znaky z inej abecedy (napríklad cyrilské „а“), takže falošná adresa je od pravej takmer na nerozoznanie.Zistiť viac
- MFA fatigue (zahltenie výzvami na overenie)
- Útok, ktorý používateľa zaplaví opakovanými výzvami na schválenie druhého faktora, až kým z otravy alebo zmätku potvrdenie neodklikne a nevpustí útočníka dnu.Zistiť viac
- OAuth consent phishing (zneužitie súhlasu s aplikáciou)
- Útok, ktorý naláka používateľa, aby škodlivej aplikácii udelil oprávnenia cez OAuth. Útočník tak získa trvalý prístup k e-mailovej schránke alebo súborom bez toho, aby potreboval heslo.Zistiť viac
- Passkey / FIDO2 (prístupový kľúč)
- Spôsob prihlasovania odolný voči phishingu, ktorý nahrádza heslá kryptografickými kľúčmi viazanými na pravú webovú stránku. Prihlasovacie údaje preto nemožno zadať na falošnej stránke ani zneužiť cez proxy útočníka.Zistiť viac
- Payload (škodlivý obsah)
- Škodlivá časť útoku, ktorá sa nakoniec doručí na zariadenie obete, napríklad nebezpečná príloha, odkaz alebo skript. Líši sa od návnady, ktorá má obeť len presvedčiť, aby zareagovala.Zistiť viac
- Phishing
- Druh sociálneho inžinierstva, pri ktorom útočníci rozosielajú podvodné správy v mene dôveryhodnej firmy alebo osoby, aby z obetí vylákali prihlasovacie údaje, peniaze alebo citlivé dáta.Zistiť viac
- Phishingová stránka (podvodná pristávacia stránka)
- Podvodná webová stránka, na ktorú vedie phishingový odkaz. Býva to verná kópia skutočného prihlásenia alebo formulára, ktorá odošle útočníkovi všetko, čo obeť zadá.Zistiť viac
- Pretexting (vymyslená zámienka)
- Vytvorenie uveriteľného príbehu a falošnej identity, napríklad IT podpory alebo audítora, s cieľom získať si dôveru obete a navonok zdôvodniť žiadosť o informácie alebo nejaký úkon.Zistiť viac
- Quishing (phishing cez QR kód)
- Phishing, ktorý ukrýva škodlivý odkaz do QR kódu a presmeruje obeť na súkromný mobil, kde sú firemné bezpečnostné filtre a kontroly slabšie.Zistiť viac
- Smishing (phishing cez SMS)
- Phishing šírený cez SMS alebo četovacie aplikácie. Najčastejšie sa tvári ako správa od kuriéra, banky alebo úradu a obsahuje skrátený odkaz na podvodnú stránku.Zistiť viac
- Sociálne inžinierstvo
- Manipulácia ľudí s cieľom vylákať z nich informácie alebo ich primäť k určitému konaniu. Útočník nezneužíva technické chyby, ale ľudskú dôveru, rešpekt k autorite, časový tlak či ochotu pomôcť.Zistiť viac
- Spear phishing (cielený phishing)
- Cielený phishingový útok ušitý na mieru konkrétnej osobe alebo pracovnej pozícii. Vďaka predchádzajúcemu prieskumu obete pôsobí oveľa dôveryhodnejšie ako bežný hromadný phishing.Zistiť viac
- Typosquatting (zameniteľné domény)
- Registrácia domén, ktoré napodobňujú pravú adresu cez bežné preklepy alebo nenápadné zmeny. Pri zbežnom pohľade na adresný riadok tak pôsobí podvodná stránka ako legitímna.Zistiť viac
- Vishing (telefonický phishing)
- Phishing vedený cez telefonát, pri ktorom volajúci pod tlakom núti obeť prezradiť overovacie kódy alebo schváliť platbu. Čoraz častejšie sa pri ňom využívajú aj hlasové deepfaky.Zistiť viac
- Zber prihlasovacích údajov
- Vylákanie používateľských mien, hesiel a overovacích kódov cez falošné prihlasovacie stránky alebo formuláre, aby sa útočníci neskôr dostali do skutočných účtov obetí.Zistiť viac
Ďalší krok
Chcete merať svoj program phishingových simulácií a školení?
Dohodnite si demo a pozrite sa, ako PhishGun podporí simulácie, školenia, reportovanie aj podklady pre audit.