Jak chránit děti před phishingem a sociálním inženýrstvím?

Tereza Malkusová

2 měsíce ago

Internet otevírá dveře k nekonečným možnostem, zároveň jej ale zneužívají také útočníci, kteří chtějí na jeho uživatelích jen vydělat. Mezi nejčastější typy útoků patří phishing. Jedná se o podvodné zprávy, jejichž úkolem je vylákat pomocí podvodu z uživatele osobní údaje nebo hesla – ty pak útočníci prodávají na darkwebu.

Zpravidla se setkáváme s masovými phishingovými kampaněmi, narazit na ně tedy mohou velmi snadno i děti. Často jsou důvěřivější než dospělí a mohou snadněji naletět. Připravili jsme detailní manuál, jak podvody poznat, a jak před nimi vaši rodinu chránit.

Taktiky podvodníků zahrnují zejména sociální inženýrství

Útočníci dobře rozumějí psychologii a zneužívají ji. Místo na technické slabiny systémů se zaměřují na nejzranitelnější článek – člověka. Aby nás oklamali, využívají zejména metody sociálního inženýrství. Zjednodušeně řečeno: jde o manipulace a lži, které pracují s našimi emocemi.

Sociální inženýrství zneužívá strach, důvěru, chamtivost, laskavost či dokonce lásku. Cílem podvodníka je vyvolat tak silnou emoci, aby děti nedokázaly racionálně promyslet celé sdělení. Typicky lákají na výhru, kterou je nutné ihned nárokovat, obrovské slevy nebo vyhrožují zveřejněním intimního videa, když jim hned nedáme výkupné.

Jak vypadá legitimní a falešná přihlašovací stránka Instagramu. Na první pohled působí stejně.

Rozpoznání těchto manipulativních taktik je prvním krokem k obraně proti nim. Pokud vás nebo vaše děti jakákoli zpráva potěší nebo vyleká, je důležité se zastavit a ověřit si ji, než jakkoli zareagujete.

Typy podvodných zpráv

V internetovém pravěku jste mohli narazit jen na phishingový e-mail. Od té doby ale útočníci značně rozšířili svůj repertoár. Do karet jim hraje také rozvoj umělé inteligence, která umožňuje i manipulaci s videem a hlasem.

E-mail phishing

Nejčastěji se phishingy šíří e-maily, které se tváří jako zprávy od legitimních organizací a služeb, obvykle se útočník snaží vylákat přihlašovací údaje nebo údaje k platebním kartám. Tyto e-maily mohou obsahovat odkazy na falešné webové stránky nebo přílohy obsahující malware.

Spear phishing

Spear phishing je cílenější forma phishingu, útočníci vybírají konkrétní jednotlivce. V těchto útocích používají osobní informace získané o oběti (např. z veřejně dostupných zdrojů nebo předchozích úniků dat), aby zpráva působila ještě věrohodněji. Útočníci takto mohou žádat o citlivé informace nebo se snažit přimět oběť k provedení akce, jako je odeslání peněz. Typičtější je tento podvod v korporátním prostředí.

Vhishing (telefonický phishing)

Vhishing využívá k dosažení stejných cílů telefonáty. Útočníci se mohou vydávat za zástupce banky, technické podpory nebo jiných důvěryhodných institucí a snaží se oběť přesvědčit, aby odhalila osobní údaje, přihlašovací jméno a heslo, nebo dokonce nabádají k provedení platby.

Smishing

Smishing zneužívá SMS zprávy. Útočníci zasílají textové , které obsahují naléhavé výzvy k akci, jako je aktualizace účtu nebo potvrzení platby, spolu s odkazem vedoucím na falešné webové stránky.

Catphishing

Catphishing (také známý jako romantický podvod) je metoda, kdy si podvodníci vytvářejí falešné online identity a flirtují s oběťmi. Cílem těchto podvodů bývá vylákat z oběti peníze. Obvykle podvodník komunikuje s obětí dlouho, podaří se mu navázat důvěrný vztah, často si i vymění fotografie (ukradené z internetu nebo vygenerované AI).

Stáhněte si příručku
o sociálním inženýrství

Poznejte techniky sociálního inženýrství a naučte se, jak se proti nim úspěšně bránit.

STÁHNOUT PŘÍRUČKU

7 znaků, jak rozpoznat phishing

Rozpoznat spolehlivě phishing není snadné ani pro dospělé. Kdysi stačilo soustředit se na gramatiku, jelikož se ale podvody vyvíjejí, už to není jediný indikátor. Naučte děti zbystřit zejména, pokud má zpráva vyvolat emoce anebo ji odeslal někdo cizí. Napovědět mohou tyto znaky:

# 1 Zpráva je naléhavá
Pokud máte udělat něco teď hned, naopak rychle zpomalte. Jde o typický trik podvodníků. Snaží se nám nedat ani minutu, abychom si promysleli, co udělat. Hrají to jednoduše na naši přirozenou zvědavost.

# 2 Neznám odesílatele

Pečlivě zkontrolujte e-mailovou adresu, jméno odesílatele nebo telefonní číslo. Podvodníci často používají adresy, které se na první pohled zdají být legitimní, ale při bližším pohledu najdete malé rozdíly. Je opravdu zásadní rozdíl jestli někdo píše z adresy security@mail.instagram.com (ta je oficiální) nebo secrity.instagram@mail.com. Legitimní adresu odesílatele si můžete třeba vygooglit.

# 3 Nečekal jsem takovou zprávu
Obdrželi jste nečekanou zprávu, která požaduje o osobní informace nebo vás odkazuje na podezřelé webové stránky? Je na místě si situaci ověřit a prověřit.

# 4 Zpráva obsahuje chyby

Nevyžádanou zprávu si pečlivě přečtěte, zda neobsahuje žádné gramatické ani logické chyby. Hackeři jsou málokdy rodilí Češi. Skutečné organizace si dávají záležet, aby jejich komunikace byla profesionální a slušná.
Telefonický podvod můžete poznat podle toho, že operátor je na vás hrubý nebo příliš naléhá.

#5 Zpráva není srozumitelná

Musíte si zprávu přečíst několikrát, aby vám dávala smysl? I to je znak phishingu. Legitimní firma si dá záležet, aby bylo zřejmé, co vám chce. Firmy jsou zvyklé komunikovat určitým způsobem – pokud se nějaký e-mail vymyká (příklad je příliš formální, ale jinak je firma spíše přátelská), ověřte si zprávu telefonicky nebo osobně.

#6 Máte sdělit odesílateli informace
Legitimní organizace vás nikdy nebudou požadovat citlivé ani platební údaje prostřednictvím e-mailu, textové zprávy ani po telefonu.

#7 Zpráva obsahuje podezřelé odkazy nebo přílohy

Než na jakýkoli odkaz či tlačítko kliknete, najeďte na něj kurzorem myši (na telefonu jej dlouze stiskněte), takto se vám zobrazí adresa, kam odkaz vede. Pokud se adresa zdá být podezřelá, neklikejte na ni.

Podvodníci využívají falešné přihlašovací stránky do internetového bankovnictví, sociálních sítí a dalších online služeb. Stránky mohou vypadat na první pohled věrohodně, ale URL adresy nikdy nelžou.

Pokud zpráva splňuje něco z uvedeného, nestahujte z ní žádné soubory (mohou být škodlivé), ani na odkazy neklikejte. Označte ji jako spam a smažte.

Jak děti před phishingem chránit?

Phishingové útoky se nejčastěji šíří prostřednictvím e-mailu. Část jich odfiltruje přímo poskytovatel e-mailové schránky jako spam. Důležité je naučit děti nejprve nad každou zprávou přemýšlet a až pak kliknout.
Před infikovanými soubory a falešnými stránkami vás ochrání bezpečnostní program. Dětem jej určitě nainstalujte i do mobilního telefonu.

Antivirová ochrana před phishingem

Skenuje příchozí SMS zprávy a upozorňuje na nebezpečné odkazy.

VYZKOUŠET

Nenechte se napálit ani podvodným telefonátem. Zeptejte se operátora na jméno, tím ho snadno vykolejíte. Případně prostě hovor položte a zavolejte znovu sami do banky nebo firmy, za kterou se volající vydával. Menší děti poučte, aby nezvedaly cizí čísla, případně takový hovor hned utnuly.

Vysvětlete dětem, že ani banka, ani sociální sítě, ani jiná instituce nikdy nepožaduje citlivé údaje přes e-mail nebo v chatu. Poučte své děti, aby si hesla chránili jako oko v hlavě. Domluvte se, že pokud se jim zpráva nezdá, přijdou za vámi. Společně pak podezřelou zprávu prověříte.

Kam dál:
Proč je důležité mluvit s dětmi i o kyber bezpečnosti?
9 kroků, jak poznat podvodné e-maily
Evoluce digitálních podvodů: jaké triky používají hackeři?