Buďte v bezpečí před phishingovými útoky

Myslíte si, že je phishing zastaralý typ útoku? Zamyslete se znovu. I přes inteligentnější filtrování nevyžádaných e-mailů informovala skupina Anti-Phishing Working Group o 18% nárůstu počtu zpráv o jednotlivých phishingových útocích během posledního čtvrtletí roku 2014 a odborníci na zabezpečení předpovídají, že tento trend bude pokračovat i v roce 2016.

Phishing je nadále oblíbenou taktikou ke krádeži citlivých údajů, jako jsou hesla, bezpečnostní kódy a čísla kreditních karet, a také k umísťování malwaru do osobních zařízení i podnikových systémů. Dokonce i účet správce LastPass může být cílem phishingového útoku. Ochrana proti phishingu vyžaduje jak chytřejší detekci používaným softwarem, tak lepší osobní přípravu v první linii obrany proti útokům.

Nyní vám nastíníme, jak správce LastPass bojuje proti phishingu, a co můžete udělat, abyste posílili své schopnosti phishing rozpoznávat a chránit své nejcitlivější údaje v případě útoku.

Co je phishing?

Phishingové útoky mohou mít mnoho forem. Například e-maily napodobující vaši banku, které žádají o potvrzení aktivity účtu. Nebo falešné faktury vyzývající ke stažení přiloženého dokumentu za účelem potvrzení nákupu. Může se jednat také o škodlivé reklamy či odkazy v rámci sociálních sítí. Útočníci vás mohou dokonce navést až na přihlašovací stránku, která je téměř k nerozeznání od dobře známého a důvěryhodného webu.

Tzv. spear phishing je dokonce ještě osobnější. Útočníci posílají e-maily, které vypadají, jako by je posílal váš kolega či nadřízený, nebo dokonce jako by pocházely z oddělení IT. Své žádosti formulují tak, aby zněly věrohodně na základě informací, které o vás již zjistili, a cílem je získat další údaje nebo vás navést ke stažení souboru či převodu peněz.

Jak rozeznat phishingové útoky

Mnohé phishingové útoky jsou jednoduché a snadno odhalitelné, jiné však mohou být velmi sofistikované a identifikace podezřelých e-mailů, odkazů a oznámení vyžaduje rozumnou míru nedůvěřivosti. Základní phishingový útok poznáte takto:

  • Zkontrolujte adresu URL: Podívejte se do pole adresy webové stránky, kterou jste otevřeli, nebo na odkaz před kliknutím umístěte kurzor a v levém dolním rohu prohlížeče zkontrolujte, zda se jedná o důvěryhodnou nebo podvodnou adresu URL. Například v případě webových stránek LastPass vždy uvidíte adresu https://lastpass.comnebo https://subdoména.lastpass.com. Naproti tomu phishingová adresa URL může vypadat například takto: http://lastpass.jinadomena.com. V takovém případě je skutečná doména „jinadomena.com“ a měli byste se jí vyhnout.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Zkontrolujte, komu je zpráva adresována: U e-mailů s neosobním pozdravem nebo zcela bez pozdravu buďte pozornější. Podle textu a odesílatele se snažte ověřit, zda je zpráva skutečně určena vám osobně. Útoky typu spear phishing však mohou být cíleny přímo na vaši osobu, proto tato kontrola nemusí být vždy neomylná.
  • Otevřete webovou stránku ručně: Pokud si nejste jisti odkazem, otevřete novou kartu nebo okno prohlížeče a adresu URL přímo opište (nebo ji spusťte ze svého správce hesel). Budete tak mít jistotu, že opravdu otevíráte uvedenou stránku.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Zkontrolujte, zda váš správce hesel nabídne odpovídající přihlašovací údaje: Správce LastPass vám pomáhá k ochraně před phishingem tak, že automaticky nevyplní vaše přihlašovací údaje na falešné stránce. Jelikož se doména neshoduje s uloženou doménou, správce LastPass údaje nevyplní. Pokud k takové situaci dojde, zkontrolujte adresu URL.
  • Zamyslete se nad naléhavými zprávami: Pokud vás zpráva vyzývá k rychlému jednání, možná se vás snaží zmanipulovat, abyste jednali bez rozmýšlení.
  • Pokládejte si otázky: Očekávám od této osoby přílohu? Jedná se u dané osoby o neobvyklé chování? Pokud jste na pochybách, nebuďte důvěřivý a jednoduše se zeptejte.
  • Zkontrolujte přítomnost předpony https:// a ikony zámku: V panelu adresy vždy kontrolujte, zda se k webové stránce připojujete prostřednictvím zabezpečeného protokolu HTTPS a zda je zobrazena ikona zámku, která informuje o ověření webové stránky externí bezpečnostní firmou. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Při phishingovém útoku na vašeho správce hesel

Phishingové útoky se už neomezují jen na škodlivé e-maily, reklamy či odkazy na sociálních sítích. Některé útoky typu phishing se mohou dokonce zaměřovat na rozšíření, která používáte ve svém prohlížeči, včetně napodobování správce hesel.

Například je možné, aby se škodlivý web vydával za vaše rozšíření prohlížeče a zobrazoval upozornění žádající o informace jako uživatelské jméno, heslo a kód dvojúrovňového ověřování. Rozpoznat, že upozornění ve skutečnosti pochází ze škodlivé stránky a ne z rozšíření prohlížeče, může být náročné.

Jak vás správce LastPass chrání před phishingovými útoky

  • Varování, že bylo hlavní heslo zadáno na stránce mimo správce LastPass: Pokud své hlavní heslo LastPass zadáte na stránce mimo web LastPass, správce LastPass zobrazí důrazné varování ještě dříve, než zadané heslo odešlete. Budete tak okamžitě vědět, že mohlo být vaše hlavní heslo prozrazeno, a můžete ho tedy ihned změnit.
  • Vyžadování ověření při přihlášení z neznámého místa či zařízení : Správce LastPass využívá proces ověření, který je vyžadován kdykoli, kdy se pokusíte přihlásit z neznámého místa nebo zařízení. Pokud tedy neúmyslně zadáte své hlavní heslo a údaje dvojúrovňového ověřování, jakýkoli pokus útočníka o použití těchto dat bude zastaven pomocí ověřovacích kroků zaslaných e-mailem Útočník by musel zároveň získat přístup k vašemu e-mailovému účtu, čemuž lze také zabránit dvojúrovňovým ověřováním pro e-mailový účet. Pokud obdržíte požadavek pro ověření, které jste sami nezahájili, můžete ho jednoduše ignorovat a změnit své hlavní heslo v nastavení účtu LastPass Vault.
  • Zabránění odhlášení: I když může škodlivá stránka zobrazit falešné upozornění správce LastPass o tom, že jste byli odhlášeni a musíte se znovu přihlásit, zkontrolujte, zda jste stále přihlášeni k rozšíření LastPass a přihlaste se jen pomocí tohoto rozšíření.

Kromě těchto bezpečnostních pojistek navíc spolupracujeme se společností Google a dalšími poskytovateli prohlížečů na rozšiřování ochrany uživatelů nabízením bezpečných způsobů zobrazování upozornění mimo okno prohlížeče.

Jak můžete přispět k ochraně svého účtu LastPass

Kromě bezpečnostních opatření, která používáme, můžete svůj trezor udržovat v bezpečí dodržováním následujících postupů:

  • Vždy se přihlašujte prostřednictvím rozšíření LastPass. Nejbezpečnější způsob, jak se přihlásit ke správci LastPass, je kliknutí na ikonu rozšíření na panelu nástrojů prohlížeče. Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Nikdy nepoužívejte stejné heslo pro jiné přihlašovací systémy. Použitím hesla, které používáte jako hlavní heslo, v jiných přihlašovacích systémech zvyšujete riziko odcizení hesla. Jako hlavní heslo správce LastPass vždy používejte jedinečné heslo a pokud jej zadáte kamkoli jinam než při přihlašování do správce LastPass, dbejte našich varování.
  • Buďte opatrní, odkud správce LastPass stahujete. Stahujte ho pouze z webu LastPass.com nebo z obchodů s doplňky, který je k dispozici pro váš prohlížeč či vaše zařízení. Nikdy ke stahování nepoužívejte jiné stránky a i v obchodech s doplňky dávejte pozor na položky, které sice vypadají jako správce LastPass, ale přitom mají jiné jméno vydavatele a například nemají hodnocení.
  • Nikdy své hlavní heslo neprozrazujte. Tým služby LastPass se vás nikdy nezeptá na vaše hlavní heslo. Nedůvěřujte nikomu, kdo tvrdí, že je z týmu služby LastPass, a ptá se vás na vaše hlavní heslo. Nikdy a za žádných okolností své heslo neprozrazujte.
  • Použijte dvojúrovňové ověřování. Dobré zabezpečení spočívá ve vrstvách ochrany, které minimalizují riziko. Dvojúrovňové ověřování vyžaduje před umožněním přístupu k vašemu účtu další údaj navíc. Nejedná se sice o neprůstřelný systém, ale váš účet bude výrazně lépe chráněný.
  • Ochraňte svoji e-mailovou schránku silným heslem a dvojúrovňovým ověřováním. Vaše e-mailová schránka dost možná obsahuje klíče k vašemu království. Chraňte ji, jako by na tom záležel celý váš digitální život – nemusí to být daleko od pravdy. Pokud máte zájem, služba LastPass vám může pro e-mailovou schránku vygenerovat silné a přesto „vyslovitelné“ heslo, které si snadno zapamatujete. A vždy používejte dvojúrovňové ověřování, pokud tuto funkci provozovatel vaší e-mailové schránky nabízí.

Zajišťování bezpečnosti na internetu musí být neustálou snahou nás všech. Stejně jako jsme v týmu služby LastPass odhodláni zdokonalovat náš produkt ve světle nových hrozeb a spolupracovat na jeho ochraně s komunitami pro vývoj zabezpečení, tak i samotní uživatelé musejí dbát na svou vlastní bezpečnost a dodržovat doporučené postupy.