ODPORÚČANIA: Pozor na kybernetické bezpečnostné incidenty!
Už ani slovenské športové zväzy v dnešnej dobe neobchádzajú kybernetické bezpečnostné incidenty a čelia phishingovým útokom. Ministerstvo školstva, vedy, výskumu a športu SR na základe zistených skutočností vydalo odporúčanie pre športové zväzy, ako sa chrániť pred podobnými rizikami. Prečítať si ho môžete nižšie.
V súčasnosti bol jeden zo športových zväzov napadnutý phishingovým spôsobom, ekonómka subjektu bola v mene predsedu zväzu požiadaná o vyplatenie sumy 25 000 eur na účet v Turecku. Išlo o jednoznačný pokus o podvod prostredníctvom kybernetického bezpečnostného incidentu.
Technika phishingového útoku je založená na podobnom princípe. Návnadou v tomto prípade môže byť e-mail, klasický telefonát (vishing), SMS (smishing) alebo príspevok či súkromná správa na sociálnej sieti. Rybou, ktorá sa má na ňu chytiť, je oslovený subjekt či osoba a ich cenné osobné údaje, ktoré môžu útočníci následne predať, alebo zneužiť na nekalé účely ako vydieranie, krádež peňazí alebo krádež identity.
Z odporúčaní MŠVVaŠ SR pre športové zväzy v súvislosti s možným vznikom kybernetických bezpečnostných incidentov a reakciou pri vzniku uvedeného incidentu:
AKO PHISHING FUNGUJE?
Phishing funguje už na spomínanom princípe rybolovu. Medzi najčastejšie techniky phishingu patrí falošný e-mail, ktorý sa tvári, akoby Vám ho zaslala napríklad vaša banka, či iná bežne dostupná online služba narábajúca s vašimi osobnými údajmi. Môžete byť vyzvaní k tomu, aby ste vyplnili napríklad formulár, ktorý je uvedený priamo v správe alebo v prílohe. Prípadne vás daná správa vyzve navštíviť konkrétnu webovú adresu, ktorá si následne od vás vyžiada zadanie prihlasovacích údajov alebo podrobností o vašom účte či kreditnej karte.
Dnes je pomerne náročné zistiť či správa, odkazy alebo falošné webové stránky, ktoré dokonca môžu obsahovať oficiálne logo alebo iné poznávacie znamenia hodnovernej organizácie sú legitímne, pretože sa svojim náprotivkom skutočne veľmi podobajú. Ako teda rozpoznať phishingový útok? Nižšie uvádzame niekoľko častých znakov phishingových správ, ktoré vám môžu pomôcť takúto správu včas odhaliť.
VŠEOBECNÉ ALEBO NEFORMÁLNE OSLOVENIA
V prípade e-mailu chýba v správe osobnejší prístup (obsahuje všeobecné oslovenie, napr. „Vážený zákazník, nie vaše konkrétne meno”). Útočníci sú však čoraz sofistikovaniejší a svoje techniky neustále zlepšujú. E-mail alebo elektronická správa môže obsahovať aj oficiálne logo alebo iné poznávacie znamenia hodnovernej organizácie, no i napriek tomu môže ísť o phishing. V prípade banky sa môžete priamo spojiť s osobou, s ktorou ste uzatvárali zmluvu, či ide o pravdivý e-mail. Ak vás kontaktuje určitá služba (napríklad na prehrávanie hudby online), môžete sa spojiť s ich support oddelením a preveriť si, či v poslednej dobe došlo k zmenám, ktoré vyžadujú aktualizáciu vašich kontaktných údajov.
ŽIADOSŤ O OSOBNÉ INFORMÁCIE
Vyžiadanie osobných údajov prostredníctvom e-mailu je bežné pri phishingu, no banky, finančné inštitúcie či rôzne iné bežne dostupné online služby sa takýmto žiadostiam zväčša zámerne vyhýbajú. Zároveň táto neočakávaná korešpondencia od poskytovateľa je veľmi nezvyčajná a podozrivá. Preto si vždy overte legitímnosť druhej strany, napríklad spôsobmi, ktoré sme vám opísali v bode číslo.
SLABÁ JAZYKOVÁ ÚROVEŇ UŽ DÁVNO NEPLATÍ
Pravopisné chyby, preklepy a nezvyčajné vetné formuláre často naznačujú, že ide o falošnú správu. Absencia takýchto chýb však nie je zárukou toho, že ide o pravdivú správu. Útočníci dnes využívajú často služby profesionálnych prekladateľov a tak opäť treba overiť legitímnosť odosielateľa správy.
NALIEHAVOSŤ
Ďalším veľmi častým znakom phishingu je vytvorenie pocitu naliehavosti. Phishingové správy sa často svojím obsahom pokúšajú primať konať rýchlo a neuvážene. Napríklad vás v správe vyzve, že musíte aktualizovať alebo zaslať na konkrétny e-mail svoje údaje do 48 hodín. Pokiaľ takýto e-mail dostanete, určite naň neodpovedajte. Rovnako sa často objavuje aj správa, ktorá obsahuje ponuku, ktorá sa neodmieta. “Vážený zákazník. Gratulujeme! Vyhrali ste najnovší smartfón. Zašlite nám Vaše kontaktné údaje.” Ak znie správa až príliš dobre na to, aby to bola pravda, takmer vždy ide o podvod.
PODOZRIVÁ DOMÉNA
Phishingové správy či falošné webové stránky vyzerajú čoraz legitímnejšie. Preto je potrebné, aby ste si všímali doménu v adrese odosielateľa, pretože vaša banka zrejme nebude posielať e-mail napríklad z čínskej domény. V prípade, ak ste presmerovaní na externú webovú adresu, sledujte, či stránka obsahuje https:// protokol a ikonu bezpečnostného zámku (Nájdete ho v okienku s URL adresou. Po nabehnutí s myšou svieti na zeleno).Používajte anti-phishing, ktorý je súčasťou našich bezpečnostných riešení. Ten chráni vaše súkromie a majetok pred pokusmi falošných webových stránok o získanie citlivých informácií, ako sú prihlasovacie mená, heslá alebo bankové údaje.
Ministerstvo školstva, vedy, výskumu a športu Slovenskej republiky odporúča športovým zväzom v prípade podozrenia či už zjavného phshingového útoku vykonať nižšie uvedené opatrenia:
-
Nepredpokladajte, že e-maily od priateľov alebo kolegov obsahujú bezpečné odkazy alebo prílohu.
-
Neodpovedajte na e-mail, ktorý požaduje osobné, finančné alebo prihlasovacie informácie.
-
Navštevujte Vám známe webové informačné systémy a webové stránky písaním URL adresy priamo do prehliadača.
-
Prihlasujte sa pravidelne na svoje kontá v informačných systémoch za účelom kontroly ich stavu.
-
Kontrolujte zabezpečenie spojenia v prípade zadávania prihlasovacích údajov. URL adresa by mala začínať „https“ a nemala by obsahovať žiadnu IP adresu.
-
Žiadny správca systému od Vás nikdy nebude chcieť Vaše heslo.
-
Ak nie ste klientom spoločnosti, ktorá sa tvári ako odosielateľ e-mailu, tak ho ignorujte.
-
Ak aj ste klientom spoločnosti, ktorá sa tvári ako odosielateľ e-mailu, tak nikdy neodpovedajte priamo na e-mailovú výzvu spoločnosti pokiaľ sa jedná o Vaše osobné alebo finančné informácie.
-
Nikdy neotvárajte odkaz na webovú stránku priamo v tele e-mailu, ale skopírujte ho ručne.
-
Ak sa na legitímnej webovej stránke, ktorú ste už v minulosti navštívili, objaví výzva na zadanie hesla, tak najskôr vložte neplatné prihlasovacie meno a neplatné heslo.
-
Podvrhnutá webová stránka bude neplatné prihlasovacie meno a heslo akceptovať, zatiaľ čo legitímna nie.
-
Ak ste aj nevedomky poskytli osobné alebo finančné údaje, tak neodkladne informujte príslušnú organizáciu.
-
Snažte sa sledovať triky, ktoré využívajú phishingové e-maily, iba tak môžete hneď spozorovať podvodné e-maily.
-
Ak sa stanete príjemcom podvodného e- mailu, bezodkladne kontaktujte zodpovednú osobu vo Vašej organizácií. Ak v tom podvodnom e-maily niekto zneužil meno spoločnosti a pod., tak poverená osoba by mala kontaktovať aj dotknutú tretiu stranu.
-
V prípade že niekto požaduje vyplatenie nejakej čiastky na zahraničný účet, uvedené veci si najskôr osobne ( telefonicky ) preverte u zodpovednej osoby ( predsedu zväzu )
-
Ak zodpovedná osoba potvrdí, že nie je odosielateľom uvedenej správy, maily nemažte (takéto maily môžu pomôcť polícii v pátraní po páchateľovi) , kontaktujte políciu a podajte trestné oznámenie na neznámeho páchateľa.
-
NIKDY BEZ OVERENIA U ZODPOVEDNÝCH OSÔB NEPOSIELAJTE PENIAZE NA CUDZIE ÚČTY.
A NEZABÚDAJTE, PRÁVE VAŠA OBOZRETNOSŤ JE NAJDÔLEŽITEJŠIA PRI ROZOZNANÍ PHISHINGOVÉHO ÚTOKU.