Phishing se proměnil v sofistikovaný průmysl s vlastními sadami, podporou a AI. Díky modelu „phishing jako služba“ si dnes útoky může objednat každý – a cílit přímo na vaši práci, bankovní účet nebo digitální identitu. Proti nové generaci podvodů už nestačí jen kliknout opatrně.
Phishing, jedna z nejoblíbenějších forem podvodů současnosti, se nenarodil „sofistikovaný“, ale získal popularitu v 90. letech, kdy se útočníci vydávali za zaměstnance společnosti AOL, aby ukradli hesla a ovládli účty. Překvapivě klíčová myšlenka existovala již tehdy, protože byla založena na vydávání se za někoho jiného a na spěchu. Pokud se tedy podaří přimět oběť k rychlému jednání, podvod funguje lépe, i když je zpráva mizerná.
V průběhu let se cíl změnil z „dostat se k vašemu účtu“ na „dostat se do vašeho života“ prostřednictvím bankovnictví, nakupování, sociálních sítí a především přístupu do práce. Dnes se tento skok nazývá „PhaaS“, což je zkratka pro „phishing jako služba“ a zahrnuje hotové sady, šablony, falešné webové stránky a dokonce i „podporu“, vše prodávané formou předplatného.
Tento model snižuje bariéru, protože už nemusíte být génius, ale stačí jen zaplatit. Existují levné sady i plné plány, které stojí stovky nebo tisíce eur měsíčně, takže ekonomika je brutální. Organizace jako FBI totiž hovoří o údajných ztrátách přesahujících 16 miliard dolarů do roku 2024, což je oblast, ve které phishingové podvody vedou co do objemu operací.
V podnikatelském světě je jejich „elegantním“ bratrancem BEC, taktika, která spočívá v e-mailech vydávajících se za vašeho šéfa nebo dodavatele, aby propašovaly bankovní převod, ale stále představují mnohamiliardovou hrozbu. V důsledku toho se s nárůstem těchto typů taktik změnila i obrana proti nim. Dnes už nestačí jen sledovat problémy, protože existují kampaně, které obcházejí filtry pomocí kompromitovaných skutečných účtů a téměř dokonalých klonovaných stránek.
Ve skutečnosti i v případě dvoufaktorového přihlašování existují pasti, protože některé systémy zachycují soubory cookie nebo uživatele podvedou, aby zadal kód, a v tu chvíli se útočník přihlásí, jako by byl uživatelem. Zlatým pravidlem proto zůstává lidský přístup: dávejte si pozor na „naléhavé“ zprávy, ověřujte je jiným kanálem, a pokud odkaz požaduje heslo, neklikejte na e-mail a vyhledejte si webovou stránku sami.
Phishing se vyvinul nejen v technikách, ale také v cílech. Útoky se stále více personalizují a využívají umělou inteligenci k vytváření přesvědčivějších a cílenějších zpráv. Útočníci nyní mohou analyzovat obrovské množství dat, aby identifikovali nejzranitelnější oběti a podle toho přizpůsobili svou taktiku.
Pro ochranu před phishingem je zásadní být informován o nejnovějších taktikách a technikách používaných útočníky. Společnosti by měly investovat do průběžného školení svých zaměstnanců a naučit je rozpoznat příznaky pokusu o phishing. Zavedení technologických řešení, jako jsou pokročilé poštovní filtry a vícefaktorové ověřování, navíc může přidat další vrstvy zabezpečení.
Na osobní úrovni by uživatelé měli být obezřetní při sdílení informací online a zajistit, aby jejich zařízení byla aktualizována nejnovějšími bezpečnostními opatřeními. Používání silných, jedinečných hesel pro každý účet a zapnutí dvoufaktorového ověřování, kdykoli je to možné, jsou základními kroky k vlastní ochraně.
Phishing je problém, který se bude nadále vyvíjet, ale správnou kombinací vzdělávání, technologií a opatrnosti je možné minimalizovat riziko a chránit se před těmito hrozbami.