Phishing je jednou z podvodných technik tzv. sociálního inženýrství - manipulace lidí za účelem provedení nějaké akce nebo získání určité informace. Jeho cílem je vylákat z obětí útoku citlivé údaje - přihlašovací jména a hesla, čísla kreditních karet, rodná čísla atp. Jak? Napodobením oficiální komunikace příslušné finanční instituce, ať už se jedná o falešné e-maily, webové stránky, SMS nebo i telefonní hovory.

Nejedná se tedy o nijak sofistikovaný typ útoku. Útočníci se spoléhají na to, že klienti bank nebudou věnovat dostatečnou pozornost obsahu e-mailové komunikace, webové adrese internetového bankovnictví, notifikacím banky o provedení platebních operací apod.

Tváří se jako vaše banka, ale není

Typickou praxí je e-mail tvářící se jako legitimní komunikace příslušné banky (stejný vzhled, struktura, stylistika textu, doména připomínající název banky atd.), který obsahuje odkaz na podvodné webové stránky. Ty znovu vypadají obdobně jako skutečné webové prostředí dané banky a požadují po klientovi zadání přihlašovacích údajů.

Překážkou není ani dvoufaktorová autentizace, kterou dnes všechny banky používají. Nepozorný klient je mnohdy podvodníkovi schopen sdělit i potvrzovací SMS kód pro vstup do internetového bankovnictví či potvrzení transakce provedené útočníkem. Další z metod, které útočníci používají, jsou například fingované telefonní hovory z domnělého call centra či IT podpory. V sofistikovanějších případech došlo i k nákaze mobilních telefonů, především na platformě Android, které pak bez vědomí klienta samy přeposílaly potvrzovací SMS.

Klienti si pak bohužel nevšímají informací v notifikaci o provedené transakci (podezřelá částka, protiúčet obvykle v zahraničí), která jim přijde v rámci potvrzovacího SMS kódu.