Blockchain zná technologický svět už od roku 2009. Vše začalo jako anonymní iniciativa s ambicí vytvořit kryptoměnu, tedy decentralizovaný substitut státem kontrolovaných měn. Vznikl tak fenomén, který přilákal obrovské množství investorů, ale také podvodníků, pro které se kryptoměny staly oblíbeným cílem i prostředkem. Například výkupné v rámci ransomwarových útoků je vymáháno téměř výhradně v kryptoměnách.

Vedle kryptoměn se s využitím technologie blockchainu rozvíjí také fenomén nezaměnitelných tokenů NFT (non-fungible tokens). Fakticky se jedná o jedinečné elektronické (často umělecké) dílo, jehož vlastnictvím se může pyšnit právě jeden člověk, ačkoliv kopii může mít prakticky kdokoliv.

Díky své popularitě získaly kryptoměny a některé NFT velkou hodnotu, čehož si samozřejmě všímají i hackeři. Proto mají útoky na peněženky držící kryptoměny vzestupnou tendenci a probíhají často velmi sofistikovaným způsobem. Mezi takové útoky patří například odchycení hesla při přihlašování do peněženky pomocí škodlivého kódu. Přesto existují i snadnější cesty – občas stačí uživatele o přístup do peněženky prostě jen požádat. A zde se dostáváme k problematice phishingu.

Letos v únoru došlo k phisingovému útoku na uživatele největší burzy s NFT tokeny OpenSea. Způsobil škodu větší než 1,7 milionů dolarů a základem jeho úspěchu bylo mimořádně vhodné načasování. Burza OpenSea totiž právě informovala své uživatele o plánovaném přechodu na nový kontrakt (smlouva o převodu NFT) a vyzývala je k aktualizaci svých účtů. Útočník využil danou situaci a v podobně znějícím duchu vyzýval podvrženým e-mailem uživatele k akci s výhodou ušetření významného poplatku spojeného se změnou kontraktu (provedení transakce).

Uživatelé s vidinou úspor tak v mnoha případech udělili souhlas s přístupem do své peněženky nesprávnému subjektu. Útočník pak po získání přístupu do peněženek dokončil tento koordinovaný útok a odeslal si na svůj účet vybrané hodnotné NFT.

Podle šetření bezpečnostní služby Blockchain PeckShield se útočník zaměřil na 32 klientských účtů a během tří hodin získal 254 tokenů. Mezi ukradenými NFT jsou například známé tokeny z Bored Ape Yacht Club (kreslené obrázky znuděných opic) a sbírek Azuki v celkové hodnotě 641 ethereum, tedy v době psaní tohoto článku přibližně 1,7 milionu dolarů.

Phishing není omezen pouze na kryptoměny a NFT. Útočníci si pro své útoky rádi vybírají známé instituce, jako jsou banky a úřady, jejichž jménem pak vystupují. E-mail na první pohled vypadá tak, že přišel například z vaší banky, od České pošty nebo od ředitele společnosti, kde pracujete. Využitím známé značky či autority se útočník snaží oběť přinutit k akci. Tím je nejčastěji kliknutí na zaslaný odkaz, který obsahuje škodlivý kód, jehož otevřením se útočník dostane do počítače oběti, nebo zadání citlivých informací (např. přihlašovací údaje).

Jediným způsobem, jak se vyhnout těmto typům podvodů, je včas podvod rozpoznat, nevyužívat nabízené odkazy a zadávat citlivé informace pouze na legitimních webových stránkách, které navštívíte obvyklým způsobem. Webová adresa (URL adresa) podvodné stránky se bude lišit od adresy legitimního webu, i když často jen nepatrně. Obvykle bude obsahovat překlep nebo jinou koncovku (doménu). Odchylku přitom často můžete zjistit až po otevření nabízeného odkazu či stisknutí tlačítka.

Jak tedy phishing poznat a bránit se mu, když podvodná e-mailová zpráva může obsahovat i oficiální logo i další prvky legitimní komunikace, a přesto může jít o phishing? Společnost Eset sestavila sadu doporučení, které jsou výstižným přehledem, jak se nestít obětí phoshingu:

• Požadavek na citlivé informace – žádná seriózní banka nebo finanční situace po vás nebude chtít vyplnění hesla do internetového bankovnictví v e-mailu. Jde o jednoznačný znak phishingu.
• Špatná gramatika – špatná čeština je určitě varovným signálem, který by mohl znamenat podvodnou zprávu.
• Neočekávaný e-mail – nevyžádané e-maily od neznámých osob otevírejte vždy se zvýšenou pozorností.
• Přílišná naléhavost – útočníci chtějí uživatele donutit provést požadovanou akci co nejrychleji, aby o tom neměl čas přemýšlet. Pokud na vás e-mail příliš tlačí, nutí kliknout na tlačítko či odkaz (časově omezené nabídky, výhry), buďte ve střehu.
• Velmi výhodná nabídka – zboží zadarmo, služba za nesmyslnou cenu, to vše je typické pro phishing.
• Podezřelá doména – české banky určitě nebudou používat německou nebo čínskou doménu.

Z hlediska firem je pro obranu před phishingem důležité pravidelné vzdělávání zaměstnanců. Můžete k němu využít přehled 7 způsobů útoku, na něž se zaměstnanci nechávají nejčastěji nachytat. Najdete ho na webu: doxologic.cz/7-internetovych-pasti.

Martin Listopad Autor článku je jednatelem společnosti DoxoLogic ze skupiny Moore Czech Republic.