Příklady phishing e-mailů
Více informací o phishingu a nebezpečí v e-mailech najdete zde.
Podvodná CAPTCHA
2025-03-20
Klasický phishing se snaží uživatele zmanipulovat k tomu, aby si otevřel určitou webovou stránku a do formuláře vyplnil své přihlašovací údaje (nebo číslo platební karty apod.).
Tento trik ale funguje trochu jinak.
Po kliknutí na odkaz v e-mailu se neobjeví přímo přihlašovací formulář, ale tzv. CAPTCHA. Jde o mechanismus používaný na webových stránkách k rozlišení mezi lidskými uživateli a automatizovanými boty. Objevuje se na webu často - všude tam, kde chce autor aplikace zabránit třeba automatizovanému hádání hesel.
Captcha obvykle vyžaduje, abyste provedli úkol, který je pro lidi relativně jednoduchý, ale pro počítačové programy obtížný.
Takže nikoho nepřekvapí, když se po kliknutí na odkaz v mailu napřed objeví www stránka, na které je pouze jednoduchá Captcha:
Po odkliknutí se objeví další Captcha, což už je trochu otravné, ale pořád stačí jen kliknout myší do čtverečku:
A do třetice další Captcha, tentokrát trochu složitější:
V tuto chvíli byste měli zbystřit. Pokud byste dál (naštvaní a otrávení předchozími dvěma testy) bezmyšlenkovitě pokračovali, zavirovali byste si počítač! Příkazem “Windows-R” se totiž ve Windows otevře okno s příkazovou řádkou, příkazem “Ctrl-V” se na řádku vloží obsah schránky (kde číhá malware napsaný v PowerShellu) a tlačítkem “Enter” se spustí - a máte zavirovaný počítač!
Kde se vzal ve schránce malware? Dostal se tam při předchozím Captcha testu. Na něm totiž ve skutečnosti bylo na místě zaškrtávacího čtverečku neviditelné tlačítko a klinutím na něj se nakopíroval PowerShell příkaz do systémové schránky.
Poučení - při Captcha testu nepostupovat bezmyšlenkovitě podle instrukcí, ale zamyslet se, jestli instrukce náhodou nejsou něco nekalého…
Zde popsaný trik funguje zatím jen na Windows. Na jiném operačním systému (chytrý telefon, Mac, Linux…) uvidíte jen upozornění, že máte nevhodný operační systém.
P.S. pokud jste byli nepozorní, ale měli jste štěstí, zasáhl váš antivirový program
Nezdařila se platba za …
2024-08-30
Častým trikem je poslat upomínku na platbu, která se nezdařila. V tomto případě jde údajně o nezdařenou automatickou platbu za službu iCloud od Applu.
Jak poznat, že jde o podvod?
- jméno odesílatele je “icloud limit”, ale adresa odesílatele není z domény apple.com
- pod tlačítkem “Aktualizovat platební údaje” se skrývá link na doménu, která nemá s firmou Apple nic společného.
Skutečný odkaz zjistíte tak, že nad tlačítko najedete kurzorem myši a chvíli počkáte - zobrazí se. Stejně můžete zjistit skutečnou adresu odesílatele.
Podvodný mail:
Opatrně s QR kódy!
2023-08-25
Podvodný phishing, který se tváří jako mail od IT podpory univerzity s informací o zavedení vícefaktorové autentikace a vyzývá k ofocení QR kódu mobilním telefonem.
Jde o trik. Když QR kód vyfotíte mobilem, tak se podvodný formulář stáhne do mobilu a zobrazí na něm. V mobilu neběží antivirový program a pravděpodobně ani není připojený k Internetu přes univerzitní síť, takže útočník může obejít naši ochranu.
QR kódy jsou běžně používané a setkáváme se s nimi na vyúčtování elekřiny, na informačních cedulích v parku a podobně. V tomto případě byste ale měli zpozornět:
- odesílatel se jmenuje “IT Cuni Support”, ale po kliknutí na jméno se neobjeví adresa z univerzitní domény cuni.cz, ale adresa na Gmailu.
- mail nemá žádný podpis, nevíte kdo ho údajně poslal, není kde si ověřit jeho pravost
- QR kód není čtvercový a celý text je nějak hůř čitelný - to protože celý e-mail je jeden velký obrázek - technika používaná k tomu, aby phishing prošel spamovým filtrem
- formulář pro zadání hesla, který se zobrazí na telefonu po ofocení QR kódu, nevede na univerzitní doménu cuni.cz
Podvodný mail:
Podvodná stránka s formulářem v mobilu:
Dokument jen po přihlášení
2022-11-08
Na tom, že e-mailem přijde odkaz na dokument v cloudu, ke kterému se dostanete jen po přihlášení, není nic špatného a setkávat se s tím budeme čím dál tím víc. Je to ale také častý trik podvodníků - tak pozor, ať nenaletíte na phishing! Vždy ověřte, jestli stránka s přihlašovacím formulářem je důvěryhodná - hlavně zda v URL stránky je doména organizace, jejíž heslo máte vyplnit. V tomto případě doména Univerzity Karlovy cuni.cz.
Podezřelé:
- odesílatelem e-mailu je “Univerzita Karlova”, ale při kliknutí na odesílatele se objeví adresa končící na @cvut.cz
- když najedete myší na odkaz (text “Přečtěte si zprávu”), tak se objeví kam odkaz vede. A není to na doménu Univerzity Karlovy, ale na neohealth.co.bw.
- webová stránka vypadá přesně jako Centrální autentikační služba UK, ale podle URL stránka (horní řádek, červeně označené) není v univerzitní síti (v doméně cuni.cz)
Podvodný mail:
Podvodná stránka s formulářem:
Phishing formulář s podkladem univerzitního webu
2022-11-07
Poslední dobou se setkáváme s tím, že phishing formuláře mají na pozadí aktuální webovou stránku organizace. Snaží se tím vyvolat v uživateli dojem, že se dostal na svůj domácí web a jen se musí přihlásit, aby se dostal k informaci, která není veřejná.
Stránka s phishing formulářem je ve skutečnosti jinde (viz URL stránky v hormím řádku prohlížeče). Jen si chytře z e-mailu vytáhne doménu a automaticky stáhne stránku na této doméně a doplní si ji jako pozadí. Když si pozorně prohlédnete URL stránky, najdete v ní na konci svůj e-mail. Můžete si sami zkusit dosadit do něj doménu jiné organizace.
Podezřelé:
- URL stránky “14-11115-verge…mexico-1.myhuaweicloud.com/…” rozhodně není univerzitní
Podvodná stránka s phishing formulářem:
Phishing z @o365.cuni.cz adresy
2022-02-07
Podvodný phishing e-mail, jemuž na důvěryhodnosti dodává adresa odesílatele s doménou o365.cuni.cz. Vlastník účtu bohužel sám podobný mail dostal, podlehl mu a útočník teď rozesílá další phishing maily v rámci univerzity z jeho účtu.
Podezřelé:
- samotný požadavek vyplňovat nějaký formulář kvůli upgradu e-mailu
- krkolomná čeština
- odesílatel, který nemá nic společného se správou počítačové sítě univerzity
E-mail:
Dopis od sekretářky
2020-10-08
Tento phishing neobsahuje odkaz, ale html přílohu. Po jejím otevření se zobrazí stránka webmailu s kolonkou na jméno a heslo. Další matoucí trik – jako jméno odesílatele je uvedené “sekretarka@cuni.cz”.
E-mail:
WHO
2020-03-31
Zneužívá zájem o informace o coronaviru. Tváří se jako mail od WHO a slibuje dokument s aktuálními informacemi.
E-mail:
Po kliknutí na odkaz byste se dostali na stránku, která opět slibuje zajímavé informace, ale po zadání e-mailu a hesla.
Stránka není na doméně WHO.
