Jak rozpoznat phishingový e-mail: Reálná zkušenost.

Jestli stále nemáte jasno v tom, jak phishing reálně vypadá a jak ho poznat, tento článek je pro vás. Ukážeme si konkrétní případ phishingového e-mailu a rozebereme jednotlivé znaky, které prozrazují podvod.

Co je phishing?

Phishing je podvodná technika, která se snaží vylákat citlivé informace od uživatele, jako jsou přihlašovací údaje, platební karty nebo osobní údaje. Útočníci se často vydávají za důvěryhodné instituce nebo osoby a používají falešné e-maily, webové stránky či zprávy.

Reálný příklad phishingového e-mailu

Nedávno jsme obdrželi podezřelý e-mail, který na první pohled vypadal jako oznámení o výhře od známého e-shopu. Podívejme se na něj podrobněji a rozklíčujme jeho jednotlivé části.

Received: from nnbmenuhp.whererecreating.net
(nnbmenuhp.whererecreating.net [37.221.66.52])
by smtpd-mx-77d986fd54-9csq5 (szn-email-smtpd/2.0.37) with ESMTP
id eb31dccf-a112-454c-b74f-5d9b7f9d306d;
Thu, 03 Apr 2025 21:03:30 +0200
Message-Id: <nrgb.nrgb-nsxy.6204-nsxy@xob527.services.gc.ca>
Subject: =Zúčastněte se
From: =?UTF-8?B?WsO6xI1hc3RuxJt0ZSBzZSBzIEFsemEuY3o=?= <coolO5KNBox@fyzikalny.naboj.mff.[instituce].cz>
To: 2676470004riZ20002 <[adresa]@[domena.cz]>
Date: Thu, 03 Apr 2025 19:02:32 +0000 (UTC)
MIME-Version: 1.0
Content-Disposition: inline
Content-Transfer-Encoding: base64
Content-Type: text/html; charset="UTF-8"

1. Odesílatelská doména a IP adresa
E-mail přišel z domény whererecreating.net s IP adresou 37.221.66.52, což ukazuje na odesílatele z Moldavska, přičemž i IP adresa mohla byt zneužita a tedy skutečný odesílatel mohl být odkudkoliv. Podvodné e-maily často používají neznámé nebo falešné domény, které nemají žádnou spojitost s legitimními odesílateli.

2. Zmatečná emailová adresa odesílatele
Samotná e-mailová adresa pocházela z domény akademické instituce, která nesouvisí s e-shopem. Tato nesrovnalost byla prvním podezřelým znakem.

3. Falešná kanadská vládní doména
V hlavičce e-mailu je uveden Message-ID s doménou xob527.services.gc.ca. Doména .gc.ca patří kanadské vládě, což by mohlo vzbudit důvěryhodnost. Ovšem spojení s akademickou doménou a e-shopem vůbec nedává smysl. Takové kombinace jsou typickým znakem falešných e-mailů, kde útočníci záměrně kombinují důvěryhodné části z různých zdrojů.

4. Skrytý odkaz při kliknutí na obrázek
Dalším podezřelým znakem bylo, že při kliknutí na obrázek výhry se uživatel neměl přesměrovat na web obchodu, ale na adresu "me". Tato doména .me patří Černé Hoře a často ji používají útočníci pro vytváření podvodných stránek, protože je krátká a může vypadat legitimně. V kontextu českého e-shopu je to velmi podezřelé.

5. Obsah e-mailu
E-mail byl kódován jako HTML v base64, což útočníci používají k obcházení filtrování a skrytí škodlivých odkazů či příloh.

Jak se bránit phishingu

• Ověřte odesílatele: Před kliknutím na odkazy nebo otevřením příloh si zkontrolujte e-mailovou adresu.

• Buďte obezřetní: Pokud zpráva zní příliš dobře na to, aby byla pravdivá, buďte podezřívaví.

• Zkontrolujte odkazy: Najetím myší nad odkaz (bez kliknutí) zjistíte skutečnou URL adresu.

• Nahlaste phishing: Pokud máte podezření, nahlaste e-mail jako spam nebo phishing.