neprihlásený Utorok, 12. augusta 2025, dnes má meniny Darina
Phisheri útočia už aj na klientov slovenských bánk

Vážny problém phishingu, na Slovensku doteraz výrazne podceňovaný, neobchádza ani Slovensko a to dokonca v tej najvážnejšej podobe, keď sa phisheri snažia získavať prihlasovacie údaje užívateľov k internet bankingom slovenských bánk. Predstavitelia dvoch z troch najväčších bánk na Slovensku serveru DSL.sk potvrdili, že phishingové útoky sú realitou aj na Slovensku.

DSL.sk, 4.5.2006


Problém phishingu, donedávna v neanglicky hovoriacich krajinách výrazne podceňovaný, je už realitou aj na Slovensku. Ako serveru DSL.sk potvrdili dve z troch najväčších bánk na Slovensku, phisheri útočia aj na klientov slovenských internet bankingov.

Phishing

Phishing je druh podvodu, pri ktorom sa útočníci snažia väčšinou cez Internet získať od užívateľov citlivé údaje, ktoré môžu zneužiť pre svoj finančný prospech. Často ide napríklad o čísla a ďalšie údaje kreditných kariet alebo o prihlasovacie a ďalšie autorizačné údaje pre internet banking.

Phisheri často pri snahe vylákať citlivé údaje používajú prepracované sociálne inžinierstvo, keď sa snažia užívateľom prezentovať čo najdôveryhodnejšie dôvody v často výnimočných situáciách, pre ktoré je potrebné zadať citlivé údaje.

Technicky sa phishing realizuje v súčasnosti najčastejšie zadaním údajov na webovej stránke tváriacej sa ako dôveryhodná stránka, stránku ale prevádzkuje útočník a zadané údaje sú mu tak sprístupnené. Linky na takéto stránky sú väčšinou zasielané emailom s využitím techník sociálneho inžinierstva.

Phishing na Slovensku

Ako serveru DSL.sk potvrdili dve z troch najväčších bánk na Slovensku, phishingové útoky na internet bankingy a prihlasovacie údaje k nim sa dejú aj na Slovensku. Ich rozsah ale pre nedostatok zverejnených informácií nie je známy.

Hovorkyňa Slovenskej sporiteľne Miriam Funová pre server DSL.sk uviedla, že Slovenská sporiteľňa zaznamenala dva phishingové útoky. Útoky ale neviedli k zneužitiu údajov klientov: "V oboch prípadoch nás na to klienti včas upozornili a k zneužitiu ich údajov nedošlo."

Bližšie informácie o útokoch Slovenská sporiteľňa zverejňovať nechce.

Phishingové útoky proti klientom využívajúcim internet banking Tatra banky potvrdil pre server DSL.sk hovorca Tatra banky Roman Začka: "Prípad, s ktorým sa stretla naša banka už vyšetruje polícia, na základe trestného oznámenia, ktoré sme podali."

Pre prebiehajúce vyšetrovanie tak Tatra banka v súčasnosti nekomentuje charakter zaznamenaného phishingového útoku. Na otázku, či bol realizovaný neautorizovaný prístup k účtu a či prišlo k nejakým neautorizovaným prevodom, hovorca Tatra banky odpovedal jednoznačne: "Nie, toto sa nestalo."

Podľa Začku aktuálne nie je zaznamenaný žiadny prebiehajúci phishingový útok: "Vychádzame zo zadokumentovaných prípadov a v poslednom období sme žiadne nezaznamenali."

Tatra banka v súčasnosti na prihlasovacej stránke internet bankingu upozorňuje užívateľov na riziká phishingových útokov a potrebnú ostražitosť pri zadávaní osobných údajov a údajov z autorizačných zariadení: "Odporúčame používanie SMS kódov, alebo SecurID karty pri prihlasovaní." Užívatelia si majú dávať pozor na akékoľvek neštandardné správanie Internet bankingu pri prihlasovaní, napr. viacnásobné vyžiadanie pozície z Grid card.

Základné pravidlá ochrany proti phishingu

Užívatelia internet bankingov ale tiež ľubovoľných iných internetových služieb s citlivými údajmi by mali dodržiavať tieto základné pravidlá, aby sa nestali obeťami phishingových útokov:

  1. Udržiavajte svoj počítač bezpečný pred napadnutím vírusmi, trojanmi, keyloggermi, spywarom a inými škodlivými kódmi, ktoré môžu byť zneužité aj na phishing. Doporučované je použitie firewallu, antivírusu s realtime kontrolou a antispywaru. Podľa možnosti nezadávajte citlivé dáta na nezabezpečenom alebo nedôveryhodnom počítači, ku ktorému majú prístup aj Vám neznáme osoby.

  2. Akékoľvek citlivé údaje ako sú napríklad prihlasovacie meno a heslo zadávajte iba do stránky, ktorá je zabezpečená SSL protokolom a dôveryhodným certifikátom. Prehliadač musí pre túto stránku ukazovať dole zamknutý zámoček, pri jej prvej návšteve neupozorniť na žiadny problém s bezpečnosťou a bezpečnosťou certifikátu a jej adresa sa musí začínať na https:// a zhodovať sa s adresou Vašej banky.

    Pokiaľ nepoznáte s určitosťou doménovú adresu Vašej banky, preverte po kliknutí na zámoček akej spoločnosti bol vydaný bezpečnostný certifikát pre túto stránku a či sa zhoduje s Vašou bankou.

    Hoci napríklad americké banky umožňujú užívateľom vyplniť prihlasovacie údaje na nezabezpečenej stránke, ktoré sa odosielajú už zabezpečenou cestou, nikdy tak nerobte.

  3. Nikdy nezasielajte citlivé údaje nekryptovaným emailom ani inak nesprístupňujte a nezverejňujte.

  4. Slovenské banky Vás veľmi pravdepodobne nebudú vyzývať na prihlásenie alebo zadanie iných údajov emailovou správou.

    Keď dostanete email s požiadavkou tohto typu, na linku neklikajte, prihláste sa tak, ako to robievate zvyčajne priamym zadaním adresy alebo z vlastnej záložky.

    Ak Vaša banka vyžaduje zadanie nejakých údajov na stránke s adresou zaslanou v emaily a informáciu neviete nájsť pri priamom prístupe k internet bankingu, zavolajte na hotline linku banky a overte autenticitu emailu.


Najúčinnejším spôsobom boja proti phishingu je okrem dodržiavania vyššie uvedených všeobecných pravidiel tiež podľa možnosti plná informovanosť užívateľov.

Bohužial banky a iné inštitúcie, na klientov ktorých sa uskutočňujú phishingové útoky, neradi o phishingových útokoch informujú, keďže vo verejnosti v krajinách doteraz nestretávajúcich sa s phishingovými útokmi sa spájajú negatívne s bankou, hoci v prípade phishingových útokov v drtivej väčšine prípadov banka nenesie žiadnu zodpovednosť.

Phisheri nespia

Phisheri sa snažia neustále zlepšovať používané sociálne inžinierstvo, napríklad pri nedávnom útoku v Českej republike emailom žiadali užívateľa o prihlásenie sa k internet bankingu za účelom potvrdenia prichádzajúcej zahraničnej platby na účet.

Najmä v USA, kde prichádzajú užívatelia do kontaktu s phishingom pomerne často, začínajú používať phisheri aj nové metódy. V apríli sa napríklad objavilo prvé použitie VoIP pri phishingu, pri ktorom automatický počítačový systém útočníkov si na telefónnych VoIP číslach zaslaných v emailovej správe vypýtal od užívateľa prihlasovacie údaje.

Na vážne riziko minulý týždeň upozornila aj štúdia, podľa ktorej existuje teoretické vážne riziko presmerovania užívateľov pri návšteve web stránky pomocou DNS na servery útočníkov v prípade až 34% stránok. Pri dodržiavaní vyššie uvedených zásad ale ani v tomto prípade nie je možné útočníkmi získať od užívateľov citlivé údaje.

      Zdieľaj na Twitteri


Overujete vždy, keď využívate internet banking alebo inú podobnú službu, že ste na zabezpečenej stránke respektíve chodíte hneď priamo na zabezpečenú stránku? (hlasov: 237)

Chodím priamo na zabezpečenú stránku      62%
Overujem, či mám SSL zámoček      22%
Nie      17%


Najnovšie články:

Nova Sport 6 pribúda do Skylinku, kanály Canal+ Sport do Voyo
V USA ešte funguje dial-up, skončí v septembri
Súborový systém Btrfs mal ušetriť Facebooku miliardy dolárov
V Kalifornii spustili solárnu elektráreň s veľkým batériovým úložiskom
Vydaný Debian 13, podporuje RISC-V ale už nie je pre 32-bitové x86 CPU
Loď s posádkou z ISS úspešne pristála
Streamovacia služba HBO Max začne intenzívnejšie bojovať proti zdieľaniu účtov
Softvér eID klient pre elektronický občiansky v novej verzii 5.1
Počet elektromobilov na Slovensku presiahol 20-tisíc
V súborovom systéme Btrfs bola chyba spôsobujúca vážne problémy


Diskusia:
                               
 
dibdo
Od: dibdo | Pridané: 4.5.2006 17:04

no čo no, netreba sa dať oklamať, a fakt si take maily potvrdzovať na hotlajne banky... inak to nevidim
Odpovedať Hodnotiť:
 
jojo
Od: jojo | Pridané: 4.5.2006 17:12

no len problem je, ze to nemusi byt len zalezitost emailov

mozu napriklad hacknut server nejakeho tvojho maleho poskytovatela internetu a poslat ta priamo na ich stranku ked ides na stranku svojej banky...

ked si nedavas poriadny pozor na certifikaty a tak, tak ta maju...
Odpovedať Hodnotiť:
 
palinojur
Od: palinojur | Pridané: 4.5.2006 17:15

co uz su to machri!!!
Odpovedať Hodnotiť:
 
aaano
Od: aaano | Pridané: 4.5.2006 17:26

pouzivaj ciarky
Odpovedať Hodnotiť:
 
ff_
Od: ff_ | Pridané: 5.5.2006 6:44

a ty diakritiku, keď už
Odpovedať Hodnotiť:
 
Uhlik
Od: Uhlik | Pridané: 5.5.2006 18:19

a co tak pouzit rozum ? ;) ...
Odpovedať Hodnotiť:
 
SilenT
Od: SilenT | Pridané: 4.5.2006 17:33

Nie su to machri . Maju dobre vedomosti , vedia nájsť chyby serverou a oni to využijú na takéto veci , mohli by to na vela dotiahnúť keby to využily na dobré veci .
Odpovedať Hodnotiť:
 
james
Od: james | Pridané: 4.5.2006 17:39

ked uz su taky sikovny, co si nezistia tie udaje bez toho aby ma otravovali? ;-)
Odpovedať Hodnotiť:
 
RB
Od: RB | Pridané: 4.5.2006 18:09

Lebo ani ti, co robia weby bankam, nie su az taki amateri...
Odpovedať Hodnotiť:
 
Filip
Od: Filip | Pridané: 4.5.2006 19:19

keby povedia banke jak sa to da a nepouziju data tak im banka srdecne zaplati
Odpovedať Hodnotiť:
 
Stroj stastia
Od: Stroj stastia | Pridané: 5.5.2006 1:31

Zaplatila by im akurat tak velke hovno...
Odpovedať Hodnotiť:
 
auletta
Od: auletta | Pridané: 4.5.2006 20:29

u vubecky sa urcite nebojim,maju tam vzdy certifikat...a dalsie opatrenia
Odpovedať Hodnotiť:
 
čert nikdy nespí
Od: čert nikdy nespí | Pridané: 4.5.2006 20:37

je to ako pri zabezpečení auta:
experti mi povedali, že ak sa ktosi rozhodne ukradnúť moje-Tvoje auto, nepomôže nič, jednoducho zmizne, techník je viac...
dôverujem internetbankingu - ale preverujem a keby mi niekdto previedol čo len korunu kdesi inde, okamžite to viem cez SMS - ČSOB to má, myslím aj iné banky v SR
Odpovedať Hodnotiť:
 
salmek
Od: salmek | Pridané: 4.5.2006 20:41

ha ha ha. asi vela toho o bezpecnosti nevies...

vub je v uplnom prusere, az nepochopitelne, ze to maju ako to maju.

certifikat nemaju podpisany doveryhodnou CA a kedze maloktory uzivatel si ho skontroluje naozaj bezpecne predtym, nech si ho ulozi alebo ked si ho neulozi tak pri kazdom raze, tak je to vazne riziko

keby sa Ti niekto rozhodol podvrhnut stranku namiesto stranky vub, tak si to nemas ako overit a u takmer vsetkych uzivatelov by mu to preslo a ziskal by prihlasovacie udaje...
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 5.5.2006 0:11

www.skandalna-vub.sk

VUB by mala zaniknut a prestat klamat klientov, maju pravo poznat pravdu...
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 5.5.2006 0:07

www.skandalna-vub.sk !!! Mal by si sa bat...
Odpovedať Hodnotiť:
 
LOL
Od: LOL | Pridané: 5.5.2006 0:52

LOOOOOOOOOOOOOOOOOOOOL
Odpovedať Hodnotiť:
 
Uhlik
Od: Uhlik | Pridané: 5.5.2006 18:22

takych certifikatov ti narobim, kolko sa ti zaziada ... VUB je taka certifikacna autorita ako som ja papez ... ako jedina banka na Slovensku nema vydany certifikat skutocnou certifikacnou autoritou a dokonca Internet Explorer 7 kvoli tomu oznacuje ich stranky za nebezpecne ...
Odpovedať Hodnotiť:
 
Bimbo
Od: Bimbo | Pridané: 5.5.2006 2:04

Príspevok bol zmazaný pre nevhodný a/alebo vulgárny obsah.
Odpovedať Hodnotiť:
 
p4ra
Od: p4ra | Pridané: 5.5.2006 7:03

Jasne, skanadalna VUB. Chlapik je bezdomovec, kt. prisiel o vsetko, ale PC ma zapojene niekde na ulici a tam vytvoril tento web. OMG! Dalsi zakomplexovany magor, kt. bol sprosty a zvali to na kazdeho, ale v sebe chybu nepohlada.
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 5.5.2006 12:22

Prestuduj si tu stranku a uvidis ze vlastnu domov nema ale ma kryty v CR pravnikom, lebo na sude mu to odobrili, kedze je v prave. najprv dokladne prestuduj a potom taraj
Odpovedať Hodnotiť:
 
vlcko
Od: vlcko | Pridané: 6.5.2006 1:34

ty si tiez pekny blbecek, to este nepoznas sudne spory , prietahy a pod. a nic si neskusil, za to ja hej , len pri odkupovani bytu aj ked sme boli v prave , tahalo sa to 9 rokov a ked malo nakoniec mesto prehrat tak stiahlo svoju zalobu a dobrovolne byt odpredali, nez by zazili tu hambu, to som tiez nebol bezdomovec , ale ma to stalo nervov ze by som ich postrielal najradsej, tak si viem predstavit co zaziva ON.
Odpovedať Hodnotiť:
 
asdf
Od: asdf | Pridané: 5.5.2006 9:08

Ja som kludny, aj tak mam na ucte stale 0.
Odpovedať Hodnotiť:
 
CHUJ
Od: CHUJ | Pridané: 5.5.2006 12:17

len debil vyuzivany E-banking, riziko je moc velke, to uz radsej BMGInvest :)
Odpovedať Hodnotiť:
 
medic
Od: medic | Pridané: 5.5.2006 14:00

Pribeh z reality: Sused, ktory pouziva internet uz niekolko rokov mi povedal, ze internet bankig nepouziva a radsej chodi ucty platit priamo do banky. Zevraj cez internet to je nebezpecne. Tak som mu to v rychlosti vysvetlil. Asi tak za tyzden som ho v Tescu stretol pri pokladni, ako plati podpisovou Visa kartou. Skoro mi branicu potrhalo. Zevraj tak plati pravidelne. (podpisova karta rozumej: ziadny PIN, kupujuci sa len podpise na blocek)
Pracujem v Tescu ako pokladnik a by ste sa cudovali, kolko ludi takymito kartami plati. A napodobnit podpis je 5 minutova zalezitost.
Odpovedať Hodnotiť:
 
mhn
Od: mhn | Pridané: 6.5.2006 9:22

to ano, ale chyba ti ta karta, ze ano.
Odpovedať Hodnotiť:
 
Stevko
Od: Stevko | Pridané: 5.5.2006 16:29

Pri CSOB mi (na SK aj CZ stranke) browser hlasi, ze nepozna certifikacnu autoritu, ktora im vydala certifikat. Co s tym?
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 6.5.2006 1:00

Kukol som sa na to a prezrel certifikat. Podla mna mozes byt v klude, certifikat im vydala ceska spolocnost ktora na to ma patenty. Prehliadac ti ju nespoznal lebo v zozname ma len americke typu VeriSign a Geotrust.
Odpovedať Hodnotiť:
 
salmek
Od: salmek | Pridané: 6.5.2006 9:59

ani Ty nevies nic o bezpecnosti?

a prave to je problem, ze to nie je zabudovane v prehliadaci. v zivote potom nezistis, ci Ti niekto nejaky nepodvrhol, musel by si si rucne overit z nezavisleho zdroja jeho fingerprint (resp. nejaky iny ekvivalentny postup)
Odpovedať Hodnotiť:
 
wlade
Od: wlade | Pridané: 6.5.2006 13:15

No ked kuknem certifikat a uvidim inu certifikacnu autoritu ako tu co vidim ked idem priamo cez www.csob.sk tak vtedy uz nieco nie je v poriadku. Existuje aj sposob ako zakupit Geotrust certifikat bez toho aby overil vasu totoznost a tusim nieco podobne sa da aj s VeriSignom. S Geotrustom som to skusil, bola to sila... ale bol to len pokus, som to hned odmazal. Takze nas asi cakaju tazke casy...
Odpovedať Hodnotiť:
 
Stevko
Od: Stevko | Pridané: 6.5.2006 17:23

No, uz som zistil, ze na stranke I. Certifikacni Autority sa daju stiahnut "corenove certifikaty". Proste naucil som prehliadac, aby ju poznal. Ale vyzera to tak, ze pre kazdy prehliadac to bude treba osobitne. Bolo by mozno dobre, aby prehliadace rozoznali aj tuto CA bez dalsich zasahov. Ale asi by to neslo, aby mali zoznam vsetkych CA (neviem, kolko ich moze byt).
Odpovedať Hodnotiť:
 
Stevko
Od: Stevko | Pridané: 6.5.2006 17:24

oprava: "korenove certifikaty"
Odpovedať Hodnotiť:
 
M150
Od: M150 | Pridané: 9.5.2006 23:25

vedel by niekto poradit ako sa v takom certifikate orientovat a co si treba vsimnut?
Odpovedať Hodnotiť:
 
magnum
Od: magnum | Pridané: 12.5.2006 22:12

najvacsi pruser je ze ak si chcem overit certifikat /otlacok ci jak sa to pise slovensky/ tak sa v bankach tvaria ako by som bol ufon...
Odpovedať Hodnotiť:
 
magnum
Od: magnum | Pridané: 12.5.2006 22:20

a este tie sqele JRE aplikacie tak to uz je uplne genialne s kadejakymi pluginmi z bohvie akych zdrojov /konkretne na VUB/

IMHO tu sa fakt mozem spolahnut tak maximalne ze ma pan boh ochrani pred tym aby mi niekto vybielil ucet...
Odpovedať Hodnotiť:
 
$amo
Od: $amo | Pridané: 14.5.2006 11:02

Chcel by som sa niečo spýtať.
Ako zistím, že je stránka falošná, keď siprezriem bezpečnostný certifikát. čo by bolo v ňom iné na falošnej stránke, než na pravej?
Odpovedať Hodnotiť:

Pridať komentár