Sociální inženýrství (phishing a klamavé weby)

Jako sociálně inženýrský se označuje obsah, jehož účelem je přimět návštěvníky provést něco nebezpečného, například odhalit důvěrné informace nebo stáhnout software. Pokud Google zjistí, že váš web obsahuje sociálně inženýrský obsah, může prohlížeč Chrome návštěvníkům při pokusu o navštívení vašeho webu zobrazit upozornění „Chystáte se navštívit podvodné webové stránky“. Chcete-li zkontrolovat, zda nějaké stránky vašeho webu podezíráme ze sociálně inženýrských útoků, navštivte přehled Bezpečnostní problémy.

Otevřít formulář k nahlášení bezpečnostního problému

Přehled

Co je to sociální inženýrství?

Sociálně inženýrský útok se uživatele webu pokouší lstí přimět k tomu, aby na internetu provedl něco nebezpečného.

Existují různé typy sociálně inženýrských útoků:

  • Phishing: Web se pokouší přimět uživatele k odhalení osobních údajů (například hesel, telefonních čísel nebo čísel platebních karet). Obsah chováním nebo vzhledem napodobuje důvěryhodnou entitu, například prohlížeč, operační systém, banku nebo státní instituci.
  • Klamavý obsah: Obsah se uživatele pokouší přimět provést něco, co by udělal pouze u důvěryhodné entity, například sdílet heslo, zavolat technickou podporu nebo stáhnout software. Případně nepravdivě uvádí, že je software zařízení zastaralý, a může uživatele přimět k instalaci nechtěného softwaru.
  • Nedostatečně označené služby třetí strany: Služba třetí strany je subjekt, který provozuje web nebo službu v zastoupení jiného subjektu. Pokud vy (jako třetí strana) provozujete nějaký web v zastoupení jiného subjektu (první strana), aniž by tento vztah byl jasně vysvětlen, můžete být nahlášeni kvůli sociálnímu inženýrství. Např. pokud vy (jako první strana) provozujete web neziskové organizace, který používá web na správu darů (třetí strana), tento web musí být jasně označen jako platforma třetí strany působící jménem příslušné charitativní organizace, jinak může být považován za sociální inženýrství.

Bezpečné prohlížení Google chrání uživatele internetu pomocí upozornění na stránky, u kterých soustavně dochází k sociálnímu inženýrství.

Webové stránky jsou za sociální inženýrství považovány, pokud:

  • chováním nebo vzhledem napodobují důvěryhodnou entitu, jako je například uživatelské rozhraní vašeho vlastního zařízení, prohlížeč či web, nebo
  • se pokoušejí přimět vás provést něco, co byste udělali pouze u důvěryhodné entity, například zadat heslo, zavolat na číslo technické podpory nebo stáhnout software.

Sociální inženýrství ve vloženém obsahu

Sociálně inženýrský obsah může být vložen také v jinak bezproblémových webech, obvykle ve formě reklam. Vložený sociálně inženýrský obsah je považován za porušení zásad hostitelskou stránkou.

Někdy se vložený sociálně inženýrský obsah uživatelům zobrazuje na hostitelské stránce, jako v příkladech níže. V jiných případech hostitelský web žádné viditelné reklamy neobsahuje, ale přesměrovává uživatele na sociálně inženýrské stránky prostřednictvím vyskakovacích oken nebo jiných typů přesměrování. V obou případech je tento typ vloženého sociálně inženýrského obsahu považován za porušení zásad hostitelskou stránkou.

Já ale žádné sociální inženýrství neprovádím!

Klamavý sociálně inženýrský obsah může být zahrnut prostřednictvím zdrojů vložených na stránce, jako jsou obrázky, jiné součásti třetích stran nebo reklamy. Takový klamavý obsah může návštěvníky webu přimět ke stažení nechtěného softwaru

Kromě toho se může stát, že hackeři ovládnou nevinné weby a použijí je k hostování nebo distribuci sociálně inženýrského obsahu. Hacker může změnit obsah webu nebo na web přidat další stránky, obvykle s úmyslem přimět návštěvníky k poskytnutí osobních údajů, jako jsou čísla kreditních karet. Chcete-li si ověřit, zda váš web nebyl identifikován jako web, který hostuje nebo distribuuje sociálně inženýrský obsah, prohlédněte si ve službě Search Console přehled Bezpečnostní problémy.

Pokud se domníváte, že váš web napadli hackeři, prostudujte si naše stránky Pomoc pro webmastery napadených stránek.

Příklady porušení zásad ohledně sociálního inženýrství

Příklady klamavého obsahu

Příklady stránek, které používají sociálně inženýrské praktiky:

Social engineering popup that tries to make the user install an unwanted application.
Klamavé vyskakovací okno, které má uživatele přimět k instalaci malwaru.
Example of social engineering attempt claiming a browser update is required
Klamavé vyskakovací okno s tvrzením, že uživateli pomůže aktualizovat prohlížeč
Falešná přihlašovací stránka Google. Všimněte si podvržené adresy URL. Jiné phishingové weby se vás mohou pokusit přimět k zadání osobních údajů, jako jsou informace o platební kartě. Phishingový web může vypadat úplně stejně jako skutečný web, vždy proto kontrolujte adresní řádek – zda se zobrazuje správná adresa URL a zda začíná schématem https://.

Příklady klamavých reklam

Zde je několik příkladů klamavého obsahu vloženého v reklamách. Tyto reklamy nevypadají jako reklamy, ale jako součást rozhraní stránky.

Deceptive ad claiming to be a media player update on the page.
Klamavé vyskakovací okno s tvrzením, že software uživatele není aktuální
Deceptive ad claiming to be an installer for a required component.
Klamavé vyskakovací okno, které se vydává za zprávu od vývojáře FLV
Deceptive ads claiming to be playback controller buttons on the host page.
Reklamy, které se vydávají za tlačítka akcí na stránce

Odstranění problému

Pokud byl váš web označen za web se sociálně inženýrským obsahem, zajistěte, aby nepoužíval žádné z praktik popsaných výše, a poté postupujte takto:

  1. Zkontrolujte svůj web ve službě Search Console
    • Zkontrolujte, zda svůj web v Search Console vlastníte a zda k němu nebyli přidáni noví podezřelí vlastníci.
    • přehledu Bezpečnostní problémy zkontrolujte, zda váš web není uveden mezi weby s klamaným obsahem (tak se sociální inženýrství označuje v přehledech). Navštivte několik vzorových adres URL uvedených v přehledu. Použijte však počítač mimo síť, ze které je váš web distribuován. (Chytří hackeři své útoky mohou deaktivovat, pokud se domnívají, že návštěvníkem je webmaster.)
  2. Odstraňte klamavý obsah. Zajistěte, aby na žádné ze stránek vašeho webu nebyl klamavý obsah. Pokud jste přesvědčeni, že Bezpečné prohlížení váš web označilo omylem, nahlaste nám to zde.
  3. Zkontrolujte zdroje třetích stran zahrnuté na vašem webu. Zajistěte, aby žádné reklamy, obrázky ani jiné vložené zdroje třetích stran na stránkách vašeho webu nebyly klamavé.
    • Upozorňujeme, že reklamní sítě mohou reklamy zobrazované na stránkách vašeho webu střídat. Sociálně inženýrské reklamy se proto mohou zobrazit až po několikanásobném obnovení stránky.
    • Některé reklamy se mohou na mobilních zařízeních zobrazovat jinak než na počítačích. Pomocí nástroje Kontrola adresy URL si svůj web můžete prohlédnout jak v zobrazení pro mobily, tak v zobrazení pro počítače.
    • Projděte si níže uvedené pokyny pro všechny služby třetích stran, které na webu používáte (např. platební služby).
  4. Požádejte o kontrolu. Po odstranění veškerého sociálně inženýrského obsahu z webu můžete v přehledu Bezpečnostní problémy požádat o bezpečnostní kontrolu. Kontrola může zabrat několik dnů.

Pokyny pro služby třetích stran

Pokud na webu použijete službu třetí strany, musí splňovat následující kritéria, aby nebyla označena jako sociální inženýrství:

  • Web třetí strany musí na každé stránce jasně uvést značku třetí strany tak, aby uživatelé pochopili, kdo je provozovatelem webu. Například vložením značky třetí strany do horní části stránky.
  • Na každé stránce, která obsahuje značku první strany, jasně popište vztah mezi první a třetí stranou a uveďte odkaz na další informace.  Příklad prohlášení:

      Tato služba je hostována na webu Example.com v zastoupení organizace Example.charities.com. Další informace

Správné použití lze posoudit tak, že i uživatel, který si stránku prohlíží o samotě, musí po celou dobu vědět, na jakém webu se nachází a jaký je vztah mezi první a třetí stranou.

Doporučený postup: Pokud potřebujete, aby na vašem webu prováděla základní podporu třetí strana, doporučujeme pro tuto službu využít takovou třetí stranu, která splňuje oborové standardy. Například chcete-li na webu spravovat ověření uživatelů, neměli byste ověření spravovat sami, ale raději použít službu OAuth.
Pomohly vám tyto informace?
Jak bychom článek mohli vylepšit?