Při phishingovém útoku se obvykle podvodník snaží přimět svou oběť k návštěvě podvržené stránky, tzv. návnady, za účelem získání důvěrných informací (např. hesla). Neobvykle dlouhá URL adresa může být znamením takového útoku. Na grafu můžete vidět porovnání délky bezpečných a phishingových adres. Z grafu je patrné, že běžné URL adresy obvykle obsahují 20 až 44 znaků. Adresy delší než 44 znaků mohou indikovat phishingový útok. V průměru byly odkazy nebezpečných domén o 80 % delší než ty bezpečné. U neobvykle dlouhých adres je tedy důležité být více na pozoru a zkontrolovat si i další indikátory, které jsou popsané níže.
Identifikovat takové odkazy bývá problematické na smartphonech a tabletech, kde moderní webové prohlížeče zkracují URL adresy pro elegantnější design. Uživatelé by tedy měli i na mobilních telefonech využívat vyšší úrovně ochrany, zejména vzhledem k nárůstu používání národních znaků ve phishingových adresách. Taková adresa se prezentuje jako známá značka například Starbucks, ovšem do adresy je přidán znak připomínající tvarem běžné písmeno naší abecedy. Výsledná podvodná adresa pak může být například ve tvaru: starɓucks.com.
Sobota jako stvořená pro phishing
Počet požadavků na phishingové domény, jak můžeme vidět na grafu č. 2, který zobrazuje výskyt zachycených phishingových domén v jednotlivých dnech v týdnu, je vcelku konstantní. Jediný den, o kterém se dá mluvit jako o relativně klidném, je pondělí. Nejvíce kritická je z pohledu phishingu sobota. Společně s daty ze srpnového reportu, ze kterého vyplývá, že uživatelé nejčastěji reagují na phishingové odkazy mezi 20. a 22. hodinou, je i zde možné pozorovat trend, kdy jsou uživatelé nejvíce náchylní k útoku mimo pracovní dobu, když jsou v „uvolněné” náladě.
Pět indikátorů phishingu podle URL adresy
Pomocí umělé inteligence MI:RIAM, která denně zpracovává přes miliardu vstupů, byly zanalyzovány i jiné faktory URL adres (mimo jejich délku). Toto jsou nejkritičtější indikátory phishingu nalezené pomocí MI:RIAM:
1) Při napodobování známé značky (např. starɓucks.com), má taková URL 1 310× větší pravděpodobnost, že jde o phishingovou adresu než o bezpečnou.
2) V případech, kdy se v URL adrese vyskytují slova s významem jako účet, podpora nebo ověření, je u odkazu 3,9× větší pravděpodobnost, že jde o phishing.
3) Pokud jakákoliv část URL postrádá přirozenost, například místo slov a jmen je použita kombinace znaků a číslic, tak je u odkazu 4,1× vyšší pravděpodobnost, že jde o phishing.
4) Když jednotlivé části a jejich řazení neodpovídají obvyklému výskytu, např. adresa facebook.com není v tomto případě na konci: facebook.com_______verifyme______acc.worldofsteroid.com, je 2,2× větší pravděpodobnost phishingu než u běžné.
5) Při výskytu málo používané domény je 3,7× větší pravděpodobnost, že jde o phishing. Například u této url byla použita neobvyklá doména .top: amazon.co.uk.sh320rncspf.top.
