#3 Jaroslav Štuller: Cyber security – Podvod klepe na dveře

Téma cyber security je tak široké, že není možné ho pořádně pokrýt dvěma články. Smyslem prvního článku (Pohyb v digitálním prostoru) bylo shrnout rizika spojená s aktivním používáním internetu – vyhledáváním, tvorbou zákaznických účtů a vedením profilů na sociálních sítích. Druhý článek bude o případech, kdy za kybernetickou hrozbou člověk nemusí nikam chodit – přijde k němu sama.

Rozešli to dalším 20 známým!

Přeneste se v hlavě o 20 let nazpátek a otevřete svoji e-mailovou schránku. Po chvilce scrollování v ní určitě najdete řetězový e-mail, který na konci vybízí k rozeslání dalším X kontaktům. Pokud to uděláte, potkáte do týdne životní lásku, najdete práci snů a k tomu ještě zakopnete na chodníku o pytel zlata. V opačném případě vás čeká 10 let neštěstí. Věřte tomu nebo ne, podobné e-maily jsou pořád v oběhu. Obsahují zkreslené nebo rovnou lživé informace a jejich cílem je mystifikovat, manipulovat a mást. Asi už tušíte, kam mířím – řeč je o hoaxech.

Setkáváme se s nimi běžně. Nevyžádaný e-mail, který chce příjemce buďto pobavit, nebo zapůsobit na jeho city a vylákat darování peněz, případně vyvolat falešný poplach, který ho donutí ke spamování schránek dalších lidí. Hoax ale nemusí být jenom e-mail – říká se tak obecně i novinářským kachnám nebo fake news, kterými se snaží různé dezinformační weby napálit důvěřivé čtenáře.

V dnešní době jsou v šíření řetězových e-mailů poměrně hodně aktivní senioři, kteří dnes umějí zacházet s internetem a tvoří ideální cílovou skupinu. Pokud hoax dostanou od jednoho ze svých známých, je velká šance, že ho vezmou jako fakt a přepošlou ho dál svým známým. Obzvlášť pokud budou věřit, že jim tak můžou prospět.

„Jakmile se ocitnete v kritické situaci a musíte pod nátlakem vybrat peníze z bankovního automatu na požádání nebo přinuceni násilníkem, zadejte svůj PIN opačně: to je od konce – např. máte-li 1234, tak zadáte 4321, automat vám peníze přesto vydá, ale též současně přivolá policií, která vám přijde na pomoc. Tato zpráva byla před nedávnem vysílaná v TV, protože málo lidí využívalo tuto skutečnost, protože o tom nevěděli. Přepošlete toto co nejvíce lidem.“

Tato zpráva, kterou najdete (vedle mnoha dalších) na Hoax.cz, vypadá docela věrohodně, ale je to čistá fikce. Vznikla už v roce 2007 a o tom, že se jí stále dobře daří, svědčí různé zmínky ještě z loňska.

Co z hoaxů vlastně jejich autoři mají? V lepším případě „jen“ pobavení nad tím, jak dobře se e-mail ujal, nebo dokonce že se o něm mluví v médiích. V horším případě poplašné zprávy dezinformují, vyvolávají strach a prohlubují nedůvěru lidí vůči okolí nebo vůči státu. Hoaxy, stejně jako fake news, můžou taky šířit konspirační teorie a přímo podporovat určité politické stanovisko.

No alt text provided for this image

            Zdroj: Top ten za červenec na Hoax.cz

Jak je vidět, mezi „řetězáky“ se na předních místech pořád drží e-maily vytvořené několik let zpátky. Ale jsou samozřejmě takové, které se vezou na aktuálním dění. Hoax s recyklovaným mlékem je z těch starších – varuje se v něm před několikanásobnou pasterizací, která se dá poznat podle čísla vyraženého na spodní straně obalu – ale například ten s čipem v nose je aktuálně k tématu COVID-19, i když ilustrační foto je ve skutečnosti ze článku o nanotechnologiích z roku 2009.

Nejspíš si říkáte, že byste ničemu takovému nenaletěli. Možná ne řetězovým e-mailům – ale to neznamená, že neexistují sofistikovanější způsoby, jak vás elektronicky převézt.

Nahodíme udičku…

Phishing, jak vás asi samotné napadne, je obměna anglického slova „fishing“. U této praktiky jde opravdu o „rybaření“ uživatelských údajů prostřednictvím e-mailových kampaní. Častěji jsou rozesílané plošně na velké množství adres (získaných právě díky neopatrnému zacházení lidí s online účty a řetězovými e-maily), ale někdy jsou i zacílené na konkrétní osoby a společnosti. Pak je kampaň typicky i dobře promyšlená. Například pro firmu, která využívá cloudové služby Microsoftu – tedy Sharepoint, Teams a další nástroje – se může jednat o e-mail z Microsoft podpory, který vybízí k vytvoření nového hesla. Když je zpráva navíc personalizovaná pro daného příjemce, tak úspěšnost kampaně násobně stoupá.

No alt text provided for this image

Phishingový e-mail se snaží vzbudit pocit, že adresát nutně musí něco sehnat nebo ohledně něčeho urychleně jednat. Například varuje: „Platnost vašeho hesla vypršela, obnovte ho,“ nebo vám předává exekuční příkaz, který při neuhrazení vyhrožuje zabavením majetku. E-mail pak obsahuje odkaz na zavirovanou stránku nebo přílohu ve formátu .exe (normálně by to bylo maximálně PDF). Příjemce podlehne stresu, odkaz nebo přílohu rozklikne a neštěstí je na světě.

Phishing je čím dál zákeřnější. Nebezpečné může být i jenom kliknout na zprávu v e-mailové aplikaci a otevřít ji. Už ve chvíli, kdy se člověk dívá na předmět, by měl být obezřetný. Phishingový e-mail může totiž dokonce obsahovat i interaktivní pole kolem nějakého vizuálně zajímavého prvku v těle zprávy, na který adresát klikne mimoděk.

Když se na podvodný e-mail člověk podívá víc zblízka, zjistí nejspíš pár věcí. Přišel z divné adresy, jejíž doména nesedí se společností, od které se e-mail tváří, že je. Pokud nejde o dobře sestavenou phishingovou kampaň, tak taky text e-mailu nebude moc kvalitní a budou v něm hrubky, chyby a neohrabanosti.

No alt text provided for this image

Příklad phishingu ze support.zcu.cz

Když hackeři drží vaše data jako rukojmí

Existuje minimální procento případů, kdy je cílem podvodu někomu opravdu uškodit. Právě v souvislosti s pandemií se hovoří o několika případech hackerského útoku na nemocnice v Benešově, Brně nebo Ostravě, které na několik hodin nebo i dní vyřadily z provozu centrální databázi pacientů a znemožnily normální provoz (v případě Ostravy se povedlo útok odrazit).

U těchto útoků jde o ransomware – škodlivý program, který se usadí na pevném disku oběti, zašifruje ho, zablokuje k němu přístup a požaduje peníze jako „výkupné“. Většinou je zdrojem opět e-mail, infikovaná webová stránka nebo nelegální software. Obětí bývá celá organizace, ne jenom jedinec. Pokud výkupné nezaplatí, tak disk s důležitými informacemi a soubory zůstane zašifrovaný.

Proto jsou tolik důležité a doporučované zálohy dat. Když si organizace dělá pravidelné zálohy, může v této nezáviděníhodné situaci celý disk smazat včetně škodlivého kódu a obnovit data ze zálohy. Hackeři ovšem někdy data zacílené oběti zkopírují (technika zvaná doxing) a pokud nedojde k zaplacení výkupného, tak tyto soubory buď zveřejní, nebo prodají na darknetu.

Ransomware útoky jsou do velké míry náhodné a neřízené, ale některé typy institucí jsou přeci jen snadnější cíle, a to ze dvou důvodů. Jeden je ten, že disponují velkým množstvím osobních dat zaměstnanců či zákazníků nebo zajímavými zdrojovými kódy. Ochromení jejich provozu je velice nepříjemné a motivace vyhovět vyděračům je o to větší.

Garmin – jedna z čerstvých zpráv, která nedávno proběhla online prostorem, je napadení systémů firmy Garmin, která vyrábí chytré hodinky a navigační nástroje. Několik dnů jim kvůli malwarové nákaze nefungovaly webové stránky, mobilní aplikace a systémy pro zákaznickou podporu. Hackeři požadovali údajně 10 milionů dolarů. Vzhledem k tomu, že systémy Garminu 4 dny po začátku útoku prošly resetem, je téměř jisté, že společnost výkupné zaplatila.

Druhý důvod, proč jsou některé organizace snadnějším cílem, je, že často nemívají dostatečný rozpočet na kybernetickou ochranu. Jsou to např. školní instituce, vládní úřady, zdravotnická zařízení, dopravní podniky či HR oddělení velkých firem. Typy dat, kterých mají velké množství, jsou rodná čísla, čísla občanských průkazů a pasů, čísla bankovních účtů, lékařské záznamy a duševní vlastnictví.

Malware nebo ransomware se do firemní sítě ale nemusí dostat jen e-mailem. Lidé ho můžou přinést vlastnoručně, aniž by o tom věděli. Před vchodem do budovy ráno dostanou reklamní USB disk nebo USB větráček, který si dříve nebo později zapojí do počítače. I proto je potřeba provádět osvětu zaměstnanců.

Známý hacker Kevin Mitnick – autor knihy Social Engineering – primárně využíval psychologicko-behaviorální metody, aby našel slabé místo společnosti. Když se chtěl dostat k interním datům firmy, nevyvíjel 8 měsíců škodlivý software, ale oblékl se jako opravář, nechal se vpustit dovnitř, dostal se do serverovny a napíchnul tam USB, které mu okamžitě začalo odesílat citlivá firemní data.

Člověk je nejslabší článek

Čím víc je vše se vším propojené, čím více lidé v dnešní době přesouvají svoji pracovní aktivitu do digitálního prostoru, tím větší tlak je na ochranu jednotlivého uživatele i firem. Tím pádem ale bude bohužel vždy existovat někdo, kdo bude hledat zadní vrátka.

Chránit se dobře seřízeným antivirem i správnými IT procesy ve firmě je důležité, ale na prvním místě je a vždy bude osvěta zaměstnance.

Z knihy Social Engineering od Kevina Mitnicka si můžeme půjčit ještě jeden příklad. Hacker najde telefonní číslo ve velké korporaci: „Nazdar, tady Jaro z billingu. Jsem tady nový, ale určitě se ještě potkáme.“ (Korporát má 500 lidí, takže se určitě nepotkají) Za 2 týdny volá Jaro znovu: „Promiň že tě otravuju, ale vypadl mi systém, mohl by ses přihlásit a říct mi tyhle věci? Hledám kontakt na člověka…“ Příjemný hlas v telefonu je známý budí důvěru, takže požadovaná data snadno dostane.

Kritické uvažování je opravdu alfa i omega veškerého počínání na internetu. Ale někdy nás podvodná zpráva může dostat do situace, kdy emoce převládnou nad selským rozumem. Potom nezbývá než rychle snažit držet krok s napáchanými škodami a předejít horším problémům. Všichni jsme jenom lidé. A podobné incidenty se nám stanou jenom jednou.

Máte vlastní bezpečnostní pravidla, kterými se řídíte v online prostoru?

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Scroll to top