Pozor, na co klikáte, internetoví šmejdi řádí stále více. Hlídejte si také vaši digitální stopu a nenaleťte na podvodné populární aplikace
V on-line prostředí teď žijeme více než kdy jindy, což nevyhnutelně vede i ke zvýšení počtu kybernetických útoků, které se od loňského jara ve velké míře zaměřily na koncové uživatele. Jejich počet meziročně vzrostl podle údajů Kaspersky o 175 %. Na co bychom si tedy měli dávat nyní, kdy trávíme mnoho času v on-line světě, největší pozor?
Podvodné maily spojené s nakupováním či převzetím zásilky
V současné situaci nám nezbývá nic jiného, než řadu věcí nakupovat on-line. A to nahrává i těm, kteří se nás snaží v kybernetickém prostoru o něco oloupit. Nejčastěji jde o maily, které se tváří jako od známých obchodů nebo přepravních služeb.
„V době, kdy většina lidí očekává doručení několika zásilek, je tento způsob útoků velmi úspěšný. Většinou jde o maily, které se tváří jako by byly poslané poštou, zásilkovou službou nebo prodejcem. Ty většinou adresáta přesměrují na podvodnou stránku a nainstalují mu do počítače nevítaný program nebo přímo požadují zaplacení nějaké menší částky, většinou jako manipulační poplatek,“ vysvětluje Viktor Houška z BNP Paribas Cardif. „Tyto maily se ale při troše snahy dají poznat – podle zvláštní adresy odesílatele, v českém prostředí pomáhá i to, že podvodné maily často nejsou korektně česky.“
Neobvyklé zprávy od zaměstnavatele
Hromadný home-office nabízí útočníkům i další možnost – zneužít mail, který napodobuje zprávy pracovního charakteru. Například dotazník zaslaný HR oddělením, výzva k dobrovolnému testování nového interního systému nebo pokyny od IT specialisty, jak si nainstalovat nějakou užitečnou pomůcku, to vše může být zamaskovaný pokus o průnik do firemního systému, instalaci škodlivého softwaru nebo zašifrování dat.
„I když se situace ve firmách rychle zlepšuje, stále narážíme na takové, které nemají správně nastavená bezpečnostní opatření. Bohužel často bývají největším problémem samotní zaměstnanci, kteří nastavené politiky nedodržují a nemají základní návyky bezpečného chování v kybernetickém světě,“ konstatuje Michal Merta z Cyber Fusion centra Accenture. „K úspěšnému útoku se dá zneužít i nevinně se tvářící excelový soubor nebo on-line dotazník, proto je třeba nastavit pravidla tak, aby všechny změny vyžadující aktivní zapojení jednotlivých uživatelů firmy komunikovaly dopředu a zaměstnanci neklikali na nic, co jim nepřijde ze známých zdrojů. V případě podezření či pochybností by si měl zaměstnanec raději ověřit, zda má opravdu vyplnit excelovou tabulku s dotazem na čerpání dovolené či na preferované benefity, pokud zpráva nepřišla od kolegů z HR oddělení.“
Hazard s hesly
Kromě nevědomosti a neznalosti hromadné útoky zneužívají další obvyklé nešvary – laxnost a lenost. Ty se projevují v první řadě v tom, jak zacházíme s hesly. O tom svědčí po léta opakovaní favorité v žebříčku nejpoužívanějších hesel, jako jsou „password“, „12345“, případně různé variace jmen a dat narození. Volba silného hesla unikátního pro každou službu může být ale pro běžné uživatele náročná, proto odborníci radí využívat tzv. správce hesel integrované v operačním systému nebo jako externí aplikace (např. 1Password nebo LastPass).
„Bezpečné přihlášení do systémů, kde může mít zneužití přihlašovacích údajů závažné důsledky, pomáhají ve stále větší míře zajistit i pokročilé mechanismy a technologie. Jedním z příkladů je Bankovní identita, která nabízí také přihlášení metodou OpenID, a to i do nebankovních systémů. Navíc je zde ověřena zaručeným způsobem identita uživatele, hodí se tedy i pro přihlášení do systémů, kde probíhají důležité právní úkony. Příkladem je řešení DigiSign, které nabízí jednoduchý podpis smluv, předávacích protokolů, objednávek a dalších závazných dokumentů kompletně digitální formou,“ říká Ondřej Říha ze společnosti Digital Solutions.
Zanechání digitální stopy
Snadno zneužitelná je lhostejnost většiny lidí k tomu, jakou zanechávají digitální stopu. Málokdo si uklízí na disku, natož pak nějak řeší to, že nepoužívá řadu účtů a služeb, do nichž je zaregistrovaný.
„Jednou za čas je zdravé projít si účty a služby, do nichž jste zaregistrovaní a zbavit se těch, které již nepoužíváte. Téměř každý postupně nabaluje řadu registrací do sociálních sítí, on-line služeb a her, internetových obchodů, také má několik e-mailových účtů. Mnohé z nich přestane používat, ale registrace do nich zachová, často i se zapamatováním těchto údajů v paměti svého počítače nebo v cloudové aplikaci. To zvyšuje pravděpodobnost toho, že některé z jeho oblíbených hesel bude někde prolomeno. Pozor byste měli dávat i na e-maily, které vyžadují resetování hesla,“ říká Ondřej Ševeček, odborník na bezpečnost z Počítačové školy GOPAS.
Pozor na aplikace
Se svými mobilními telefony teď trávíme mnohem více času než dříve, roste také počet stahovaných aplikací. Ty ale nemusejí být bezpečné, ani když je pořizujete z oficiálních zdrojů, každý měsíc se najde třeba i na Google Play několik podvodných aplikací. Například v lednu se hned tři takové dostaly do desítky nejstahovanějších. Šlo o aplikace Sweet Snap Face Cam pro úpravy fotografií a videí, 4K Retina WallPaper s nabídkou lákavých tapet a Live Earth Map HD. Všechny tři aplikace požadují povolení odesílat zprávy a po odsouhlasení se snaží posílat placené SMS.
Problematické bývají nejčastěji aplikace zábavního charakteru poskytované zdarma, u nichž lze očekávat velký zájem uživatelů. Zejména různé hry, aplikace pro zábavné úpravy fotek a videí, nebo užitečné utilitky jako byla proslulá svítilna. Ostražitost je na místě i při využívání různých seznamovacích aplikací typu Tinder nebo sociálních sítí, které o uživatelích shromažďují a agregují velké množství informací. Útočníci jsou vynalézaví a jedinou možnou obranou je vždy zvážit, zda danou aplikaci opravdu potřebuji, co jí musím povolit, stahovat ji z oficiálních zdrojů, ale i tak pročítat recenze. A neinstalovat nic, u čeho panuje podezření z podvodných funkcí.
„Proti mnoha kybernetickým rizikům je možné se také pojistit. Například pro případ zneužití karetních údajů na internetu, zneužití internetového bankovnictví, krádeže identity nebo pro případ poškození při nákupu zboží na internetu,“ uzavírá Viktor Houška z BNP Paribas Cardif.
