Sticky Password Blog

„Vážení klienti, v posledních dnech jsme zaznamenali případy pokusů o zneužití Vašich platebních karet. Důrazně Vás upozorňujeme, že e-mailové výzvy k vyzrazení vašich osobních údajů, čísla karty a dalších informací jsou falešné!“

Tuto nemilou zprávu se v srpnu dozvěděli všichni klienti UniCredit Bank. Právě na ně si totiž políčili internetoví podvodníci, kteří se pokusili z nicnetušících obětí vymámit klíč jejich bankovním účtům pomocí phishingu.

Model byl jednoduchý. Zloději rozeslali e-maily, v nichž vystupovali pod jménem kartové asociace. Adresáty těchto podvodných zpráv pak naváděli na pomyslné stránky asociace, kde měli oslovení klienti UniCredit Bank vyplnit nejrůznější údaje o jejich platební kartě. Nešťastníci, kteří tyto pokyny vyslechli, tak dali podvodníkům zelenou k vybílení jejich bankovních kont. A přesně tak vypadá jedna z nejrozšířenějších hackerských metod, tzv. phishing.

Principem phishingu je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho osobních nebo přístupových údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a může být k nerozeznání od té, kterou jste zvyklí běžně používat. O tom, že není vše zcela v pořádku, vám mohou napovědět například drobné grafické odchylky od normálu, na který jste zvyklí. A právě takových maličkostí je třeba si bedlivě všímat! Uvědomte si také, že bankovní instituce po Vás NIKDY nebudou chtít, abyste svá osobní data a hesla potvrzovali či aktualizovali prostřednictvím e-mailu a internetu.

Phishingový útok tedy lze odhalit a většinou k tomu stačí jen dostatečná dávka opatrnosti. Mnohem zákeřnější je však mladší bratříček phishingu zvaný pharmig. Díky této zdokonalené hackerské metodě můžete být na falešné stránky automaticky přesměrováni pokaždé, když do prohlížeče napíšete správnou URL adresu vaší banky, pojišťovny, apod. I pharmingovému ataku většinou předchází spamová zpráva ve vaší mailové schránce. Ta obsahuje virus, který do vašeho počítače nainstaluje sotva postřehnutelný program. Pak už jen stačí počkat, až do prohlížeče zadáte požadovanou adresu, a program vás přesměruje na stránky ziskuchtivých počítačových pirátů, aniž byste pojali jakékoliv podezření, že něco není v pořádku.

Ochránit vás může jednak kvalitní antivirus, který nedovolí viru proniknout do vašeho počítače, ale také například vhodný program pro správu hesel či jiný zabezpečující program, který vás při podezřelém přesměřování bude vždy varovat. Na co však žádný zodpovědný internetový uživatel poklidně surfující na vlnách kyberprostoru nikdy nesmí zapomínat, je zdravá míra obezřetnosti, mírné podezíravosti a především obyčejný zdravý rozum.

Z mírumilovně vyhlížející krásky Heidi Klum jste pravděpodobně nikdy strach neměli. Podle společnosti McAfee, která vyvíjí antivirový software, byste se však před touto modelkou měli mít na pozoru! Firma McAfee letos již pátým rokem vyhlásila žebříček nejnebezpečnějších celebrit internetu a právě Klum připadla první příčka.

Blonďatou Němku toto ocenění pravděpodobně příliš nepotěší, ale vybírat si nemůže. Při vyhledávání jejího jména na internetu mají fanoušci asi devítiprocentní šanci, že narazí na web, který šíří malware nebo se dopouští jiných podvodných aktivit. Hledáte fotky, videa nebo si chcete spravit oko spořičem obrazovky s Heidi ve spodním prádle? Skoro každý desátý odkaz, na který kliknete, bude chtít váš počítač nakazit virem, vylákat z vás peníze nebo vás jinak napálit!

Heidi Klum může být v podstatě pyšná. Její jméno vyhledává tolik lidí a její vzezření vypadá tak nevinně, že je pro kyberpiráty tou nejatraktivnější osobností mezi všemi známými tvářemi světa. Každý počítač infikovaný virem při stahování „hot pics of Heidi Klum“ znamená, že je o pomalu stárnoucí divu stále zájem. Jako spořádaná matka a správná modelka toužící po celosvětovém míru je ale Klum nejspíše rozhořčená a znechucená. O tom však můžeme jen polemizovat, protože se ke svému netradičnímu ocenění bohužel nevyjádřila.

A kterým dalším celebritám byste se (alespoň ve virtuálním světě) měli ještě vyhýbat? Podle McAfee jsou nejnebezpečnější tihle výtečníci:
1. Heidi Klum
2. Cameron Diaz
3. Piers Morgan
4. Jessica Biel
5. Katherine Heigl
6. Mila Kunis
7. Anna Paquin
8. Adriana Lima
9. Scarlett Johansson
10. Emma Stone, Brad Pitt a Rachel McAdams

Ještě před pár týdny mohli čeští školáci bezstarostně polehávat u vody, užívat si prázdnin u babičky, zažívat nejrůznější táborová dobrodružství. Čas je však neúprosný, a s podzimem tak přišel i nový školní rok. Návrat do lavic znamená pro tisíce českých školáků nejen brzké vstávání a nepříjemné zkoušení před tabulí. Téměř polovina z nich pozná, co je to kyberšikana.

Skutečně! Necelých padesát procent! Tolik školou povinných Čechů je podle výzkumu projektu E-Bezpečí vystaveno kyberšikaně. Musejí snášet jak nadávky a ponižování realizované prostřednictvím e-mailů nebo sociálních sítí, tak i vyhrožování, vydírání či útoky na jejich elektronické účty.

Právě cizí elektronická konta zneužívají nelítostní spolužáci ke kyberšikaně často a s oblibou. Mnoho dětí totiž nemá představu o citlivé povaze osobních údajů a o možnostech jejich zneužití. Podle výzkumu jsou celé dvě třetiny dotazovaných dětí dokonce ochotny sdílet své osobní údaje s lidmi, které znají pouze z virtuální komunikace realizované na internetu.

Sdílení osobních údajů a nejrůznějších hesel je přitom jedním z největších strašáků bezpečnosti na internetu. Příkladem může být událost ze základní školy na Klatovsku, kde se kyberšikany na spolužačce dopustily tři žačky 4. třídy. Dívka jim prozradila heslo, aby jí na profil oblíbené sociální sítě nahrály fotky, protože to sama neuměla. Spolužačky však na profil nahrály nelichotivé snímky a změnily údaje v profilu, přičemž užívaly velmi vulgární výrazy. Nakonec změnily heslo, takže spolužačka neměla šanci se svým profilem cokoliv dělat. Napadená dívka se nakonec svěřila učiteli a mladé útočnice byly potrestány dvojkami z chování. Bohužel, ne všechny případy kyberšikany končí happyendem. Pokud lze vůbec tento označit za příběh se šťastným koncem…

A jak tedy děti chránit před kyberšikanou? Stoprocentní bezpečí jim zajistit nemůžete, můžete je však poučit o tom, že:
• hesla k jejich internetovým účtům či PIN mobilního telefonu se v cizích rukách může stát zbraní
• osobní informace sdílí prostřednictvím internetu i přesto, že je nikomu přímo nesdělují
• vše, co uveřejní na sociálních sítích, jako je Facebook, Lidé či Líbímseti – ať už jde o fotku, datum narození či jméno domácího mazlíčka, na internetu zůstane i po vymazání těchto údajů
• všechny své účty musí chránit silným heslem, které je dostatečně dlouhé, složené z malých i velkých písmen a číslic
• používání jednoho hesla k více účtům není bezpečné

Vědět, jak snadno lze zneužít vše, co na sebe na internetu prozradíte, a jak si dávat na síti pozor, to je první a nejsnadnější část boje proti kyberšikaně. Nezapomínejte však, že bez vzájemné důvěry, zájmu a pozornosti zůstanete v tomhle boji jen na půli cesty…

Tak už to opět vypadá, že ani slavní nejsou nedotknutelní a mohou padnou za oběť hackerovi stejně jako kdokoliv z nás. Minulý týden se o tom přesvědčil moderátor Jan Kraus, který se s nepříjemnou zkušeností hrdě svěřil posluchačům radia Frekvence 1. Do jeho e-mailové schránky se naboural počítačový pirát a Krausovým jménem pak prosil o peníze přátele v jeho adresáři. Hacker hrál na city a použil klasický smutný příběh o tom, jak byl okraden v cizí zemi a teď, zoufalý a bez prostředků, vezme za vděk jakoukoliv finanční pomocí.

Spousta lidí se možná pobavila na Krausův účet – dostat takovou kuriozní SOS zprávu od jednoho z nejúspěšnějších moderátorů v zemi a představit si ho, chudáka, ztraceného ve velkém světě, jak prosebně vzhlíží třeba právě k vám a čeká na finanční injekci, to musí vyvolat minimálně úsměv. Naopak představa, že někdo nepozorovaně brouzdá seznamem vašich zpráv a může poslat cokoliv komukoliv, už zdaleka tak úsměvná není.

Ani Kraus se nesmál. Hlavně když mu bylo sděleno, že mu s jeho internetovými peripetiemi nepomohou žádné české zákony. E-mailový účet má totiž moderátor založený na světové síti, a jelikož vše nasvědčuje tomu, že útok byl vedený ze zahraničí, policie nemůže začít případ vyšetřovat.
Jediné, čím se může Kraus utěšovat, je velká pravděpodobnost, že nikdo z adresátů podvodného e-mailu mu svou pomocnou ruku nepodal. Zpráva přeložená do češtiny pomocí překladače totiž zněla tak krkolomě, že snad nikdo nemohl nepochybovat o její pravosti. Že by se ostrovtipný moderátor nezmohl na nic lepšího než: „Vzal jsem si tento víkend výlet do Edinburghu, Skotsku a byl napaden a okraden. Můj majetek, včetně své peníze, kreditní karty a mobilní telefony byly ukradeny. Prosím, dejte vědět, zda můžete pomoci.“? Zřejmě ne.

Krause tak nemuselo mrzet, že se někdo z jeho přátel chytil na lep a přišel o své peníze v dobré víře, že pomáhá národní celebritě. Pořádně ho však rozlítil fakt, že po hackerském útoku zůstala jeho schránka zcela prázdá – všechny e-maily byly vymazány.

Ať už ho máme rádi či ne, přičtěme nyní moderátorovi ke cti, že se o svůj nemilý zážitek podělil. Obrovské procento internetových uživatelů totiž podobným hrozbám nepřikládá velkou váhu a skutečné ohrožení v podstatě ani necítí. Pokud Kraus donutil alespoň hrstku posluchačů zbystřit, pak odvedl chvályhodnou práci. Nepříliš potěšujícím zjištěním je, že inkriminovaný mail byl hacknut i přesto, že byl podle Krausových slov chráněn silným jedenáctimístným heslem složeným z písmen i číslic. Co nám, potencionálním obětem všudypřítomných hackerů, zbývá jiného než používat hesla ještě ještě bezpečnější…

Zajímá vás hacking a chcete si vyzkoušet jeho základy? Máte mírné sklony ke špionáži v rámci své rodiny či pracoviště? Potřebujete nutně zkontrolovat e-mailovou korespondenci vašeho partnera, případně vybílit jeho tučné konto a zmizet třeba do Mexika? Tentokrát vám bez dlouhého zdržování rovnou naservírujeme několik rad, jak snadno a s vysokou úspěšností prolomit většinu hesel, pod kterými lidé střeží nejrůznější cennosti. „Dobrým nápadem je zkusit heslo v podobě data, protože spousta lidí má v oblibě je používat.“ Nebo: „Vžijte se do psychologie majitele sejfu a hádejte, jaké heslo by mohl zvolit.“ Anebo: „Sekretářka se často obává, že heslo zapomene, a je možné, že si ho poznamenala na jednom z následujících míst – na okraji zásuvky svého psacího stolu, na seznamu adres a telefonů…“

Ano, s totožnými radami (spolu s doporučením, že přesně takovýchto postupů byste se jako zodpovědní uživatelé měli vyvarovat) se v dnešním světě neustávajících kybernetických útoků setkáváte stále dokola. Napadlo by vás však, že zmíněné recepty pocházejí ze staré kasařské příručky, z níž při svých hrátkách s hesly čerpal jeden z nejpopulárnějších teoretických fyziků 20. století, Američan Richard Feynman? Krom jiných zájmů se tento vědec bavil dobýváním nedobytných sejfů a prolamováním jejich neprolomitelných hesel a své neuvěřitelné zážitky pak v osmdesátých letech shrnul v knize To snad nemyslíte vážně.

Otevírání trezorů se Feynman věnoval přímo na pracovišti – v Národní laboratoři Los Alamos, kde se pod číselnými zámky sejfů skrývaly například informace o postupu při výrobě atomové bomby. Takto jednoduše se hravý fyzik dostal k receptu na výrobu plutonia nebo k popisu postupu při čištění štěpného materiálu: „Zavřel jsem zásuvku, a když už jsem vycházel ze dveří, vzpomněl jsem si znovu na kasařské knížky: na druhém místě vyzkoušejte psychologickou metodu. Řekl jsem si: „Freddy de Hoffman je přesně ten typ, který by pro heslo sejfu zvolil matematickou konstantu.“ Vrátil jsem se k registračce a zkusil 27-18-28 – CVAK! Otevřela se! (Matematická konstanta po pí nejdůležitější je základ přirozených logaritmů e = 2,71828…) Zkusil jsem druhou registračku: 27-18-28 – CVAK! Otevřela se na stejné heslo. Pomyslel jsem si: To je úžasné! Otevřel jsem cestu k tajemství atomové pumy. Ale jestli mám někdy tuhle historku dávat k lepšímu, musím se ujistit, že všechny kombinace jsou opravdu stejné. Některé registratury stály ve vedlejší místnosti, zkusil jsem na jedné z nich 27-18-28, a otevřela se. Teď už jsem otevřel tři sejfy – a všechny stejně.“

Feynman snadno otevřel dalších šest zámků a v trezorech nechal vedle přísně utajovaných písemností i několik žertovných vzkazů. Konsternovaný Freddy de Hoffman následně zatoužil vyzkoušet bezpečnost skříněk některých dalších kolegů. Na co s Feynmanem přišli? Například významný fyzik Donald William Kerst chránil své výzkumy číselným heslem vycházejícím z data narození jeho dcery – klasika z kasařské příručky. Jistý nejmenovaný kapitán si pro změnu vyžádal obrovský moderní supersejf, na jehož zámku pak nechal kombinaci čísel nastavenou v továrně, ani se nenamáhal vymyslet si heslo. „Prošel jsem kanceláře v budově teoretické fyziky a zkusil ty dvě tovární kombinace: otevřel jsem každý pátý sejf,“ směje se ve svých pamětech Feynman.

Jeho historky jsou skutečně podány velmi úsměvně. Zamyslete se však nad možnými následky a úsměv vám rázem ztuhne. Hesla a systémy, které podobně citlivé informace chrání dnes, jsou oproti těm, o nichž píše Feynman, nesrovnatelně důmyslnější. Moderní „kasaři“ však drží krok a prolamují kódy CIA, NATO i amerického Kongresu. A co my, obyčejní počítačoví uživatelé, ke kterým se rady z oblasti bezpečnosti hesel valí všemi možnými kanály téměř denně? Stále nepoučitelně používáme datum narození potomka jako PIN do bankomatu a telefonu, jako heslo k e-mailu, Facebooku i internetovému bankovnictví a jako klíč k číselnému zámku na kufru či trezoru zároveň.

O shoulder surfingu se v souvislosti s virtuálními bezpečnostními hrozbami příliš nemluví. Přesto jde o jednu z nejjednodušších metod, jak se dostat k vašim osobním údajům, korespondenci či penězům. Lidé, kteří se rozhodnou využít metody shoulder surfingu neboli nahlížení přes rameno, totiž nemusí být vůbec žádní odborníci. Vyšpehovat, co se pod vašimi prsty odehrává na klávesnici počítače nebo bankomatu, to chce jen trochu zvýšenou pozornost a drobně snížený práh studu a morálky. A potencionální špióni se přitom pohybují všude kolem vás.
Klasickým příkladem využití shoulder surfingu je již zmíněné obkoukání PINu vaší kreditní karty. Zatímco si nicnetušící oběť vybírá z bankomatu hotovost, zloděj stojící za jejími zády nenápadně zachytí jednoduché čtyřčíslí, které chrání tisícové částky na peněžním účtu. Ukradnout kýženou kartu/peněženku/kabelku už není pro obyčejného pouličního chmatáka problém. U dalšího nejbližšího bankomatu se pak může zloděj radovat minimálně z částky představující váš denní limit pro výběr.

Shoulder surfeři se však nerekrutují jen z řad lupičů a kriminálníků – přes rameno se vám stejně tak může dívat i váš kolega, spolužák nebo kamarád. Jen si představte, kde všude vytahujete svůj laptop. Ve společné kanceláři, v kavárně, v knihovně, ve škole, při cestě vlakem či letadlem, všude tam dáváte svoje hesla pohodlně na odiv.

Nepříjemnosti vám však nemusí po odcizení vašeho hesla způsobit jen cizí ziskuchtiví záškodníci, ale například i vaši příbuzní. Chtěli byste snad, aby měla přístup k vaší e-mailové korespondenci nebo facebookovému účtu vaše drahá polovička, vaše děti nebo třeba rodiče? Takové špehování v rámci rodiny může způsobit značné nepříjemnosti, může být příčinou k hádkám, rozvodu a v temperamentnějších domácnostech občas zanechá i fatálnější následky.

Jako příklad nám může posloužit neopatrná manželka, která oplývala nejen sklony k záletnictví, ale i ostudnou nezodpovědností – svůj mail chránila trapným osmimístným heslem sestávajícím se z jejího jména a roku narození. Takové heslo zvládl žárlivý manžel odhalit i z druhé strany pokoje. Čtyři úhozy na alfabetické klávesnici, čtyři úhozy na klávesnici numerické, dvakrát přitom napsala písmeno A. Jak snadno se dovtípil, že heslo anna1973 představuje klíč k milostným dopisům, které v její elektronické poště záhy objevil! Horká hlava zuřícího paroháče a kuchyňský nůž ležící opodál byl pro nevěrnici smrtelným koktejlem. A když si odmyslíme možnost vyhnutí se vedlejšímu milostnému vztahu, stačilo jen vymyslet složitější bezpečné heslo nebo si pořídit program pro správu hesel, který by ji k e-mailovému účtu přihlásil automaticky po zadání jediného silného hesla, případně by jí nabídl využití virtuální klávesnice!!!

Minulý týden skončilo první kolo státních maturit. A opakovala se stejná situace jako u příležitosti jejich zahájení – hackeři opět pronikli na oficiální web zkoušek novamaturita.cz. Místo informací o novém formátu českých zkoušek dospělosti pak návštěvníci našli na stránkách pouze ironickou písničku nesoucí poselství: „Maturujte, je to sranda, zvládne to i vycvičená panda.“ Web byl nabourán, ministerstvo školství, Cermat i tvůrci maturitních stránek znemožněni a hackeři se mohli spokojeně poplácat po zádech a mít dobrý pocit z toho, jak opět vyzráli na chabé zabezpečení systému.

Další událost minulého týdne: Pětadvacetiletý muž napadl síť úřadu práce v Sokolově a převedl si na svůj účet téměř jeden milion korun. I o něm mluvily zpravodajské servery jako o hackerovi, zatímco ti „praví“ hackeři popuzeně nadávali. Takový amatér a zlodějíček si přece nemůže říkat hacker! I když se totiž označení „hacker“ v běžné mluvě vžilo pro kohokoliv, kdo skrze počítače pronikne tam, kam by něměl, onen sokolovský mladík je ve skutečnosti „cracker“.

Cracker využívá své znalosti informačních technologií především k vlastnímu obohacení, záškodnictví a ničení. Naproti tomu hacker chce v první řadě upozornit na bezpečnostní mezery a chyby v elektronických systémech často velice důležitých a rozsáhlých institucí a firem. A v nemalé míře jde samozřejmě také o výzvu a adrenalinovou aktivitu, která by se dala přirovnat třeba ke sportovnímu rybaření – nejde o to rybu zabít a rozkuchat, ale jen chytit, chvíli se pokochat a pustit ji zpět do vody.

Rozdílům mezi hackery a crackery se ve své knize „Jak se stát hackerem“ věnuje například americký programátor a spisovatel Eric Raymond. „Opravdoví hackeři považují většinou crackery za líné, nezodpovědné a nepříliš bystré a namítají, že schopnost nabourat ochranný systém nedělá z člověka hackera víc než schopnost ukrást auto dělá z člověka automechanika. Bohužel mnozí novináři a spisovatelé se nechali zmást a používají slovo „hacker“ pro popis crackera, což hackerům velice vadí. Hackeři věci vytvářejí, crackeři je ničí,“ vysvětluje Raymond.

Zářným hackerským příkladem poslední doby je skupina Lulz Security. LulzSec působí teprve od května, ale za tu krátkou dobu si stihla udělat celou řadu záviděníhodných zářezů. Stačí si přečíst několik zpravodajských titulků: „Útočníci odhalili návštěvníky pornowebu. Facebook okamžitě zareagoval“, „Bethesda hacknuta“, „Na webové stránky amerického Kongresu pronikli hackeři“, „Hackeři napadli stránky CIA, citlivé údaje prý nezískali“. Všechny články hovoří o úspěších LulzSec a všechny jsou jen z minulého týdne! Jestli ale LulzSec někdy spíše zlomyslně neškodí (například když zveřejňuje seznamy uživatelů pornwebu i s jejich e-maily a hesly), to je na pováženou. Hranice mezi hackerem a crackerem může být velice tenká…

Vynalézavost zlodějů identity nezná hranic, a tak nejrůznějších metod, jak zjistit a zneužít vaše osobní údaje, stále přibývá. Samozřejmě, je velmi těžké chránit se před technologicky sofistikovanými metodami, kterými v dnešní době vládnou mnozí znalci hackerského oboru. Není v silách běžného uživatele čelit hochům, kteří dokáží (s trochou nadsázky) nabourat systém Pentagonu. K ochraně před méně rafinovanými útoky však často stačí jen zapojit mozek.

Přímý přístup k informacím, to je asi ta nejprimitivnější metoda, jakou může potencionální zloděj identity použít. A možná nejtypyčtějším prostředím, kde může takový slídil směle operovat, je běžná kancelář, kterou sdílí více kolegů. Heslo pro přístup do počítače často září tlustě napsané na žlutém kancelářském papírku přímo nad monitorem, některým pracovníkům leží na stole list papíru s dalšími užitečnými hesly, zatímco jiní mají tyto údaje rafinovaně uložené v textovém souboru na ploše obrazovky. Byl by skoro hřích toho nevyužít, když všechny klíče k nejrůznějším osobním datům nabízíte jako na stříbrném podnose – to si alespoň může si říct leckterý kolega s méně vyvinutým smyslem pro poctivost.
» Celý článek…

Přestože na nás noviny, rádio i televizní zpravodajstí každý den chrlí desítky zpráv o tom, co všechno se může stát v dnešním „zkaženém světě“, kde na každém rohu číhá nebezpečí, lidé jsou chamtiví a neohleduplní a každý chce okrást každého, zdá se, že důvěřivost a idealismus stále neztrácíme. Jak jinak si vysvětlit nemalé úspěchy, které každodenně slaví sociální inženýři – lidé, kteří využívají lidskou neopatrnost, bezelstnost a ochotu při honbě za vlastním ziskem?

Takový sociální inženýr ke své činnosti rozhodně nepotřebuje vystudovat vysokou školu a klidně jím může být někdo ve vašem blízkém okolí. Nedávno jsem narazila na příběh o americké důchodkyni, kterou pravidelně okrádala její starostlivá pečovatelka. S využitím osobních údajů asi pětasedmdesátileté stařenky založila bankovní účet, ze kterého potom čerpala peníze tak dlouho, dokud nicnetušící oběť nekontaktovala banka a nepožadovala po ní zplacení několikatisícového debetu. Nutno dodat, že nejde o nijak ojedinělý případ.

A jaké metody tedy zloději identity těžící přímo z lidské povahy využívají?

Baiting

Tato metoda využívá lidské zvědavosti a dala by se označit za obdobu trojského koně v reálném světě. Útočník zanechá CD, flashdisk či jiné paměťové médium předem infikované malwarem na nějakém frekventovaném místě (třeba na chodbě firmy, na parkovišti, ve výtahu, atp.). Je téměř jisté, že nálezce podlehne zvědavosti a vloží médium do svého počítače. Následná automatická instalace viru pak útočníkovi otevře přístup do napadeného PC, případně do celé firemní sítě.

„Něco za něco“

I se zloději citlivých dat se hned spolupracuje lépe, když z toho kouká nějaká lákavá odměna. Odborníci sociálního inženýrství dobře ví, jak zahrát na notu lidské chamtivosti, chtivosti a vidiny snadného zisku, a proto slibují všechno možné. Jde například o reklamní telefonáty oznamující vylosování finanční výhry, kterou získáte po sdělení vašich osobních údajů na konkrétním telefonním čísle. Může jít i o e-maily, ve kterých vás africký magnát prosí o pomoc s převodem jeho zablokovaných peněz do vaší banky, samozřejmě s příslibem tučného podílu. „Něco za něco“ může zahrnovat i techniku, kdy útočník náhodně vytáčí čísla společností a představí se jako pracovník technické podpory. Existuje šance, že útočník nalezne nespokojeného zaměstnance s problémem, kterému se pokusí po telefonu pomoci. Na oplátku požádá oběť o instalaci infikovaného programu nebo zvolenou akci ve firemním informačním systému.

Osobní známost

Podezírat každého známého z nekalých úmyslů by bylo jistě paranoidní, není však od věci dávat si pozor na některé z lidí, které si pouštíme k tělu. Tato přímá metoda zcizování osobních údajů k dalšímu využití je časově náročnější, protože vyžaduje trpělivé získávání důvěry potencionální oběti. O to lepší však bývá výsledný efekt. Jen se zkuste zamyslet nad tím, co všechno svěřujete svému spolubydlícímu, novému kolegovi z práce nebo milé paní na úklid.

Vykličkovat ze spleti nástrah, které nám sociální inženýři staví do cesty, může být občas náročné. Počet útoků rozhodně neklesá a objem ukradených informací už vůbec ne! Snad se nám bude nyní alespoň bojovat o něco lépe, když už známe nepřítele.

Také právě prožíváte hokejové šílenství a fandíte našim na bratislavském šampionátu? Nebo dokonce sledujete soupisky hrajících týmů a výsledky v jednotlivých skupinách? Já, coby věrný fanoušek Hadamczikovy party, tedy ano! A jelikož jsem v sobě tu správnou hokejovou atmosféru chtěla navnadit už před začátkem letošního mistrovství světa, vyhledala jsem na Googlu relevantně vyhlížející webovou stránku www.ms2011.cz a začala hledat kýžené informace. Záhy jsem ovšem zjistila, že dokud se nezúčastním jakési soutěže o televizi, tzn. nevyplním registrační formulář s osobními údaji a neodsouhlasím podmínky, k žádným hokejovým zajímavostem se nedostanu. Spíše z lenosti než z podezíravosti jsem tedy okno zavřela a našla si stránky jiné.

Jaké pak bylo moje překvapení, když jsem o den později zaslechla v televizním zpravodajství varování před podvodnými weby, které využívají zuřící hokejovou horečku k okrádání nicnetušících uživatelů! Jistě, všichni si mohou vesele zasoutěžit, ale zavazují se přitom k uhrazení registračního poplatku ve výši padesáti Eur. Uf, tak protentokrát jsem podvodníkům proklouzla! Mnoho jiných lidí však naopak uvízlo v síti mazaných sociálních inženýrů.

Právě falešné hokejové weby lákající na zajímavé výhry jsou klasickou ukázkou sociálního inženýrství – způsobu získávání důvěrných informací pomocí psychologické manipulace. Podvodníci sázejí na lidskou důvěřivost, neopatrnost, štědrost, nebo naopak chamtivost. Využívají přitom nejen internetu, ale i telefonátů nebo ososbního kontaktu. Představme si nyní některé z nejčastěji využívaných metod.

Pretexting

Získat nejrůznější citlivé údaje po telefonu se může zdát na první pohled dost nesnadné, ale s dostatečnou dávkou přesvědčivosti, hereckého talentu a umění improvizace to nemusí být takový problém. A právě pretexting partří k metodám sociálního inženýrství, které se uskutečňují většinou telefonicky. Jde o praktiku, při které se podvodník prezentuje jako někdo jiný s cílem získat jeho osobní údaje. Přitom si dopředu zjistí některé dílčí informace o oběti, jako třeba jeho datum narození, jméno za svobodna či adresu (což není v dnešní době sociálních sítí velký problém). Použití těchto informací ve správný okamžik vzbudí dojem legitimnosti celé akce. Příkladem může být telefonát do banky, která si totožnost zákazníka ověří dotazem na jeho rodné číslo. Na to je však útočník připraven, správný údaj bankovnímu zřízenci sebevědomě nadiktuje a pak už mu nic nebrání ve zjišťování dalších citlivých dat, jako jsou přístupová hesla k účtům nebo stav konta.

Phishing

O internetovém phishingu již byla řeč v minulém příspěvku. Existuje však i phishing telefonický, který funguje na bázi hlasového automatu. Oběť nejdříve dostane e-mail, která ji vyzývá k zavolání do banky (samozřejmě na falešné telefonní číslo) za účelem ověření nějaké informace. Zde je požadován PIN či heslo – a vaše přihlašovací údaje jsou venku, aniž byste stačili pojmout jakékoliv podezření. Některé automaty následně spojí oběť s útočníkem vystupujícím v roli telefonního bankovního poradce, což mu umožňuje další dotazování.

„Důvěřuj, ale prověřuj,“ dalo by se říct na závěr. V neprůhledné sféře e-mailů a telefonátů od neznámých lidí však není důvěra příliš na místě. Rada tedy zní: Prověřujte, pátrejte, přemýšlejte a komplikujte sociálním inženýrům jejich práci, jak je to jen možné! A o dalších metodách sociálního inženýrství čtěte příště.