Lekce 14 - Kybernetické útoky zaměřené na odcizení citlivých údajů

V předchozí lekci, Zásady bezpečnosti při práci s maily a webovými stránkami, jsme se dozvěděli, jak chránit přenášená data v případě emailu nebo webových stránek a jak si ověřit, zda tímto způsobem doručené informace jsou opravdu autentické.

V dnešním tutoriálu kyberbezpečnosti si popíšeme kybernetické útoky, při kterých dochází k odcizení citlivých (důvěrných) údajů. Mezi takové údaje můžeme zařadit například rodné číslo, datum narození, adresu trvalého bydliště, PIN k bankovní kartě nebo přístupová hesla do internetového bankovnictví. Tyto informace může pak následně útočník zneužít.

Kybernetické útoky spojené s odcizením dat

Existuje hned několik způsobů, jakými se útočníci pokouší získat naše důvěrné údaje. Mezi ně patří zejména různé formy phisingu a pharming. Jako příklad si uvedeme pokusy o získání údajů k našemu internetovému bankovnictví, protože se s tím setká v dnešní době již téměř každý. Na konkrétních příkladech také dobře uvidíme, jak tyto kybernetický útoky fungují.

Základními znaky dnešních kybernetických útoků je většinou špatná čeština.

Phishing

Název phishing vznikl jako slovní hříčka z anglického slova fishing (rybolov). Je příkladem tzv. sociálního inženýrství, které slouží k oklamání uživatelů nejen na internetu. Jedná se o podvodné jednání, při němž se útočníci snaží vylákat od své oběti soukromé informace (důvěrná data) nebo spustit na zařízení oběti škodlivý kód.

Klasický phishing probíhá pomocí e-mailové komunikace. Útočník nám zašle e-mail, který se tváří, jako by přišel od nějaké známé instituce. V našem případě tedy dostaneme e-mail podobný těm, co nám posílá naše banka. Tento e-mail obsahuje odkaz na falešnou webovou stránku internetového bankovnictví, která vzhledově vypadá úplně stejně, jako originál. URL adresa je však odlišná. Pokud zde zadáme své přihlašovací údaje, pošleme je přímo útočníkovi a poskytneme mu tak přístup ke svým úsporám.

Praktický případ phishingu

Ukažme si nyní, jak vše probíhá konkrétně v praxi.

Příklad e-mailu a falešné webové stránky je vymyšlený.

Svůj bankovní účet máme u Raiffeisenbank a jednoho dne dostaneme následující e-mail:

Jedná se zde samozřejmě o phishingový útok. V e-mailu jsou vidět dva pochybné znaky, které nám ho mohou pomoci odhalit:

• Prvním je e-mailová adresa, ze které tento e-mail přišel. Na obrázku je označená žlutým obdélníkem. Je velmi nepravděpodobné, že by banka měla ve své e-mailové adrese text raiffka, když její celé jméno je Raiffeisenbank.
• Druhým znakem je odkaz v e-mailu, přes který se máme přihlásit do internetového bankovnictví. Na obrázku je označen modrým obdélníkem. Již víme z předchozích lekcí, že stránky, kam budeme zadávat důvěrné informace, nikdy z odkazu neotvíráme.

Pojďme ale nyní toto pravidlo porušit a ukázat si, co se stane, když na uvedený odkaz klikneme. V nové záložce se nám otevře následující stránka:

Na tomto snímku je již jasné, že se jedná o phishing. Podvržená stránka totiž využívá HTTP protokol, který je nešifrovaný. Proto je v adresním řádku, přeškrtnutá ikona zámečku. To ovšem nemusí být pravidlem. I kdyby se nám zobrazil zelený zámeček, musíme ještě zkontrolovat celou URL adresu. V našem případě bychom tedy měli zpozornět, pokud je v adresním řádku, který je označený červeným obdélníkem, na konci /plugin9832641065.

Opravdové stránky internetového bankovnictví Raiffeisenbank pak vypadají takto:

Kdybychom se ještě potřebovali ujistit, že nejde o podařenější podvrh, klikneme na ikonu zámečku a zkontrolujeme certifikát stránky.

Další typy phishingových útoků

Známe několik dalších typů phishingových útoků, které neprobíhají prostřednictvím e-mailu. Pojďme si je v krátkosti popsat.

Vishing

U vishingu se snaží útočník z oběti vylákat citlivé údaje po telefonu.

Takový hovor většinou probíhá buď v brzkých ranních, nebo pozdních večerních hodinách, kdy jsme často unavení a méně se soustředíme.

Zazvoní nám telefon a představí se nám zaměstnanec banky, u které máme účet. Je to však falešný bankéř (útočník). Díky moderním technologiím si útočník dokáže změnit telefonní číslo tak, aby útok vypadal věrohodněji. Falešný bankéř nám oznámí, že z našeho bankovního účtu někdo odcizil větší obnos peněz. Vyžádá si od nás údaje o naší kreditní kartě, aby ji mohl zablokovat, někdy dokonce i její PIN. V žádném případě proto nebudeme nikomu po telefonu sdělovat jakékoli informace týkající se našeho bankovního účtu.

Smishing

Smishing probíhá také po telefonu, ale k získání citlivých dat využívá textové zprávy.

Tentokrát tedy dostaneme z naší banky SMS. V ní nám oznámí, že náš účet byl napaden. Pro zablokování karty máme kliknout na odkaz, který je součástí zprávy a přihlásit se do svého internetového bankovnictví. Bohužel se ale opět jedná o falešnou webovou stránku a po zadání přihlašovacích údajů se k těmto datům dostane útočník. Jak už víme, zfalšovat telefonní číslo, aby se tvářilo jako číslo banky, není pro útočníka žádný problém.

Mějme tedy na paměti, že stránky našeho internetového bankovnictví neotvíráme ani z odkazu v e-mailu ani z obdržené SMS. V případě pochybností raději zavoláme přímo do banky a informace ze obdržené SMS takto prověříme.

Spear phishing

Spear phishing je specifickým phishingovým útokem, při němž si útočník nejprve získává potřebné informace o svých obětech. Nejčastěji se tento útok praktikuje na firmy.

Příkladem takového útoku může být e-mail s upomínkou k zaplacení dlužné částky. Ten je adresován přímo sekretářce firmy a odeslán nejlépe na konci zdaňovacího období. Je velmi pravděpodobné, že si sekretářka daný problém ve firmě neprověří a raději dlužnou částku zaplatí.

Dalším příkladem může být pohozený flash disk či jiné paměťové médium v blízkosti firmy. To některý ze zaměstnanců najde a bude ho chtít vrátit majiteli. Pokusí se ho tedy připojit k firemnímu počítači, aby zjistil, co se na něm nachází. Spustí tak škodlivý kód, který na něj útočník nahrál a způsobí firmě velké nepříjemnosti.

Pharming

Pharming je více sofistikovaným kybernetickým útokem. Od phishingu se liší tím, že se útočník snaží napadnout DNS server a přepsat IP adresu. Po zadání URL adresy internetového bankovnictví jsme opět přesměrováni na falešnou webovou stránku internetového bankovnictví. Proto je i v takovém případě nutné kontrolovat URL adresu stránek, které navštěvujeme. Často v nich útočníci pozmění jen malý detail.

Platí, že navštěvujeme jen webové stránky, které používají šifrovaný protokol HTTPS. Vyplatí se nám, když v aplikacích pracujících s citlivými daty zapneme vícefaktorové ověření. K přihlašování do internetového bankovnictví a práci s citlivými daty obecně dále nebudeme používat veřejné Wi-Fi sítě.

Podvodné webové stránky

V dnešní době se na internetu nachází řada e-shopů, které nabízejí produkty za výhodnou cenu, někdy i zdarma. Mezi nimi nalezneme i různé podvodné webové stránky, jejichž prostřednictvím se útočník snaží od své oběti vylákat citlivé údaje nebo dokonce finanční obnos. Jak již dobře víme, nemusí se jednat jenom e-shopy, ale i o falešné webové stránky s internetovým bankovnictvím.

Dávejme si proto pozor na to, jaké webové stránky navštěvujeme. V případě nakupovaní on-line od neznámého prodejce si raději nejdřív přečtěme recenze na daný e-shop. Pokud je to možné, zboží zaplatíme až při převzetí a zkontrolování, zda je v pořádku.

Odcizení identity

Posledním kybernetickým útokem, který si dnes zmíníme je tzv. krádež identity. Tento kybernetický útok může probíhat mnoha způsoby.

Útočník si například na sociálních sítích jako je Facebook nebo Instagram vytipuje svoji oběť. Poté se s ní "skamarádí" a snaží se získat o ní co nejvíce citlivých informací. Pokud se mu podaří nasbírat velké množství citlivých údajů, může se například pokusit danou oběť vydírat.

V další lekci, Bezpečnost pracovního prostoru - Hrozby a útoky, si představíme možnosti špionážní techniky pro získání citlivých dat. Ty jsou ve většině případů založeny na proniknutí do našeho soukromého prostoru.