Takhle snadno vám hackeři vyluxují účty. „Nikdy nikam neukládejte své údaje,“ varuje kybernetický expert

V poslední době se často mluví o různých kybernetických hrozbách, jeden z posledních známých útoků je například útok na uživatele audioportálu a mobilní aplikace mujRozhlas. Roste také počet podvodů s QR kódy. Společnosti zabývající se kybernetickými hrozbami nedávno upozornily na narůstající útoky.

Například společnost Kaspersky odhalila, že během období slevové akce Black Friday proběhlo více než 13 milionů phishingových útoků spojených s e-shopy. Podvodníci především napodobovali populární tržiště a luxusní značky.

Na podobný problém upozornila i společnost BlackBerry ve své zprávě o globálních hrozbách, kdy se ukázalo, že počty případů nových malware útoků narostly o 70 procent. Nejčastěji byli pod útokem odvětví finančních služeb a zdravotnictví.

Kyberpodvodníci připravili manžele o úspory na důchod: Letos už si přišli na miliardu, varují odborníci

„Většina zemí, včetně České republiky, se potýká s podobnými typy hackerských útoků – to může zahrnovat různé druhy phishingu, ransomware, DDoS útoky a další. Útoky se mohou zaměřit na různé cíle, včetně vládních organizací, firem, ale i jednotlivců. Mohou být také různě motivované – ať už je to nějaký finanční zisk, touha po zviditelnění, vyvolání neklidu či paniky,“ řekla Blesk Zprávám tisková mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Eva Rajlichová.

Za těmito útoky pak stojí hackeři. „Hackerem se rozumí osoba, která detailně zná systémy, které ji zajímají, a je velmi zručná v jejich ovládání. V pop kultuře se většinou práce hackera vztahuje k informačním systémům, ale nemusí to být nutně jenom ony. Hackeři existují napříč lidskou populací a mají různé motivace ke svému konání. Řada těch nejlepších pracuje v oblasti bezpečnosti státu a pomáhají chránit jeho kyberprostor. Některé státy pak zneužívají expertních znalostí hackerů k útokům proti jiným státům či organizacím,“ sdělil Blesk Zprávám kybernetický expert Ing. Jaroslav Burčík, Ph.D., LL.M. z Centra pro kybernetickou bezpečnost Českého vysokého učení technického v Praze (ČVUT).

Podle odborníků společnosti Kaspersky je phishing oblíbenou taktikou kyberzločinců usilujících o finanční prospěch. V prvních deseti měsících roku 2023 společnost Kaspersky identifikovala 30 803 840 phishingových útoků zaměřených na online nakupování, platební systémy a bankovní instituce.

„Za nejčastější kybernetické útoky na uživatele v České republice jsou považovány různé phishingové kampaně,“ potvrdil Burčík. „Ty mají za cíl získat citlivé informace uživatelů, a to nejčastěji prostřednictvím podvodných emailů či telefonních hovorů. Dále pak různé typy podvodných jednání prostřednictvím internetu, jako jsou bazarové či inzertní podvody, falešné e-shopy sloužící k získávání údajů z platebních karet či podvodné lákání financí pod různými záminkami. Typičtí podvodníci lákají na různé investice do akcií či kryptoměn, popřípadě smyšlenou ochranu peněz oběti před útokem na bankovní účet.“

Phishingový útok může například nabrat podobu e-mailu, který se tváří jako zpráva z IT podpory školy či pracoviště. „Phishing je typ útoku, kdy se útočník snaží získat citlivé údaje od oběti – login a heslo, údaje z kreditních karet či různé informace osobní povahy či instalovat škodlivý kód na jejím zařízení. Nejčastěji se s phishingovými útoky setkáme prostřednictvím emailových zpráv, často podvržených tak, aby vypadaly jako pravé, zpráv s odkazy na sociálních sítích, falešnými SMS, ale i skrze telefonní hovory, kdy se pomocí technik sociálního inženýrství pachatel snaží zmanipulovat svoji oběť tak, aby vyhověla jeho požadavkům,“ objasnil kybernetický expert Burčík.

Nástup umělé inteligence nabídl kyberzločincům nové typy podvodů. „Rozmáhající a velmi nebezpečné jsou pak podvodné telefonní hovory, kdy na straně volajícího není člověk, ale automat, který např. pod záminkou aktualizace internetového bankovnictví nutí uživatele instalovat nebezpečný software či reagovat na zaslané odkazy,“ upozornil Burčík.

Chránit se je možné díky dodržování pěti bodů. Způsobů ochrany je však více. „Mezi základní obranné techniky patří ostražitost a zvýšená nedůvěra k informacím od neznámých zdrojů. U emailu doporučuji pětibodovou analýzu důvěryhodnosti, kdy u každého z bodů zkoumám, zda jméno a email odesilatele (1), předmět emailu (2), oslovení a hlavní sdělení (3), odkazy s přílohami (4) a nakonec i podpis (5) vypadají důvěryhodně, logicky do sebe zapadají a odkazují na osoby nebo internetové adresy, které nejsou podvržené. Při pochybnosti u kteréhokoli bodu 1 až 5 považuji celý email za škodlivý a doporučuji jeho smazání.  Pro analýzu příloh pak doporučuji mít nainstalovaný kvalitní antivir nebo antimalware program či využít online služeb, jako je virustotal.com,“ poradil Burčík.

„V případě nevyžádaných telefonních hovorů pak doporučuji volajícímu slušně poděkovat a ukončit hovor ihned v počátku,“ dodal.

Malware je také velmi oblíbeným útokem kyberzločinců. Jedná se o škodlivý program, který narušuje provoz zařízení. „Malware se do počítače či mobilního zařízení dostane typicky otevřením přílohy se škodlivým kódem či kliknutím na odkaz, který vede na stránku s útočným kódem. Základní obranou je neinstalovat software z neznámých zdrojů, neklikat na odkazy od neznámých uživatelů, mít aktualizovaný operační systém a aplikace, které používám,“ řekl Burčík.

Rajlichová popsala detailněji způsoby, jak může škodlivý malware proniknout do zařízení. Jedním z nich je již zmíněný phishing, kdy se malware může nacházet v e-mailu, v příloze či v odkaze. Dále se může roznášet přes infikované webové stránky a prostřednictvím bannerů, kdy stačí, aby na infikovanou reklamu uživatel klikl. Infikovaná mohou být také USB zařízení a roznášet malware do dalších zařízení.

Největší on-line pasti na školáky i teenagery: Takhle kyberhyeny útočí na děti

Je také vhodné navštěvovat pouze bezpečné webové stránky. To lze poznat třeba tak, že ve vyhledávacím poli v prohlížeči má před sebou adresa webové stránky znak zámku. „Při surfování na internetu navštěvujte bezpečné a šifrované webové stránky (HTTPS). Používejte aktivní firewall, který může blokovat neoprávněné pokusy o přístup k vašemu zařízení. Automaticky neodklikávejte varování před spuštěním spustitelného souboru bez platného certifikátu,“ upozornila na další možné problémy Rajlichová.

U mobilních telefonů lze využít možnosti, jako jsou otisky prstů. „Používejte silná hesla a povolte možnosti jako například otisky prstů nebo rozpoznání obličeje. Při instalaci aplikací pozorně sledujte, jaká oprávnění vyžadují, a omezte přístup, pokud to není nezbytně nutné. Pravidelně zálohujte důležitá data na mobilním zařízení, abyste minimalizovali ztrátu v případě útoku malware nebo jiných problémů,“ shrnula Rajlichová.

Další známý kybernetický útok je takzvaný DDos. „Jde o útoky, které zahltí cílový systém velkým množstvím požadavků nebo dat, to vede k přetížení a nedostupnost služeb. Z poslední doby si asi lidé pamatují na DDoS útoky na české banky z přelomu září a srpna 2023, kdy tyto útoky způsobily nedostupnost služeb či bankovních webů,“ vysvětlila Rajlichová s tím, že následkem je přetížení či nedostupnost služeb.

„Útoky na dostupnost pomocí DDoS technik patří mezi nejčastější útoky a obrana proti nim je výsadní záležitostí profesionálů,“ upozornil Burčík.

Nicméně i běžný uživatel se může proti takovému útoku bránit. „K základní obraně vedle kvalitní antivirové ochrany a aktualizovaného software patří možnost omezit a spravovat dálkově z internetu provozované zařízení, změnit defaultní uživatele a hesla, která jsou nastavena z výroby, a dodržovat pravidla tvorby silných hesel při změnách a vytváření uživatelských účtů na zařízení. Rovněž doporučuji nepoužívat stejné heslo pro přístupy k různým službám a zařízením. Pro snadné zapamatování a správu hesel pak doporučuji využívat ‚správce hesel‘, který je v případě mobilních zařízení velmi často součástí operačního systému a zdarma,“ poradil Burčík.

Co dalšího lidem hrozí? „Mezi další kybernetické útoky, které typicky ohrožují uživatele, jsou úniky přihlašovacích údajů, hesel a jejich osobních dat z různých online služeb či e-shopů. Je důležité, aby si uživatelé uvědomili, že k takovým únikům dochází i u největších firem a poskytovatelů a přizpůsobili tomu své chování v online prostoru. Silně doporučuji minimalizovat informace, které o sobě sděluji, a pokud je to možné, neukládat citlivá data, jako jsou například osobní údaje či údaje k bankovním kartám, na servery poskytovatelů služeb a e-shopů,“ varoval Burčík.

„Na otázku, který hackerský útok je nejnebezpečnější, bych odpověděl, že ten, který mi může způsobit největší škodu. A pod pojmem ‚největší‘ bych zdůraznil, že škoda nemusí být nutně jen finanční, ale například i reputační či způsobující nepříjemný diskomfort. A nemusí se rovněž projevit okamžitě, ale může velké nepříjemnosti způsobovat i v budoucnu – například uniklý explicitní sexuální obsah, sdílené heslo, a tak podobně. Není tedy od věci občas provádět myšlenková cvičení na téma, co by se mi mohlo stát kdyby…, a následně se zachovat tak, jako by mohl nastat ten nejčernější scénář, který mě napadl,“ uzavřel kybernetický expert Burčík.

Zvyšte své povědomí o kybernetických hrozbách a pravidelně se školte v oblasti kybernetické bezpečnosti. Zdarma a online třeba na webu osveta.nukib.cz.