Příběh první – hlasování do soutěže
Scénář: Zloděj si najde na Facebooku vhodný účet. Stáhne si z něj fotky. Vytvoří nový účet se stejným jménem, profilovou fotkou a přidá si jeho kontakty do svých. Pak ve vhodnou chvíli požádá o zaslání potvrzovacího kódu z SMS.
Zloděj využívá toho, že si myslíte, že mluvíte s někým, koho znáte a důvěřujete mu. Výchozí limit u operátora je 2 500 korun. Jednou SMS se dá odeslat až 500 korun.
Co se s tím dá dělat? Snížit si limit na SMS platby. Pokud po vás někdo chce cokoliv – potvrzovací kód, ale i telefonní číslo, tak být ostražitý. Pokud se nenecháte napálit, tak varovat ty, co máte v přátelích. Pokud se necháte napálit, tak zjistit, jestli neokradli někoho dalšího (čím vyšší škoda, tím větší motivace je to dál řešit) a obrátit se na policii a na operátora.
Příběh druhý – Bazoš
Dáte inzerát na Bazoš a zloděj se pod záminkou ověření účtu snaží vylákat bankovní údaje.
Tady je screenshot, kde jsou zprávy (jenom odpovědi) od zloděje:
Po kliknutí na odkaz vás to vyzve k zadání údajů o kreditní kartě pro ověření vaší totožnosti.
Na tomto scénáři se mi zdá nebezpečné hlavně to, že já jsem na začátku komunikace. Jednoduše v případě, že chci něco prodat na Bazoši, tak se nevyhnu komunikaci s někým cizím, jehož totožnost a úmysly si nemůžu jednoduše ověřit. Vždy je potřeba být opatrný.
Příběh třetí – trojan v příloze
Tohle je takový klasický útok: prostě trojan v emailu. Co je nebezpečné je čeština. Legitimní požadavek na nacenění produktu. Důvěryhodnosti tomu dodávají i kontaktní údaje, které pochopitelně nepatří útočníkovi.
V příloze je potom potom soubor s „dvojitou příponou“. Pokud je ve Windows vypnuté zobrazování přípon, není vidět koncová přípona .exe .
Tento soubor pak obsahuje nějaký malware. Pokud si nejsme jisti, můžeme soubor protáhnout přes VirusTotal, který použije několik antivirů.
Pokud se dostanete až k tomu, že na něj opravdu kliknete, je potřeba systém odvirovat. V krajním případě to může vést k zašifrování dat a požadavek na zaplacení výkupného.
Příběh čtvrtý – my jsme tvoje banka
Zase poměrně klasický typ útoku. Zloději pošlou zprávu, která se tváří jako že pochází od vaší banky. Zpráva obsahuje odkaz na webovou stránku, která se tváří jako přihlášení do banky.
Zajímavé je, že útočníci přešli z angličtiny do češtiny a zaměřují se na české banky nebo doručovací firmy. Stejně tak se útočníci přesunuli z e-mailu do SMS zpráv. Odesílatel je nějaká SMS služba, to by mohla být i banka. Samotná podvržená stránka vypadá přesně stejně jako přihlašovací stránka do bankovnictví, a to včetně upozornění, že se nemáte přihlašovat, pokud neobsahuje v adrese doménu fio.cz.
Stránka nemá HTTPS (přeškrtnutý zámek), což je dobrý indikátor toho, že je něco špatně. Ale je potřeba si uvědomit, že HTTPS není záruka toho, že všechno v pořádku. HTTPS se snaží zaručit pouze to, že komunikace mezi vámi a stránkou neodposlechne někdo v internetové kavárně.
Pokud narazíte na nebezpečný obsah, můžete ho nahlásit. Buď vaší bance, nebo společnosti Google. Pokud vše projde ověřovacím kolečkem, bude stránka zablokována pro ostatní uživatele.
Příběh pátý – máte virus a chceme vám pomoci
Tento příběh mi poslal kolega. Je také velmi zajímavý a poučný, proto ho sem přidávám s jednou poznámkou – zloděj vám může i volat.
V sobotu dopoledne mi klasickou telefonní linkou volá francouzské číslo, paní se představuje. Dělá přímo pro Microsoft, můj počítač prý zjevně ovládají hackeři, kteří se do něj dostali a pomocí něj na internetu podnikají „kriminální aktivitu“. Ráda mi s mojí spoluprácí přímo na mém počítači ukáže, že to jde očividné a společně se potom pokusíme hackery vystopovat.
S určitou skepsí jsem souhlasil, zajímalo mě, kam věc povede a vzhledem k tomu že mám na druhém počítači programy z různých zdrojů, nemohl jsem se zbavit pocitu, že ten „trojan“ fakt mohl být nebezpečný. Řekl jsem si, že budu bedlivě sledovat všechny kroky. Navíc mám téměř všude dvoufázové ověřování identity přes mobil, takže se nemusím zásadně obávat.
S mými Windows 11 mě za pomocí TeamVieweru a aplikace AnyDesk postupně provedla různými „důkazy“. Nejprve prohlížečem událostí (události správy), kde mě vysvětlovala, že ty oranžové trojúhelníčky s upozorněním jsou zjevná hackerská aktivita (moc mě to nepřesvědčilo, ale budiž, tuhle část systému neznám, jdeme dál). Dále v příkazovém řádku rozjela příkaz „tree“ (strom mých složek), na jehož konci se poté ukázala zpráva, že můj počítač vzdáleně ovládá 17 hackerů. Tady se asi stydím nejvíc, protože příkaz tree dobře znám a v tu chvíli mi nedošlo, že oznámení o hackerech poté prostě překopírovala. Dále mi v příkazovém řádku ještě ukazovala IP adresy (příkaz si nepamatuji), kde mě pomocí určitého množství různých IP adres chtěla přesvědčit, že by jich tam nemělo být tolik.
Po tomto přesvědčovacím kolečku se už šlo k citlivým informacím. Napřed chtěla ověřit, zda jsou napadené moje e-maily. Naštěstí jsem si zachoval chladnou hlavu a řekl jsem si, že se nebudu s jejíma očima na obrazovce nikam přihlašovat, takže jsem jí pouze ukázal, že na e-maily používám Outlook, kde jsem přihlášený automaticky. Dále chtěla ověřit moje internetové bankovnictví, kde už to začalo být zajímavější, protože jsem začal být odmítavější a skeptičtější.
Ukázalo se, že trik, jak mám odhalit hackery, je v zaplacení 500 dolarů na portálu bitstamp.com (investování do bitcoinu), čímž hackery nalákám k aktivitě na mém počítači. Celou tuto aktivitu by mohli sledovat, tedy by viděli číslo mé platební karty a celé moje bankovnictví. Přesvědčovali mě o tom, že na bitstamp.com si vytvořím vlastní účet, na který budu mít přístup pouze já a peníze jdou ihned odeslat zpátky.
Část procesu vytváření účtu a verifikace na bitstamp.com jsem ještě podstoupil, ale postupně ve mně nedůvěra zesílila do nejzazší míry. Především mě naštěstí její důkazy o mém zavirovaném počítači zcela nepřesvědčily. Dále jsem si všiml, že sice verifikuji údaje na Bitstampu já, ale z nějakého důvodu si tam napsali své heslo, které jsem z nich ještě dokázal vyloudit a především, ověřující kód k přihlášení na mobil chodil jim. Tady se začali vykrucovat, přehazovat téma jinam, opětovně připomínat, že mě chápou, že jde o citlivé věci, ale pochyby přeháním.
Vrcholem bylo, když jsem si všiml, že v konzoli Chrome začali ve chvílích, kdy nedávám pozor a vyplňuji údaje v mobilu, přepisovat některé řádky webové stránky, aby pro mě proces vypadal důvěryhodněji. Po upozornění opět odvedení pozornosti jinam. Další hřebík byl, když se chtěli propojit i s mým mobilem. Dále mě dlouhosáhle přesvědčovali, že těch 500 dolarů musí jít z mojí karty, protože to musí vypadat, že celou aktivitu dělám já. A tak dál, a tak dál, celé to začínalo mít tragikomický spád. Celý telefonát trval přes hodinu.
V průběhu telefonát třikrát skončil. Až zpětně jsem si všiml, že mi volalo vždy jiné číslo. Při opětovaném telefonátu byl na druhém konci úplně cizí člověk, který tvrdil, že mi vůbec nevolal. Svými dotěrnými dotazy jsem se dostal až k „manažerovi“ společnosti, který už na mě na konci důrazně zvyšoval hlas, že jsem „overthinking“ a že mě prostě chce pomoct a hotovo, ať spolupracuji. Z celé té zkušenosti musím říct, že jejich nejsilnější zbraň byla komunikace, slova; opravdu zněli velmi přesvědčivě, celý proces probíhal ve velmi profesionálním duchu a doteď mám kdesi vzadu pocit, že mi fakt chtěli pomoct. Zachránily mě trochu pokročilejší znalosti systémů a především takový ty známý poučky, že platit někomu něco online před obličejem fakt ne.
Pokud by se vám něco podobného stalo, nebuďte takoví blbci jako já a zavěste to hned ve chvíli, kdy vám nechtějí poslat doplňující údaje – co je to za lidi, nějaký web, nebo něco, čím se dají ověřit. Mně je dát opakovaně (a velmi nenápadně) nechtěli a stejně jsem je pustil dál.
Příběh šestý – sdílím soubor
Tento způsob je vlastně taky obvyklý pro získání přihlašovacích údajů a moc nevybočuje z řady. Zajímavé na něm je, že odesílatel je z vnitrofiremní domény. Po rozkliknutí jsou předvyplněné údaje firemní domény.
Je důležité si uvědomit, že v e-mailu není problém vložit libovolné údaje do položky odesílatel. Trošku zarážející je, že to nezachránilo nastavení serveru a metody jako SPF, DKIM a DMARC.
Příběh sedmý – my jsme antivir
Nainstalujete si antivir na mobil, připojíte se do firemní sítě a za chvíli za vámi přijde správce sítě a ptá se, proč děláte penetrační testy. Cože jsou to ty penetrační testy? To správce sítě ověřuje, jestli je síť zabezpečená. Žerty stranou. Co když to začne dělat nějaký program na mobilu? Dá se takovému programu opravdu důvěřovat, nebo je to útok na firemní infrastrukturu?
Tady je screenshot toho, jak takové penetrační testy vypadají v nástroji, který vyvíjíme u nás ve firmě:
V době kdy jsme všichni chodili každý den do práce, stačilo správci říct, že do firemní sítě se nemají připojovat žádná soukromá zařízení jako mobilní telefon. Ve chvíli, kdy je polovina firmy v karanténě, se počítačové sítě domácností mých kolegů stávají běžnou součástí naší firemní infrastruktury. Zaměstnancův synátor experimentující s nejrůznějším warezem se pak stává noční můrou správce sítě.
Firmě to může ve finále způsobit milionové škody a vy můžete přijít třeba o práci.
Jedinou radou je neinstalovat potenciálně nebezpečný software.
Co s tím?
Je potřeba být ostražitý. Nikomu nepředávat své přihlašovací údaje, ani potvrzovací SMS, ani kód vícefaktoré autentizace. Ideální je vždy si ověřovat, s kým mluvíte. Tohle bude bohužel problém do doby, kdy i zavedené firmy a banky(!) outsourcují telemarketing na další firmy, které po vás žádají rodné číslo (nebo jiné osobní údaje) pro ověření vaší totožnosti.
Pokud nevíte co je vícefaktorová autentizace: je to v podstatě totéž co ověřovací kód pomocí SMS. Je to taková brzda, která zařídí, že nestačí nabourat se do počítače, ale je k tomu potřeba ještě další zařízení. Navíc heslo je jednorázové, takže v případě okoukání nebo odposlechnutí je vlastně k ničemu (tedy pokud napoprvé nepotvrdíte něco, co nechcete). Používá se k tomu třeba aplikace v telefonu, ze které se opíše heslo, nebo hardwarový klíč, který po zmáčknutí tlačítka udělá totéž.
Pokud něco instalujete do počítače nebo do mobilu, radši se dvakrát zamyslete jestli to opravdu potřebujete a jestli věříte tomu odkud jste to stáhli. Můžete si zkusit kyber test, kde se dozvíte, jak přemýšlet nad důvěryhodností aplikací a další důležité věci. Není špatné rizikový soubor prostě prohnat přes antivirus, třeba VirusTotal.com jich zkusí rovnou několik.
Útočníci se stále zlepšují. Zkouší psychologický nátlak – například zdůrazňují, že je to velmi důležité, aktuální „problém“ musíte vyřešit hned, nebo přijdete o peníze. Zkouší vás zastihnout v době, kdy se nesoustředíte – brzy ráno nebo o víkendu. Posouvají se v technologiích – z e-mailu přešli na sociální sítě, smsky, WhatsApp a dál. Snaží se působit opravdově – používají třeba emoji. Neštítí se ničeho – v době začínající epidemie zaútočí na nemocnici.
Posledním krokem je osvěta a ukazování na zločince prstem. Spoustu obětí se stydí, že se nechali napálit, ale za mě je důležitější se snažit, aby to těm lumpům jenom tak neprošlo. Pokud vás okradou, hlaste to na policii. Pokud vás nenapálí, můžete alespoň varovat své okolí nebo můžete zkusit stránku nahlásit dané instituci nebo na safebrowsing.google.com.
Pozor, uvedené příběhy nejsou nejlepším příkladem! Zloději zkusí použít bezpečnostní díru ve webovém prohlížeči, aby vám do počítače dostali aspoň špehovací software. Pokud rozpoznáte, že se jedná o virus nebo jiné podvodné chování, je lepší to vůbec neotevírat.
Podle @udalostibrno takhle podvodníci získali za tento rok 150 miliónů. U jednotlivců to můžou být potom i částky převyšující půl milionu. Radši nechci počítat, jak dlouho bych na něco takového šetřil.
(Původně napsáno pro autorův blog.)
ČLÁNKY DO MAILU