Ako nenaletieť sociálnym inžinierom a iným hackerom? IT odborníci poradili, čo robiť a čo nerobiť, ak sa chce používateľ a firma v online priestore cítiť bezpečne.
Smartfóny, počítače či iné smart zariadenia a najmä internet sú dnes bežnou súčasťou života. A hoci sú „dobrým sluhom“, uľahčujú mnohé procesy a komunikáciu, taktiež sú „zlým pánom“ a ich používateľom prinášajú množstvo hrozieb. Čokoľvek, čo je pripojené k internetu, sa zároveň stáva cieľom pre hackerov. Odborníci na kybernetickú bezpečnosť Pavol Dovičovič a Boris Mutina, na online seminári Qubit Academy, preto prezradili:
- čo hrozí, ak sa používateľ pripojí k verejnej Wi-Fi sieti a prihlási sa do internet bankingu či zdieľa firemné súbory,
- čo je sociálne inžinierstvo a aké hrozby predstavuje nielen pre jednotlivcov, ale aj pre firmy,
- aké sú nástrahy e-mailov a ako sa vyhnúť strate údajov či peňazí,
- ako si vytvoriť a zapamätať silné heslo.
Kyber útok sa môže týkať každého – útočníkom sa stane aj proti svojej vôli
Únik údajov a útoky hackerov vo firmách nie sú ničím výnimočným a v médiách sa také správy objavujú často. Netýkajú sa však len veľkých korporácií a nadnárodných spoločností, ale hackeri neobchádzajú ani malé a stredné podniky alebo fyzické osoby. Pavol Dovičovič vysvetľuje, že každý používateľ internetu je cieľom pre hackerov, ktorí môžu firme či bežnému človeku poriadne skomplikovať život.
A hoci si možno človek myslí, že jeho údaje nie sú ničím zaujímavé, odborník upozorňuje, že dnes sú útoky tak sofistikované, že nielen obeťou, ale tiež súčasťou hackerského útoku sa môže stať nechtiac ktokoľvek a ani o tom nemusí vedieť.. „Za hackerskými útokmi už stáli napríklad aj inteligentné chladničky. Majú v sebe operačný systém, sú pripojené k internetu a sú teda vystavené kybernetickým hrozbám. Takáto chladnička sa môže zúčastňovať kyber útoku na iné zariadenie, bez vedomia jej majiteľa,“ hovorí P. Dovičovič a dodáva: „V reálnom svete si treba dávať pozor pri prechádzaní cez cestu a pozrieť sa na obe strany, či nejde auto, alebo byť opatrný a vyhnúť sa tmavej uličke v nočných hodinách, pretože to nie je bezpečné. Rovnako v online priestore existujú pravidlá a spôsoby správania, ktoré pomáhajú vysporiadať sa s nástrahami internetu alebo sa im vyhnúť.“
Kybernetická hrozba – verejná Wi-Fi môže do komunikácie prizvať nechceného hosťa
Z pohľadu bežného používateľa je internet zdrojom nekonečných informácií, ľudia ho začali využívať (pre pandémiu ešte častejšie) na online nakupovanie či komunikáciu s priateľmi a kolegami. Pravdepodobne si mnohí nevedia ani predstaviť, že by už internet neexistoval. Avšak treba si uvedomiť, že čokoľvek sa na globálnu sieť dostane, je tam už navždy. Za pripojením do online sveta stoja státisíce zariadení a kilometre káblov. Ide o body, ktoré každú komunikáciu, každý obsah, ktorý sa na web vloží, zaznamenajú a uložia. Statusy, fotografie či údaje z objednávania v e-shope je možné poslať niekam ďalej, a to aj vtedy, že sa tomu bude používateľ snažiť zabrániť, napríklad zmazaním. Pavol Dovičovič navyše upozorňuje, že súkromie v prípade sociálnych sietí je len ilúzia. Aj status, že používateľ odchádza na dovolenku, ktorý zverejní s úmyslom informovať len najbližších priateľov, môže byť zneužitý napríklad zlodejmi.
To, čo na sieti či webe používatelia zverejňujú a čo si prehliadajú, môžu jednoducho odsledovať hackeri, a to najmä v prípade pripojenia na verejnú Wi-Fi. Sprostredkuje síce spojenie s online svetom, no P. Dovičovič uvádza: „Ak je niečo zadarmo, tak je produktom používateľ.“ Existuje totiž hrozba tzv. man in the middle. Hacker sa môže pripojiť cez Wi-Fi sieť medzi zariadenie a to, k čomu sa pripája. Takým spôsobom môže „odpočúvať“ alebo odsledovať celú komunikáciu používateľa. Ako sa chrániť?
Odborník odporúča šifrovať komunikáciu použitím VPN. Pri pripájaní do firemnej siete prostredníctvom hotspot Wi-Fi je virtuálna súkromná sieť nevyhnutnosťou. Aj keď sa hackerovi podarí zachytiť komunikáciu, údaje budú šifrované. Na štandardných web stránkach je dôležité všímať si, či má pred adresou uvedené „http“ alebo „https“. Práve to pridané „s“ totiž značí, že komunikácia medzi používateľom a stránkou je šifrovaná.
Ďalším odporúčaním odborníka je vypnúť akékoľvek zdieľanie súborov v počítači, a to cez systémové preferencie alebo v ovládacom paneli. Taktiež je vhodné využívať verejnú Wi-Fi len vtedy, keď je to naozaj nevyhnutné. Napríklad, ak zamestnanec potrebuje pracovať na lokálnom dokumente, ku ktorému internet nepotrebuje, je vhodné také pripojenie vypnúť. Aj keď sa totiž používateľ aktívne nepripojí k sieti, hardvér Wi-Fi v počítači stále prenáša údaje medzi ľubovoľnou sieťou v dosahu.
Ak je spojenie s online svetom nutné, používateľ by mal zvážiť, aké typy informácií ide zdieľať a aké transakcie chce vykonať. P. Dovičovič neodporúča pripojiť sa prostredníctvom verejnej siete do internet bankingu či nakupovať cez e-shopy.
Sociálne inžinierstvo nie je úctyhodný titul
Obozretnosť, podozrievavosť a opatrnosť – to sú tri základné princípy, ktoré môžu človeka aj firmu ochrániť pred stratou údajov, kontroly nad zariadením či nemalých financií. Neplatí to len pri verejnej sieti. Jednou z najčastejšie zneužívaných ľudských vlastností je dôvera. P. Dovičovič spomenul výrok Joanny Huisman, riaditeľky výskumu v spoločnosti Gartner v rámci komunity výskumu cloudu a IoT zabezpečenia. Ľudia podľa nej ovplyvňujú výsledky bezpečnosti viac ako technológia, politika alebo procesy a hrajú rozhodujúcu rolu v celkovej bezpečnosti a rizikových pozíciách organizácie. Túto úlohu podľa odborníčky definuje schopnosť ľudí učiť sa a ich zraniteľnosť voči chybám, vykorisťovaniu a manipulácii.
A práve manipulačnou technikou, ktorá využíva ľudské chyby a vlastnosti na to, aby sa útočník dostal k informáciám, ktoré potrebuje, je sociálne inžinierstvo. Jeho základnými cieľmi sú sabotáž a krádež. Tzv. sociálni inžinieri chcú narušiť alebo poškodiť údaje, čo spôsobí obeti nepríjemnosti. Alebo chcú získať cennosti, ako informácie, prístup do zariadenia a peniaze.
Je jednoduchšie zneužiť dôverčivú osobu ako hacknúť sieť.
Sociálne inžinierstvo, ktoré je stále jedným z najbežnejších prostriedkov kybernetických útokov, podľa P. Dovičoviča vychádza z predpokladu, že bežný používateľ (v prípade firemných sietí zamestnanec) je najslabší článok z pohľadu informačnej bezpečnosti. „Je jednoduchšie zneužiť dôverčivú osobu a jej emócie ako hacknúť sieť alebo hľadať bezpečnostné chyby,“ uvádza odborník. Útočníci sa spoliehajú na slabosť ľudí, ich dôveru zneužívajú na to, aby ich ovplyvnili a dostali sa k dátam.
Ak sa hovorí o sociálnom inžinierstve, ide o starostlivo formulovaný e-mail, telefonát alebo textovú správu, v ktorej sa útočník snaží presvedčiť ľudí, aby prevádzali peniaze, poskytovali dôverné informácie alebo sťahovali súbory, ktoré inštalujú malware do (firemnej) siete. Sú to napríklad prípady, kedy človeku zatelefonuje falošná technická podpora sprostredkovateľa internetu. Útočníci tvrdia, že potrebujú opraviť nejakú chybu v sieti, a preto im používateľ musí poskytnúť jeho prihlasovacie údaje – meno a heslo. Odborník radí, že pokiaľ osoba sama nekontaktovala technickú podporu, je lepšie na takú výzvu nereagovať a zložiť. „Radšej netreba nikomu dávať prihlasovacie údaje a heslá. Ak raz vyjdú z našich úst, už je ťažké zabrániť tomu, aby boli zneužité,“ vysvetľuje P. Dovičovič. Boris Mutina ešte dodáva, že hackeri sa takto nesnažia získať len prístup napr. do počítača. Môžu tiež nainštalovať program na vzdialenú správu počítača a mať ho pod kontrolou. Neraz sa stáva, že za to dokonca príde obeti faktúra za „akože poskytnutú opravu“. Používateľ tak príde nielen o údaje či prístup do zariadenia, ale aj o peniaze.
Sociálni inžinieri využívajú strach, zvedavosť či naliehavosť na ovplyvnenie obetí, ktorými môžu byť tiež zamestnanci firmy. Niekedy na to stačí jeden presvedčivý mail.
Správa od kolegu či banky nemusí byť skutočná, jeden klik pripraví človeka o údaje aj peniaze
Denne sa odošle a príjme viac než 300 miliárd e-mailov. Mailová adresa je taktiež vyžadovaná pri takmer každej registrácii a prihlasovaní sa do aplikácií, sociálnych sietí či e-shopov a sú bežnou súčasťou pracovného života mnohých zamestnancov. Boris Mutina uvádza, že e-mail je skoro všade a tak skoro sa ho nezbavíme. Je na ňom závislých tak veľa technológií, že fungovať bez neho je v podstate nemožné. Zároveň však dodáva, že neškodných je len malé percento mailových správ, ktoré „pretečú“ internetom.
Neškodných je len malé percento mailov, ktoré pretečú internetom.
Nie každá mailová adresa je tou, za ktorú sa vydáva. Útočníci často zneužívajú mená aj takých inštitúcií, ako je Finančná správa SR, ktorá o podvodných správach informovala v uplynulých týždňoch. Podvodníci sa snažia oklamať daňovníkov a zasielajú im e-mail, kde ponúkajú vrátenie sumy vo výške 136,99 eur, ak vyplnia priložený formulár žiadosti. Finančná správa vyzvala občanov, aby formulár nevypĺňali, neklikali na žiadny z odkazov a na správu nereagovali. O ďalších podvodoch, ktoré ohrozujú podnikateľov, sme písali aj v článku Podvody s peniazmi či osobnými údajmi: na čo dať vo firme pozor?
B. Mutina uvádza ďalší príklad častého podvodu - útočníci bývajú prefíkaní a správu pošlú akoby z príjemcovej adresy, aby mu dokázali, že sa do schránky dostali a majú prístup k jeho účtu, čo môžu využiť na vydieranie. Mailové adresy taktiež môžu obsahovať chybu, ktorú príjemca ľahko prehliadne a zostáva v omyle, že správa prišla skutočne od kolegu, spoločnosti, ktorej služby využíva a pod. Odborníci upozorňujú na správy, ktorých odosielateľom je na prvý pohľad banka. V takých mailoch zvyčajne býva informácia, že neprebehla istá platba a pokiaľ klient neklikne na odkaz v maile, jeho účet bude zablokovaný. Podvodníci tak využijú emóciu – strach. V momente, ako klient na odkaz klikne, otvorí sa napríklad webová stránka, a tá môže obsahovať komponenty, ktoré do počítača inštalujú škodlivé aplikácie na zaznamenávanie činnosti používateľa (útočníci tak môžu vidieť aj prihlasovacie údaje a heslá do rôznych účtov).
Nebezpečné maily niekedy taktiež obsahujú dokumenty, ktoré sa javia ako tie bežne používané (Word, Excel atď.). Súbory ale môžu byť infikované, obsahovať makrá a pýtať si povolenie na použitie. V takom prípade odborníci radia dokumenty nesťahovať, neklikať na ne a nič nepovoliť. Môže totiž ísť o vírus, ktorý si takto používateľ stiahne do počítača. Ak sa ale stane, že súbor stiahne, najlepšie je zariadenie vypnúť a požiadať o odbornú pomoc.
Obozretný treba ostať aj vtedy, ak do schránky príde správa od „zamestnávateľa“ alebo „kolegu“, v ktorej sa odosielateľ pýta na zostatok na firemnom účte a či je z neho možné zaplatiť väčšiu sumu napríklad za vykonanie nejakej služby. Alebo sa stávajú situácie, že od niekoho, kto zamestnancovi posiela stereotypné správy (napríklad len tabuľky s reportmi), príde zrazu e-mail s iným obsahom. Opäť môže ísť o lákanie na kliknutie na odkaz či stiahnutie súboru.
Boris Mutina v súvislosti s podvodnými e-mailmi spomína aj koronakrízu. Útočníci využívajú strach zamestnancov o pracovné miesto, preto rozosielajú správy zo zdanlivo zamestnávateľovej adresy. V nich uvádzajú, že si firma nemôže viac dovoliť platiť daného pracovníka, preto ho prepúšťa a výplatnú pásku za posledný odpracovaný mesiac nájde v prílohe. Zamestnanec zo strachu na prílohu klikne a systém infikuje.
Vo všetkých prípadoch odborníci odporúčajú zatelefonovať tomu, v koho mene odosielateľ správu poslal a uistiť sa, že mail je od neho. Ak nie, stačí správu vymazať a nereagovať na ňu. Falošný odosielateľ je navyše niekedy ľahko odhaliteľný – stačí ísť myškou (kurzorom) na adresu a chvíľu na nej zostať. Môže sa tak objaviť skutočná adresa odosielateľa a príjemca správy si bude istý, že nejde o mail od známeho alebo napríklad od banky. To isté platí aj o odkazoch na webové stránky uvedené v takomto maile.
Ako bezpečne používať mail?
Ak sa chce používateľ vyhnúť infikovaniu svojho zariadenia a používať e-mailovú schránku bezpečne, mal by podľa odborníkov dodržať nasledovné zásady:
- mať operačný systém aj e-mailový program aktuálne, používať aktuálny antivírus a antispam,
- neotvárať a neodpovedať na e-maily od neznámych ľudí a neotvárať ani prílohy,
- ak si nie je používateľ istý, telefonicky si overiť odoslanie správy s protistranou, prípadne poprosiť o pomoc kolegu alebo niekoho z rodiny,
- neklikať na linky v e-mailoch,
- neposielať v e-mailoch citlivé informácie,
- nepreposielať hromadné maily,
- ak je to možné, chrániť e-maily šifrovaním – malé a stredné firmy môžu využiť aj bezplatné certifikáty na takéto šifrovanie.
Silné heslá sú kľúčom kyber bezpečnosti, ako si ich ale všetky zapamätať?
Jedným z podstatných prvkov, ako si zabezpečiť prístup do svojho zariadenia, do profilov na sociálnych sieťach či mailov, sú heslá. Denne ich zadáva každý používateľ internetu, počítača či smartfónu niekoľkokrát. Je ťažké si ich pamätať, a preto mnohí používajú rovnaké alebo obdobné „kľúče“. „Rovnaké heslo na viacerých stránkach používa až 65 % ľudí, vo svojich zariadeniach 13 % ľudí. Ľahko uhádnuteľné či ukradnuté heslo je príčinou krádeže informácií až v 80 % prípadov,“ uvádza Boris Mutina.
Bezpečnosť hesla ohrozujú phishingové útoky z e-mailov, kde neopatrní užívatelia odovzdajú údaje sami. No tiež vírusy, ktoré infikujú počítač cez škodlivú stránku či mail a ukradnú uložené heslá, prípadne zaznamenávajú, čo používateľ píše na klávesnici. Je nebezpečné, ak je heslo jednoduché a dá sa uhádnuť, a rovnako nebezpečné je, ak sú jednoduché kontrolné otázky a odpovede na ne.
Ak chce používateľ predísť hackerskému útoku, mal by si zvoliť jedinečné, náhodné a silné heslo. Pre každý účet by mala byť iná kombinácia čísel, veľkých a malých písmen či špeciálnych znakov. Nemala by sa pritom podobať na žiadnu z tých, ktorú už používateľ použil inde. „Vytvoriť dostatočne bezpečné a zároveň zapamätateľné heslo nemusí byť žiadna veda. Napríklad, keď mal používateľ 6 rokov, veľmi sa mu páčila rozprávka o Trojruži. Heslo „Trojruža 6 forever!“ sa môže stať dostatočne silným, náhodným a jedinečným,“ radí odborník. Ľudia podľa neho používajú ľahké heslá, pretože si všetky nevedia zapamätať. Odporúča preto pamätať si len jedno dostatočne silnú, jedinečnú a náhodnú kombináciu: do aplikácie správcu hesiel – tá bezpečne uloží aj ťažko zapamätateľné heslá s prihlasovacím menom a názvom služby. „Len netreba zabudnúť heslo k správcovi hesiel alebo stratiť ich databázu.“
B. Mutina tiež dodáva, že mnohé služby, napríklad internet banking, vyžadujú okrem prihlasovacieho mena a hesla aj jednorazový kód, ktorý je doručený formou SMS, prípadne z inej aplikácie. Preto ak je tá možnosť, odporúča využiť viacfaktorové prihlásenie / overenie. Väčšina veľkých služieb už taký postup podporuje a odporúča. „Nastavenie viacfaktorového overenia je dnes jednoduché: stačí mať pripravenú aplikáciu (Google Authenticator či inú), pozrieť sa do nastavenia zabezpečenia služby, kde sa spravidla nachádza intuitívny sprievodca. Pre prihlásenie tak bude okrem mena a hesla potrebný aj jednorazový kód,“ vysvetľuje odborník.
Čo robiť a nerobiť, ak chce používateľ a firma v online priestore fungovať bezpečne
Treba mať na pamäti, že internet je síce dobrý sluha, no zlý pán. Ak sa chce fyzická osoba či firma vyhnúť hackerskému útoku, mala by byť obozretná pri pripájaní sa k verejnej Wi-Fi sieti. Pokiaľ internet nevyhnutne potrebuje, treba takúto sieť využiť len na daný úkon a následne ju vypnúť. Určite v tom momente nie je vhodné pripájať sa k internet bankingu či nakupovať cez e-shop. Všímať si tiež treba, či je webová stránka, ku ktorej sa používateľ pripája zabezpečená, šifruje komunikáciu a pred adresou má uvedenú skratku „https“.
Aj mail môže byť nebezpečný. Chrániť svoju e-mailovú adresu je podstatné, nevypláca sa ju zadávať na nedôveryhodných stránkach a zverejňovať ju. Lepšie je uchovať e-mailovú adresu v súkromí, s výnimkou blízkych ľudí. Pri nakupovaní na webe alebo pri registrácii novej služby je vhodné použiť alternatívny mail.
Ak do virtuálnej schránky príde pošta, ktorá sa javí ako od známeho, kolegu, zamestnávateľa či známej spoločnosti, s netypickým alebo podozrivým obsahom, je vhodné telefonicky alebo inak si overiť odoslanie správy s protistranou. Prípadne si kurzorom zastať na adrese či linku a nechať odhaliť, čo je skutočne pod ním. Niekedy sú totiž odosielateľom tzv. sociálni inžinieri.
Chrániť sa dá aj jedinečným, náhodným a silným heslom, ktoré je dobré pravidelne meniť. Používať treba rôzne heslá na rôznych účtoch a uistiť sa, že sa nikto nepozerá, keď ich používateľ zadáva. Nikomu ho netreba hovoriť a ak je to možné, je vhodné využiť viacfaktorové overenie.