Magazín

Jak chránit vaše data a digitální identitu

V tomto webináři se náš IT bezpečnostní šampion Pavel Matějíček zaměřil hned na několik důležitých témat z oboru kybernetické bezpečnosti. V úvodu se můžete dozvědět, jak rozpoznat phishing a neupadnout do pastí moderních kybernetických útoků nejen prostřednictvím e-mailu. Dále se mluvilo o budoucnosti bez hesel – jaké alternativy nás čekají a kdy to přijde? Je to vůbec možné? Řeč byla také o tom, jak ochránit svoji online identitu a jakou technologií je dobré se vybavit.

Záznam webináře

Jak rozpoznat phishing?

V poslední době je, vzhledem k narůstajícímu množství útoků, složitější rozeznat, s jakým typem podvodu máme tu čest. Co to tedy vlastně je ten phishing? Jedná se o jednu z metod tzv. sociálního inženýrství, která využívá manipulace, aby získala vaše přihlašovací údaje či jiná důležitá data. Ty tam jsou doby, kdy bylo jeho rozpoznání snadné. Útok se vyznačoval špatnou, lámanou, či strojově přeloženou češtinou, za toto „zlepšení“ vděčíme zejména zkvalitnění automatických překladačů.

Z podvodného e-mailu či zprávy je pak obvykle nutné přejít na podvodnou stránku, kde se přihlásíte, otevřete škodlivou přílohu plnou malwaru a podobně. Tím dojde buď ke zcizení vašich přihlašovacích údajů či ke kompromitaci malwarem. Phishing tak svůj účel splní a vy jste se nechali chytit na háček. Tyto útoky bývají úspěšné zhruba v 60 % případů.

Druhy phishingu

Známá klasika i aktuální novinky

Máme tu klasiku, kterou už alespoň jednou viděl snad každý uživatel – přijde e-mail, napsaný tak, že se v nějaké části najde snad každý a proto je snadno uvěřitelný. Občas stále obsahují gramatické chyby, prokliku někdy chybí HTTPS certifikát a zpravidla necílí přímo na vás osobně. Jednat se může jak o oficiální e-mail z nějaké instituce, tak třeba o výhodnou nabídku produktů a podobně.

Dále tu máme spear phishing, který už je konkrétní a cílený buď na vás, nebo na vaši organizaci. Útočníci si tedy už dali nějakou práci, aby si o vás zjistili informace a často se vydávají za někoho, koho znáte. Tento typ phishingu je zpracován profesionálně, podvodné stránky mají platný certifikát a je velmi obtížné je rozeznat od těch pravých. Odesílatel často využívá tzv. homoglyfy, tedy znaky, které jsou si navzájem velmi podobné, takže je při čtení nerozeznáte.

Phishing už dávno nejsou pouze e-maily

Před Vánoci jsme se mohli setkat s masovou náloží smishingu, tedy phishingu formou SMS zpráv. Tímto typem útoku útočníci zkouší obejít antispamové a antiphishingové nástroje, které bývají v počítačích a spoléhají na to, že v telefonu nic takového běžní uživatelé nemají. I zde využívají různé finty na to, jak vás přimět k proklikuzkopírujte tento odkaz do svého prohlížeče a podobně.

Vishing není podvodná zpráva ale telefonát, který má za cíl vylákat z vás co nejvíce informací, které jsou pak často využity pro další útok. Druhou možností je, že po vás útočník přímo vyžaduje nějakou akci – otevřít e-mail, někam se přihlásit, stáhnout aplikaci na plochu…

Žhavou novinkou, která se teď těší nebývalému nárůstu, je quishing, tedy podvody formou QR kódů, které vás zavedou na stránky podvodníků, kde potom přijdete o své údaje.

Aktuálně se můžeme setkat i s mnoha dalšími modely sociálního inženýrství, které jsou neméně zákeřné, z nich stojí za zmínku například takzvaný OMG kabel. Ten vypadá jako naprosto obyčejný kabel, kterým si připojíte telefon k počítači, háček je ale v tom, že dokáže vytvořit samostatný Wi-Fi hotspot, ke kterému se útočník vzdáleně připojí a může zaznamenat vše, co napíšete, včetně hesel či jiných citlivých údajů.

Zajímá vás více?

Phishing, quishing, SPAM a SCAM – co je co a jak se v tom vyznat
Více o homoglyfech
Generátor homoglyfů
URL Analyzér
Analyzér hlaviček e-mailů
VirusTotal

Čeká nás budoucnost bez hesel?

S hesly je potíž v tom, že jich je v dnešní dobře potřeba značné množství a špatně se pamatují. Správné bezpečné heslo by mělo mít délku kolem 15 znaků, mělo by být náhodné a mělo by obsahovat různé znaky. Proto je více než vhodné vybrat si a používat správce hesel, který udělá náročnou práci za vás a navíc vám pomůže rozpoznat podvodné stránky. Rozhodně není vhodné využívat stále stejná hesla napříč všemi různými uživatelskými účty!

Jak dlouho s námi ještě budou hesla?

Hesla s námi ale budou rozhodně ještě velmi dlouho, spousta institucí a služeb dodnes neobjevila dvoufaktorové ověřování a hesla mají stále vylepená na monitorech a podobně. Některé služby už přistupují k přihlašování pomocí tzv. „passkey.“ Passkey představuje digitální záznam, který bezpečně propojuje vaše informace se službou například pomocí otisku prstu, skenu obličeje, či jiného zámku displeje, kterým nahrazujete manuální zadání hesla. Pak je tu ale celá řada služeb, která tuto možnost nevyužívá a ještě dlouho nebude.

Užitečné odkazy

Správce hesel – jak na to?
Jak bezpečné je moje heslo?
Jak dlouho by trvalo prolomit mé heslo?
Sticky Password
Bitwarden
Jak používat bitwarden?
Passkey pro iPhone
Passkey pro Android
have i been pwned?
Proč nepoužívat LastPass?
Digitální pozůstalost