Přejít na hlavní obsah

Kybertým: Nenechte se napálit falešnými e-maily

Posílat osobní údaje, hesla nebo dokonce peníze na základě byť věrohodně vypadajícího e-mailu opravdu není dobrý nápad.



„Dobrý den, Váš univerzitní účet byl napaden hackery. Zašlete nám prosím co nejdříve heslo k tomuto účtu, abychom jej zabezpečili. S pozdravem Kyberbezpečnostní tým.“ Tak takový e-mail vám třeba z Ústavu výpočetní techniky Masarykovy univerzity nikdy nepošleme a ani v jiných organizacích to nebývá zvykem. Přesto se vám takové e-maily ve schránce objevit mohou…

Nejslabší článek v systému: Člověk

Představte si, že jste hacker a nutně se potřebujete dostat k datům jisté osoby. Máte na výběr dva scénáře. Buď se pokusíte obejít řadu technologických bezpečnostních opatření, což znamená spoustu práce, času a peněz, nebo se prostě dotyčné osoby zeptáte na její heslo.

Případ je samozřejmě zjednodušený, nicméně klíčová myšlenka platí. Pro útočníka je zpravidla mnohem výhodnější zaměřit se na člověka, než se pokoušet překonat technologie. Jsme totiž vytížení, líní, zaplavení informacemi a naše rozhodování není zdaleka tak racionální, jak bychom si přáli. Jinými slovy: děláme chyby a útočníci to vědí.

Sociální inženýři

Techniky útočníků zaměřené na člověka se označují jako sociální inženýrství. Pod sofistikovaným názvem se ukrývá obyčejná manipulace a podvádění. Každý sociální inženýr usiluje o to, aby přinutil oběť splnit nějaký jeho požadavek. To je jádro sociálního inženýrství. Může po vás například chtít, abyste na něco klikli, stáhli si, poslali mu nějakou informaci či provedli platbu. Sociální inženýři mohou mít různé motivy, a proto se liší i jejich požadavky.

Zdaleka ne vždy jde o prvoplánové žádosti o hesla či platby. Pro sociálního inženýra může být cenná každá informace, záleží na jeho cílech a motivaci. Běžné jsou případy, kdy útočník od více zdrojů získává pouze dílčí informace, a ty pak využije k provedení sofistikovaného útoku.

Sociální inženýři dokážou hrát přesvědčivě řadu rolí. Velmi často se vydávají za pracovníky IT oddělení, či jiné důvěryhodné osoby. K tomu, aby dosáhli svých cílů využívají řadu útočných metod. Některé z nich se provádí dokonce přímo osobně. Nejčastěji se však můžete setkat s útoky přes e-maily, proto se budeme věnovat dále jim.

Zákeřné rybaření

Označení phishing je odvozené od anglického fishing (rybaření). Útočník se totiž podobá rybáři, který nahazuje spoustu návnad. Postačí mu, když se chytí jen malé procento z nich. A to se často chytí. Návnada má obvykle podobu e-mailu, který se tváří důvěryhodně a často působí také na emoce.

Jeden z častých vzorců útoku spočívá v tom, že útočník vyvolá u oběti strach a zmatení a jménem nějaké autority jí nabídne jednoduché řešení. Takovým příkladem jsme začali tento článek. Úlovkem zákeřných rybářů jsou digitální identity uživatele, přihlašovací jména, hesla, čísla bankovních karet nebo přímo platby na účet podvodníka.

Sofistikovanější verzí je tzv. spear phishing (cílený phishing), který využívá předem získané informace o oběti. Zprávy mohou být konstruovány tak, aby co nejvíce imitovaly důvěryhodného odesílatele. Tímto způsobem se snaží cílové osoby přesvědčit, že se jedná o autentickou zprávu. Díky většímu zacílení na konkrétní uživatele dosahuje tato metoda většího účinku než běžný phishingový útok.

Množství phishingových útoků dlouhodobě narůstá. Bohužel už dávno neplatí, že nás chrání jazyková bariéra. Současné útoky využívají plynulou češtinu. Kyberbezpečnostní tým CSIRT-MU už odhalil více phishingových útoků zaměřených přímo na Masarykovu univerzitu. Poslední kampaň proběhla ani ne před rokem. Útočníci v ní varovali před phishingem a vybízeli k aktivování zabezpečení proti němu. Odkaz směřoval na podvrhnuté stránky, takže veškeré zadané údaje směřovaly přímo k útočníkům.

Jak se bránit?

Základem je vědět, že sociální inženýři existují a udržovat si trvalý kritický odstup k požadavkům, které nám v e-mailech přichází. Takže pozor na klikání, stahování, zasílání informací či dokonce peněz. Zpozornit bychom měli zejména tehdy, když se požadavek týká zneužitelných služeb či informací. Více jsme o nich psali v našem minulém článku. Varovnými znameními jsou také vyvolávání obav, časový nátlak, vzbuzování zvědavosti či nabídky snadného prospěchu.

Pokud pracujete, nebo studujete na Masarykově univerzitě, a domníváte se, že jste se stali terčem takového útoku, tak neváhejte využít možnosti nahlášení incidentu u Kyberbezpečnostního týmu Masarykovy univerzity. Pomůžete tím nejen sobě, ale také ostatním.

Zároveň však nezapomínejte, že požárům je vždy lépe předcházet, než je hasit. Kritické myšlení je proto nejlepší obranou pokaždé, když se vás někdo pokouší napálit.

Autorem textu je CSIRT-MU – kyberbezpečnostní tým Masarykovy univerzity.

Hlavní novinky