Nejznámější praktiky vedoucí ke krádeži hesel

Chcete zjistit něčí heslo? Opravdu? Potom byste měli zvážit své životní nastavení. Ale teď jinak. Místo zjišťování něčích hesel se raději podívejte na to, jak je chránit. Možná zjistíte, že porušujete řadu pravidel.
ilustrační snímek

ilustrační snímek | foto: Depositphotos

Když se řekne nabourat se do PC nebo nějakého informačního systému, většina lidí si asi vybaví někoho, kdo sedí u počítače s více obrazovkami, na kterých mu běží Matrix kód. A nejspíš by měl sedět někde v temné místnosti, ze které již tři týdny nevylezl, a jíst pizzu. Dnešní kyberzločince tato charakteristika rozhodně nevystihuje. Používají pokročilé techniky a sofistikované algoritmy, které pracují za ně.

Data, jsou to nejcennější vlastnictví – a osobní dvojnásob. Proto se hackeři čím dál tím častěji zaměřují na krádež osobní identity, respektive uživatelské jméno a heslo. Dvě věci, které v případě, že jsou dobře chráněny, není možné jen tak zneužít. Lidé jsou však líní a nepoučitelní. Místo toho, aby používali silná hesla, a ještě lépe dvoufázové ověřování, volí hesla ve stylu svého jména kombinovaného s číslem či speciálním znakem. Až groteskně potom zní kombinace typu – qwerty, 123456, heslo, 111111 a jim podobné. Přitom tato a podobně směšná hesla se neustále objevují a vévodí žebříčkům nejhorších hesel.

Pokud někdo dokáže uhodnout heslo, nepotřebuje k provedení útoku znát speciální hackerské techniky ani vlastnit superpočítač. Prostě se prokáže, respektive k systému přihlásí a v tu chvíli je vámi. Jestliže jsou vaše hesla krátká, jednoduchá, znamená to pro vás „konec hry“. Mezi nejčastějšími běžnými taktikami, kteří hackeři používají k hacknutí vašeho hesla, přitom vévodí následujících osm praktik. Proto byste se jim měli bránit.

1. Slovníkový útok

Mezi zcela nejjednodušší taktiky pro získání hesla se řadí ten založený na tzv. slovníkovém útoku. Proč se mu říká právě takto? Protože automaticky zkouší každé slovo definované v „slovníku“ známých či nejpoužívanějších hesel, který je neustále vylepšován. Ve skutečnosti jde o malý soubor uložených kombinací hesel. Ano, mohou to být i již výše zmíněná hesla.

Vyšel seznam nejpoužívanějších hesel. Pokud tam najdete své, změňte ho

2. Hrubá síla

Další praktikou je útok hrubou silou, kdy útočník zkouší všechny možné kombinace znaků. Tedy písmen (malých i velkých), číslic i speciálních znaků. Samozřejmě se zaměřují na dnes již běžně vyžadované kombinace hesel, respektive náležitosti, kdy mají být hesla složena z určitého počtu znaků, obsahovat malá a velká písmena, čísla a znaky. I útok hrubou silou se nejprve zaměřuje na vyzkoušení nejčastěji používaných kombinací alfanumerických znaků. Patří mezi ně dříve uvedená hesla a také 1q2w3e4r5t, zxcvbnm, qwertzuiop atd. Zjištění hesla touto metodou je však časově velmi náročné. V řadě případů trvá velmi dlouho, a tím velmi dlouho máme na mysli měsíce či roky. Doba zcela záleží na složitosti hesla.

3. Phishing

Zatímco předchozí dvě metody nejsou založené na kooperaci s nějakým pomocníkem, tato na to jde jinak. Ve své podstatě nejde přímo o hack hesla, ale spíš způsob, jak ho vylákat přímo z osoby. Osoby, která ho zná a nevědomky v dobré víře vyzradí. Tato praktika začala rozesíláním různých e-mailů, které žádaly o sdělení přístupových údajů do bankovnictví, e-mailu apod. Následovaly sofistikovanější e-maily, které odkazovaly na web, který vypadal jako vaše banka, provozovatel e-mailu apod. Po zadání přístupových údajů putují přímo k útočníkovi a ten je potom použije v oficiálních webech. Metoda, které se říká phishing (a přestože je již hodně letitá), je stále jednou z nejoblíbenějších, jak zjistit něčí heslo. Stále se totiž najde někdo, kdo s ní ještě nepřišel do styku, nebo o ní neslyšel a tím pádem se nechá napálit. Když útočník rozešle stovky tisíc e-mailů, nějaké to promile jedinců, kteří naletí se najde, a to mu zcela postačuje. K tomu, aby vyvíjel tuto aktivitu.

Phishingový e-mail obecně funguje takto

  • Cílový uživatel obdrží podvržený e-mail, který předstírá, že pochází od velké organizace nebo firmy.
  • Falešný e-mail vyžaduje okamžitou pozornost a obsahuje odkaz na webovou stránku.
  • Tento odkaz se ve skutečnosti připojuje k falešnému přihlašovacímu webu, který je připraven tak, aby vypadal přesně stejně jako legitimní stránka.
  • Nic netušící cílový uživatel zadá své přihlašovací údaje a je buď přesměrován, nebo informován, aby to zkusil znovu.
  • Uživatelské přihlašovací údaje jsou odcizeny, prodány nebo zneužity.

Denní objem spamu odeslaného po celém světě zůstává vysoký a dosahuje více než poloviny všech celosvětově odeslaných e-mailů. Ještě v roce 2017 byla největším phishingovým lákadlem falešná faktura. V roce 2020 však pandemie Covid-19 dala vzniknout nové vlně škodlivých spamů a phishingových e-mailů na téma pandemie. Obrovské množství těchto e-mailů se veze na vlně oficiálních sdělení vlád nebo zdravotnických organizací a přistihne oběti nepřipravené.

4. Sociální inženýrství

Sociální inženýrství je další metodou, která funguje na velmi jednoduchém principu – důvěře. V podstatě jde o jiný druh phishing. Dejme tomu, že někdo zavolá do firmy, představí se, že je novým členem týmu technické podpory společnosti a potřebuje znát vaše přihlašovací heslo do nějakého konkrétního systému. Nic netušící jedinec tímto způsobem může vyzradit přihlašovací jména a hesla nejen k firemní IT infrastruktuře a systémům, ale také dokonce vlastní, třeba pro přístup do online bankovnictví. Děsivé přitom je, jak často to na oběti funguje.

Sociální inženýrství existuje po staletí. Získávání vstupu do nějakým způsobem zabezpečené oblasti je totiž běžný způsob útoku, před kterým se lze chránit pouze edukací a výchovou od mala. Cílem přitom nemusí být pouze heslo, ale třeba zmíněný podvodný technik přímo v kanceláři, který po vás bude vyžadovat abyste se před ním zalogovali do určitého systému. Při zadávání si zapamatuje heslo, a to mu stačí. Tato metoda je přitom v současné době z námi uvedených tou nejvíce fungující.

5. Duhová tabulka

V originále Rainbow table je obvykle forma offline útoku na heslo. Dejme tomu, že útočník například získá seznam uživatelských jmen a hesel, která jsou však nějakým způsobem šifrována. Zašifrované heslo je hashováno. To znamená, že vypadá úplně jinak než původní heslo (je skryto za smetí nesmyslných znaků – hash). Například heslo „123456“ (doufejme, že ho nepoužíváte) má MD5 hash „e10adc3949ba59abbe56e057f20f883e“. Jak vidíte, jde o matematickou funkci (resp. algoritmus) pro převod vstupních dat do jiného formátu.

Útočníkovi potom stačí vzít hesla v zašifrované podobě, a pokud zná hashovací algoritmus (v našem případě např. MD5 hash), tak je dešifruje. Proto kvalitní systémy používají vlastní hashovací algoritmy. I proto duhová tabulka obsahuje obrovskou sadu předem vypočítaných hash hodnot – specifických pro použitý algoritmus. Použití duhové tabulky drasticky zkracuje čas potřebný k prolomení zahashovaného hesla. Duhové tabulky – naplněné miliony potenciálních kombinací – je přitom možné běžně zakoupit na darknetu.

6. Malware a keylogger

Dalším jistým způsobem, jak uživatelé mohou snadno přijít o přihlašovací údaje, je napadení malwarem. Tento druh škodlivého počítačové kódu je všude a může způsobit obrovské škody. Navíc, pokud malware obsahuje keylogger, můžete dojít ke kompromitování všech vašich účtů. Alternativně by se malware mohl konkrétně zaměřit na soukromá data nebo zavést trojského koně, který útočníkovi dovolí počítač ovládat vzdáleně, díky čemuž snadno dojde ke krádeži přihlašovacích údajů.

7. Vyhledávací pavouk

Neboli spidering je metoda, která navazuje na slovníkový útok. Pokud se hacker zaměří na konkrétní instituci nebo firmu, může vyzkoušet řadu hesel souvisejících se samotnou firmou – útočník si o podniku nebo nějakém zaměstnanci zjistí maximu informací, přičemž mu pomáhá vyhledávač (vyhledávací pavouk, odtud označení spidering), který na internetu hledá požadovaná data. Ve své podstatě může být použít i běžný internetový vyhledávač (např. Google, Bing atd.), který prochází internet a indexuje obsah. Nalezené informace jsou následně využity v naději, že se najde shoda.

Závěrem

Jak je patrné, kromě toho, že byste měli používat opravdu silná hesla, nikomu je nesdělovat, tak si ještě musíte dávat pozor na různé podvodné metody. Zabránit hackerovi v ukradení hesla tak nemusí být zcela snadné. Nikdy tak neučiníte ze 100 procent. Nástroje a praktiky, které útočníci používají ke krádeži dat, se však neustále mění. Existuje přitom nespočet videí a návodů, jak uhodnout hesla nebo se naučit hacknout heslo. I proto firmy jako Apple, Google či Microsoft tlačí na to, aby se hesla stala minulostí. Než se to stane běžné, začněte, kde to jen lze, používat dvoufázovou autentifikaci.

Učiňte Google účet nedobytným, třeba i díky ověřování smartphonem

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 30 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Dočasná raketa se po téměř 70 letech loučí. Nyní startuje naposledy

v diskusi jsou 3 příspěvky

28. března 2024  15:36

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 30 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 34 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...