Hackerské útoky mohou být zákeřné i vychytralé (ilustrační snímek)

Hackerské útoky mohou být zákeřné i vychytralé (ilustrační snímek) | foto: Profimedia.cz / koláž iDNES.cz

Chraňte si e-mail lépe než premiér na Seznam.cz. Jak se bránit útokům

  • 124
Z e-mailové schránky na Seznam.cz získali hackeři dopisy premiéra Sobotky a jeho spolupracovníků. Zatím není jasné, jak přesně se k účtu dostali, útočníci ale mohou na internetu číhat na každého. Ukážeme vám proto, jak podobné útoky mohou probíhat a jak se jim bránit.

Osobní e-mail premiéra Sobotky napadli hackeři a některé jeho soukromé i pracovní zprávy zveřejnili (více informací v našem předchozím článku). Šlo o soukromou schránku na bezplatné službě Seznam.cz, kde má svůj účet většina české internetové populace.

Nejčastější hesla

Nejčastější (a tedy špatná) hesla jsou např. „heslo“, sekvence znaků 123456, 12345678 nebo qwerty. Silné heslo je naopak unikátní, dlouhé, není ve slovníku a je těžké jej uhádnout.

Seznam.cz tvrdí, že hackeři neútočili metodou zkoušení velkého množství různých hesel (tzv. brute force) ani nehackli jejich servery. Premiér uvedl, že měl silné, 20 znaků dlouhé heslo „včetně kombinace čísel, malých a velkých písmen“, což zřejmě vylučuje variantu, že hackeři heslo uhodli (viz náš návod, jak zvolit heslo). Přesto se však e-maily dostaly do nepovolaných rukou.

Bližší okolnosti toho, jakým způsobem se nepovolaní návštěvníci do premiérovy soukromé pošty dostali, nejsou k dispozici, policie případ stále vyšetřuje.

E-mail zdarma Proč ne, ale musíte se zabezpečit

Jedna z otázek, které se po hackerském útoku objevily, zní, zda si premiér za potíže může sám, protože využíval tzv. freemail, tedy zdarma dostupnou e-mailovou schránku?

Dvojité zabezpečení

Two-step verification

Mezi služby, které nabízejí dvoukrokové zabezpečení, patří například Gmail.com (Google), Yahoo.com, Facebook.com nebo Live.com/Outlook.com (Microsoft).

Mít soukromou schránku není zřejmě ani v tomto případě nic divného. Ti, co hledají nějakou zabezpečenější freemail, by ovšem měli volit takový, jenž nabízí takzvané dvojité zabezpečení. „Některé freemaily mají zabezpečení na velmi slabé úrovni, některé na relativně dobré,“ říká David Řeháček ze společnosti Check Point. „Například Gmail má dvoufaktorovu autentizaci, což výrazně ztěžuje možnost zneužití ukradeného hesla, stejně tak umožňuje přístup k mailu pouze přes autorizované zařízení.“ V případě přístupu z jiného zařízení služba vyžaduje kromě hesla ještě například potvrzující SMS na mobil nebo vyžaduje zadání speciálního kódu z ověřené mobilní aplikace.

Řada zaměstnavatelů má nastavená - přinejmenším teoreticky - pravidla týkající se přeposílání pracovní korespondence na soukromý e-mail. Pokud tedy využíváte svůj osobní e-mail pro pracovní účely, zjistěte si nejprve, jak na to bude reagovat váš zaměstnavatel či vaše IT oddělení.

Vláda ČR v souvislosti s napadením premiérovy soukromé schránky zdůraznila, že „na e-mailovou adresu Bohuslava Sobotky nebyl nikdy zaslán materiál v utajovaném režimu.“

Spekulace Hackeři mohli využít nedůslednosti či nepozornosti

Při zamyšlení nad tím, jak se útok mohl odehrát, můžeme spekulovat o několika scénářích, které jsou na internetu celkem běžné a v repertoáru útočníků jsou už mnoho let.

Útočníkům stačí, aby jejich vyhlédnutá oběť při prohlížení internetu jednou jedinkrát „uklouzla“. Může jít například o e-mail tvářící se jako pozvánka na sociální síť, který ale odkazuje na soubor se škodlivým programem (malware).

Tzv. phishing aneb podvržení webových stránek za účelem získání soukromých údajů

Premiérův počítač se tak mohl nakazit a hackeři mohli získat každý stisk klávesy - tedy i heslo, jakkoli silné. Stejně tak mohl malware dorazit v příloze k e-mailu. Zpráva se mohla tvářit jako pracovní e-mail od kolegy, podvrhnout adresu odesílatele totiž není žádný problém.

Útočníci mohli také využít nějaké známé zranitelnosti v Adobe Flash a poslat premiérovi odkaz na stránku se škodlivým kódem. Nebo mohli podvrhnout přihlašování na e-mail (tzv. phishing) a heslo „vyloudit“ přímo od něj.

Je dobré zdůraznit, že silné heslo samo o sobě není zárukou bezpečí. Musí se také jednat o heslo unikátní: „Stačí, když se jedna z mnoha stránek, na kterých člověk heslo používá, stane terčem útoku (nebo byla založena přímo jako podvodná za účelem sbírání hesel, pozn. red.). V tu chvíli má útočník snadný přístup i do všech ostatních služeb, kde tento naivní uživatel použil stejné heslo,“ vysvětluje bezpečnostní výzkumník David Jacoby z Kaspersky Lab. Pokud premiér zvolil stejné heslo i pro nějakou jinou službu, mohlo se toto heslo dostat k útočníkům. To by byla varianta náhodného objevu, smysl v tomto případě dává spíše cílený útok. A útočníci mohli využít i různé techniky sociálního inženýrství, třeba v kombinaci s telefonátem.

Podle některých nepotvrzených spekulací mohl útočník získat přístup k e-mailu Bohuslava Sobotky jednoduše tím, že uhádnul odpovědi na bezpečnostní otázky ve formuláři „Zapomenuté heslo“. Tam totiž mohli útočníci teoreticky zadat jen veřejně dostupné údaje (datum narození, jméno matky za svobodna) a získat tak odkaz na reset hesla. Pokud by se tak stalo, majitel účtu na něj ztratil přístup okamžitě, protože útočníci by museli zvolit heslo nové. Nic takového ale premiér ani provozovatel schránky nepotvrdili.

Pozor Na internetu nemůžete věřit (skoro) ničemu

Důležité je si uvědomit, že prostředí internetové komunikace, na které jsme si důvěrně zvykli a které je pevnou součástí našeho dne, je pro laika velmi neprůhledné. Zatímco v reálném životě umíme docela dobře posoudit, kdy nám hrozí nebezpečí, na internetu si tyto návyky teprve vytváříme.

Když dostanete e-mailovou zprávu od příbuzného či známého, nenapadne vás zpochybňovat, zda skutečně pochází od něj. Kdybyste ale na ulici našli na stroji napsaný lístek se vzkazem od kamaráda adresovaný vám, zřejmě byste zapochybovali.

E-maily (s výjimkou šifrovaných e-mailů) jsou podepsány právě takovýmto způsobem, který může kdokoli snadno podvrhnout. Také zprávy na Facebooku nebo jiných sociálních sítích mohou být podvržené, ať už prostřednictvím pseudonymů, nebo hacknutých účtů.

Nejčastější pokusy útočníků vypadají například takto:

Falešné varování: webová stránka hlásí, že našla virus. Doporučuje, abyste si stáhli „antivir“, který je ale tím skutečným virem.

  • „Máte virus, nainstalujte si TENTO antivirus!“ - ve skutečnosti byste si právě takto stáhli do počítače skutečný vir
  • „Došlo ke změně na vašem účtu, přihlaste se do svého elektronického bankovnictví ZDE!“ - odkaz vede na stránku, která se tváří, že patří bance, ale je to past
  • „Zveme vás na konferenci, podívejte se na program v přiloženém souboru.“ - při cílených útocích může být takováto zpráva velmi věrohodná
  • „Vaše heslo bylo změněno a je nutné se znovu přihlásit!“ - takto okatá výzva by měla trknout každého, ale určitě se najdou ti, kteří se chytí
  • „Potřebuju, abys mi poslal peníze, ale rychle!“ Když vám taková zoufalá zpráva přijde od kamaráda na Facebooku, chcete mu co nejrychleji pomoci. Ale pozor, může jít o vychytralého podvodníka, který se zmocnil cizí facebookové identity (viz nedávný případ z Prahy). Přesměroval oběti na internetové bankovnictví a získal tak jejich přihlašovací údaje. Pak si ještě, stále pod ukradenou identitou „kamaráda“, řekl o přeposlání SMS ověřovacího kódu. Lekce je jasná: nevěřte na internetu ani těm, co vypadají jako vaši přátelé.

Pokaždé, když něco vybočuje ze standardní komunikace, by měla uživatelům v hlavě zablikat varovná světélka. A komu na bezpečnosti alespoň trochu záleží, ten by si měl osvojit základní zásady bezpečnější on-line existence.

Zásady Na internetu se chovejte jako na rušném tržišti

U vlastního počítače či mobilu se obvykle cítíme „jako doma“, tedy v pohodlí a bezpečí. To je ovšem klamný dojem, neboť zároveň se virtuálně pohybujeme v největší komunikační síti, jaká kdy existovala. Místo pohody domova si tak představme rušné tržiště. Navíc ještě takové, kde lidé nosí masky a nevidíte jim do tváře. Většinu času vám reálné nebezpečí nehrozí, ale přesto je dobré mít se na pozoru a uvědomovat si rizika.

  1. Zvolte si silné a unikátní heslo pro svůj e-mail. Toto heslo nikde jinde nepoužívejte, nikomu jej nesdělujte a nezadávejte jej na počítačích, kterým nevěříte (např. v internetových kavárnách).
  2. Pokud můžete, zabezpečte své účty (Google, Facebook apod.) dvoustupňovým zabezpečením. V takovém případě útočníkovi nestačí znát jen vaše heslo, musel by se také zmocnit vašeho telefonu. Dvoustupňové zabezpečení (v angličtině two-step verification) je sice občas nepohodlné, ale výrazně ztěžuje útoky na váš účet. A obvykle je zdarma. (Poznámka: Pokud není možné dvoustupňové zabezpečení, alespoň zvolte komplikovanou odpověď na tzv. „kontrolní otázku“).
  3. Dávejte pozor, kam klikáte a co stahujete. Právě prostřednictvím falešných pozvánek, podvržených přihlašovacích polí a zavirovaných příloh se na váš počítač či mobil může dostat špionážní prográmek, který hackerům řekne vše, co chtějí vědět. Nebo mohou také váš počítač ovládnout na dálku a využít k dalším útokům a rozesílání spamu. Hlídejte si, zda u důležitých stránek souhlasí jejich zabezpečení pomocí HTTPS (obvykle v prohlížeči znázorněno jako ikonka zámečku vlevo od adresy).
  4. Aktualizujte software. Mnoho útoků využívá známých zranitelností v systému (např. chyba v šifrování zvaná Heartbleed) a útočníci takovou chybu začnou využívat hned, jak ji objeví. Proto je důležité používat aktualizovaný internetový prohlížeč i operační systém.
  5. Zabezpečte svůj hardware. Co kdybyste ztratili svůj mobilní telefon nebo notebook? Máte obsah zašifrovaný a přístup zaheslovaný? Pokud ne, bude případný nálezce v pokušení zmocnit se vaší identity.

Více tipů najdete v našem článku o správném používání hesel.

Aktualizace: Do článku jsme doplnili spekulaci o resetu hesla. Doplnili jsme informace o finančním podvodu přes sociální sítě.