Dokud šlo o e-maily psané lámanou češtinou a my si byli absolutně jistí, že jsme nikdy žádnou lechtivou fotku ani nepořídili, natož abychom ji někomu poslali, šlo se z toho šoku vzpamatovat poměrně snadno.

Co ale dělat v době, kdy se z nás díky sociálním sítím a generativní umělé inteligenci můžou stát pornoherci snadno a do pár minut?

Co je sextorze?

Sextorze (z anglického sextortion) je typ vydírání, při kterém pachatel vyhrožuje zveřejněním intimních fotek nebo videí, pokud oběť nezaplatí a/nebo nepošle další materiály.

Rozlišujeme dva hlavní typy sextorze:

1. Útočník materiály intimní povahy skutečně má, protože je od oběti získal buď legitimně (např. bývalý partner/ka) nebo milostným podvodem.
2. Útočník materiály nemá (a nikdy neměl) nebo si vytvořil deepfaky pomocí generativní umělé inteligence.

Zatímco první typ sextorze většinou cílí na konkrétní osobu, druhý má často podobu hromadného e-mailu a řadíme ho mezi techniky sociálního inženýrství.

Sextorze jako e-mailový podvod

Sextorze ve smyslu podvodného vydírání tradičně vypadá nějak takto:

• Neznámý odesílatel v nevyžádaném e-mailu tvrdí, že nám „hacknul“ počítač a vlastní intimní záznamy pořízené přes webkameru nebo ukradené z disku. Jako důkaz slouží buď příloha e-mailu nebo odkaz, který údajně vede ke stažení záznamů.
• Pro zvýšení důvěryhodnosti uvede webovou stránku, kterou jsme navštívili, nějaké naše heslo či adresu. Využít také můžou spoofing naší e-mailové adresy, tzn. e-mail nám přijde od nás, aby podpořili dojem, že se nám dostali do zařízení.
• Útočník nám dá ultimátum: pokud do 24 nebo 48 hodin nezaplatíme (většinou v kryptoměně), pošle inkriminované materiály všem našim kontaktům.

Důležité je uvědomit si, že téměř všechny tyto e-maily jsou podvody a útočník ve většině případů nemá žádné skutečné intimní záznamy. Pokud má e-mail přílohu nebo obsahuje odkaz, v drtivé většině případů vede ke stažení malwaru.

Osobní a přihlašovací údaje, kterými se nás snaží zastrašit, získal z historických úniků dat, kampaní infostealerů, dark webu, účtů na sociálních sítích či od data brokerů (společností zabývajících se sběrem a prodejem osobních dat).

Generativní umělá inteligence nás umí doslova svléknout

Rozšíření generativní umělé inteligence značně usnadnilo a zlevnilo produkci tzv. deepfaků. To znamená, že k vygenerování realistických fotek nebo videí pornografické povahy útočníkům většinou stačí jen fotografie, které sami uveřejňujeme na sociálních sítích.

Dobrým případem je nedávná kauza Groka, integrovaného chatbota sociální sítě X, který na základě jednoduchého promptu od uživatelů svlékal oběti doslova na počkání, a to včetně dětí a nezletilých.

Proč na nás sextorze funguje?

Pokud se nám nic podobného nikdy nestalo, je snadné si říct, že nás by útočníci nikdy nedoběhli. Ve chvíli, kdy stojíme tváří v tvář skrytému útočníkovi, který o nás zdánlivě ví všechno, nebo hůř, vlastním podvrženým „nahotinkám“, je ale všechno jinak. Rozhodují totiž hlavně naše emoce:

• víra v prezentovaná, skutečná či zfalšovaná data nás znejišťuje;
• strach potlačuje racionální myšlení;
• pocit naléhavosti za nás dělá uspěchaná a nedomyšlená řešení;
• a stud zajišťuje, že nevyhledáme pomoc a zaplatíme.

Stali jsme se obětí sextorze. Co teď?

V první řadě si musíme uvědomit, že tento podvod funguje jen v případě, že napřed jednáme a až pak myslíme. Proto je důležité se napřed pořádně uklidnit a pak začít postupovat podle následujících kroků:

1. Neklikejte na žádné odkazy a neotevírejte přílohy. S největší pravděpodobností obsahují jen malware.
2. Pokud e-mail zmiňuje adresu/heslo, zkontrolujte si, zda se vaše údaje objevily v nějakém úniku dat a hesla samozřejmě hned změňte.
3. Nikdy neodpovídejte, tím vyděračům jen potvrdíte, že je vaše e-mailová adresa aktivní, a přitvrdí.
4. Označte e-mail jako spam a ideálně i zablokujte odesílatele.
5. Neplaťte výkupné, to vede jen k dalším požadavkům.
6. Nahlaste podvod na policii, zvlášť v případě nezletilých obětí.

Pokud jste vyděračům už zaplatili, v platbách rozhodně nepokračujte. Uložte si všechny zprávy i transakce a platby nahlaste jako podvodné. Pak podejte trestní oznámení.

Jak můžeme sextorzi v podobě podvodných e-mailů předejít?

Protože je sextorze v této podobě prachobyčejný internetový podvod, nejlepší ochranou je dodržování základních pravidel online bezpečnosti.

• Vytvářejte si unikátní a silná hesla pro všechny účty, které používáte.
• Pokud zrovna nepoužíváte webkameru, zakrývejte ji.
• Zkontrolujte si nastavení ochrany soukromí na sociálních sítích.
• Omezte množství osobních informací, které dáváte na internet. Nikdy nevíte, kdo se dívá.
• Pravidelně kontrolujte, zda vaše data nikam neunikla, např. přes Have I Been Pwned.
• Pořiďte si spolehlivé bezpečnostní řešení, které brání klikání na phishingové odkazy a chrání tak před infostealery, které jdou právě po vašich heslech.
• Pokud jste rodičem, otevřeně s dětmi mluvte o zneužitelnosti generativní AI nejen pro sextorzi.

Závěrem…

Sextorze je založená především na našem strachu. Ať už vyděrači skutečně mají intimní materiály nebo tím jenom vyhrožují, cílem je vždycky vyvolání paniky, ve které jim prostě zaplatíme. Jediná efektivní obrana je v tomto případě říct si o pomoc rodině, přátelům a policii.

Účinná preventivní opatření zahrnují úklid naší digitální stopy, pečlivou ochranu všech online účtů a čerstvé informace o vývoji nových hrozeb. Kybernetičtí útočníci a vyděrači nejdou přímo po nás, zkouší to na všechny. Dělejme tedy, co je v našich silách, aby si vylámali zuby.

Mohlo by vás zajímat:
🚩 Jak poznat podezřelé přílohy a podvodné e-maily?
🚩 Co je sociální inženýrství a jak se před ním bránit?
🚩 Bezpečný sexting: Jak se vyhnout rizikům?

A jedním z nejsnadnějších způsobů, jak je z nás dostat, je sociální inženýrství.

Co je sociální inženýrství?

Sociální inženýrství je soubor technik, které útočníci využívají k psychologické manipulaci svých obětí. Cílem je většinou nasdílení přihlašovacích údajů, potvrzovacích kódů nebo nevědomá instalace malwaru.

Proč je sociální inženýrství tak úspěšné (a tím pádem nebezpečné)? Protože my, lidé, jsme nejen omylní, ale hlavně sociální bytosti naprogramované věřit ostatním lidem a příběhům, které nám vyprávějí. Zvlášť, když je považujeme za autority.

„Sociální inženýrství funguje, protože zneužívá rozporu, který v nás vytváří vrozené sociální instinkty a naučené zásady kybernetické bezpečnosti,“ vysvětluje náš globální bezpečnostní poradce Jake Moore. „Řečeno jednoduše, sociální inženýři využívají naší důvěřivosti a dělají to hodně dobře.“

Sociální inženýrství často nevyžaduje ani malware, ani sofistikované využívání zranitelností našich zařízení. To znamená, že útoky postavené na něm jsou hůř detekovatelné a hlavně levnější. Obě tyto výhody navíc ještě podpořil nástup generativní AI, která umožňuje snadno vytvářet např. bezchybné phishingové e-maily či přesvědčivé deepfaky.

Jak přesně funguje sociální inženýrství?

Moderní útok na bázi sociálního inženýrství většinou probíhá takto:

1. Průzkum. Sociální inženýři si své oběti „šacují“ podobně jako zloději nebo klasičtí podvodníci. Jako zdroje informací jim slouží naše sociální sítě, balíčky kradených dat z dark webu nebo (v případě útoků na firmy) zpravodajství z otevřených zdrojů (OSINT).
2. Plánování. Na základě získaných informací si útočníci zvolí nejdůvěryhodnější kanál (např. e-mail, soukromou zprávu na sociálních sítích, QR kód nebo i osobní setkání), kterým útok uskuteční, a uvěřitelnou „návnadu“.
3. Útok. Útočník nahodí návnadu (např. urgentní žádost, příslib odměny, vzbuzení strachu či odvolání se na autoritu), oběť se chytí a provede požadovanou akci (např. klikne na podvodný odkaz, otevře škodlivou přílohu, převede peníze nebo prozradí své přihlašovací údaje).
4. Únik. Útočník ukradne přihlašovací údaje, inkasuje poslané peníze nebo spustí nainstalovaný malware a užívá si plody své práce.
5. Reakce. Poškozená strana si uvědomí, co se stalo, a ideálně začne podnikat kroky k nápravě.

Sociální inženýrství z pohledu psychologie

Sociální inženýrství a na něm založené kybernetické útoky nejsou v jádru ničím jiným než útokem člověka na člověka. Hlavní zbraní je v tomto případě manipulace, která je podle amerického psychologa Roberta Cialdiniho založená na následujících principech:

• Autorita: Lidé mají tendenci plnit pokyny těch, které vnímají jako vůdce, což je přesně důvod, proč se podvodníci často vydávají za pracovníky bank, státní úředníky, policisty apod.
• Urgence/FOMO: Pokud je na nás vyvíjen nátlak, že když nebudeme hned jednat, stane se něco špatného nebo nám něco vzácného uteče, zvyšuje se šance, že poslechneme. Tento typ manipulace hojně využívá phishing, např. výhružkou, že nám někdo do 24 hodin deaktivuje účet, nebo příslibem výhry, kterou je nutné vybrat včas.
• Vzájemnost (reciprocita): Lidé nemají rádi pocit, že jsou někomu něco dlužní, a mají často potřebu se revanšovat. Toho zneužívají třeba phishingové e-maily, které slibují dárek nebo produkt zdarma výměnou za to, že se někam přihlásíme, na něco klikneme apod.
• Závazek: Většina z nás se snaží zůstat v názorech a jednáních důsledná, což se projevuje například i tak, že pokud na nějaké podmínky přistoupíme jednou, nejspíš to uděláme znovu, i když se po nás tentokrát chce víc. Proto mají sociální inženýři tendence útoky opakovat.
• Sociální schválení: Lidé mají sklony jít s davem, takže pokud v nás někdo vzbudí dojem, že většina lidí udělala, co se po nás chce, existuje vyšší šance, že to uděláme taky. Toho se využívá např. při phishingových útocích na firmy, při kterých se zaměstnancům tvrdí, že kolegové už „potvrdili údaje“.
• Oblíbenost: Většina lidí se rozhoduje na základě sympatií. To znamená, že pokud nám žádost předkládá někdo, kdo se nám líbí, spíš řekneme ano. Proto se sociální inženýři snaží vybudovat co nejpevnější vztah s obětí.

Sociální inženýrství není jen phishing

O tom, že podvody či krádeže dat založené na sociálním inženýrství často nejsou zvlášť technologicky vyspělé, už jsme mluvili. A co je to phishing nejspíš také znovu vysvětlovat nemusíme. Pojďme se tedy podívat na jeho možná méně známé formy:

• Push bombing je bombardování notifikacemi z aplikace pro vícefaktorové ověření. Cílem je příjemce zmást nebo doslova „uhnat“, aby aspoň jedno z nich potvrdil.
• Quishing je phishing pomocí QR kódu, který bývá vyvěšený na veřejných místech nebo zaslaný e-mailem. Stejně jako v případě klasického phishingu vede uživatele na podvodné stránky nebo ke stažení malwaru.
• ClickFix je poměrně nový způsob, jak do zařízení oběti dostat malware. V první fázi jde o klasický phishing, ale jakmile oběť dorazí do cíle (např. na falešnou stránku), vyskočí jí upozornění, že došlo k dočasné chybě, kterou může opravit jen tak, že zkopíruje a vloží kód do příkazového řádku. Tím nainstaluje malware.

Mezi metody sociálního inženýrství, které se neopírají o phishing, patří třeba milostné podvody, podvody na (pra)rodiče nebo sextorze. Tyto typy podvodů hojně využívají deepfaky vytvořené pomocí generativní umělé inteligence, které útočníkům usnadňují vydávat se za někoho jiného nebo vytvořit falešný pornografický materiál pomocí fotek ze sociálních sítí.

Jak se bránit sociálnímu inženýrství?

Metody sociálního inženýrství a způsoby, jak je na nás uplatnit, jsou různé, ale jedno mají většinou společné: žádost o peníze a/nebo přihlašovací či jiné důvěrné údaje. Pokud na takovou žádost narazíme, je naprosto zásadní nechat si ji pořádně projít hlavou.

„Pokud v nás někdo vyvolává urgenci nebo strach, je potřeba zpomalit a všechno si ověřit,“ radí Jake Moore. „Většina útoků sociálního inženýrství se totiž zhroutí ve chvíli, když se odpojíme od platformy, kterou sociální inženýři k útoku používají, a tím narušíme příběh, který nám vyprávějí. To je přesně důvod, proč se nás snaží např. udržet na telefonu, dokud neuděláme, co chtějí.“

Odolnost proti sociálnímu inženýrství můžete podpořit následujícími kroky:

1. Zvyšujte si povědomí o tom, jaké typy podvodů existují a jaké metody a technologie používají.
2. Aktivujte si všechny bezpečnostní prvky, které vám technologie a platformy umožňují (např. vícefaktorové ověření), a pořiďte si dobrý antivir s ochranou proti phishingu nebo blokací pochybných telefonních čísel.
3. Mluvte o hrozbách sociálního inženýrství otevřeně, a to hlavně doma s dětmi a seniory, na které podvodníci cílí také.

Shrnutí:

Sociální inženýrství není úspěšné, protože jsou podvodníci mimořádně technicky zdatní, ale protože je postavené na psychologické manipulaci. A tu neumí zastavit ani nejlepší bezpečnostní software. Jediná spolehlivá ochrana je tedy ta, která kombinuje informovanost, ostražitost a technologickou ochranu, která nás podrží i ve chvíli, když náš úsudek selže.

Mohlo by vás zajímat:
🎭 Sociální inženýrství online, jak nenaletět?
🎭 Sociální inženýrství: Jak se mu efektivně bránit?
🎭 Poznáte phishingový e-mail? Projděte si test, který vytvořil Google

Stačí dodržovat několik základních zásad a útočníci nepochodí. V první řadě je potřeba škodlivou přílohu rozeznat. Základní tipy, pro vás shrnujeme i ve videu:

Jak fungují podvodné přílohy v e-mailech?

Podvodná příloha může vypadat jako běžný dokument – faktura, smlouva nebo třeba výpis z účtu. Když ji ale otevřete nebo kliknete na odkaz v takovém dokumentu, spustí se na pozadí škodlivý kód (malware). Ten pak může dělat různé věci: sledovat, co píšete na klávesnici (keylogger) , ukrást přihlašovací údaje, zašifrovat celý počítač (ransomware) nebo ho zapojit do sítě napadených zařízení (botnet).

V důsledku je cílem podvodného e-mailu nebo spamu vydělat peníze. Možností je řada, například vytěžit vaše data a prodat je, zapojit výpočetní výkon zařízení do těžby kryptoměn nebo třeba díky výpočetnímu výkonu umožnit provádět sofistikované útoky na korporace.

V Česku nejčastěji podobné útoky těží data, zejména přihlašovací údaje. Útočníci s nimi pak obchodují na dark webu. (Detaily o těchto útocích se dočtete zde.)

Pozor na zdvojené přípony

Útočníci často maskují podvodné přílohy pomocí tzv. zdvojené přípony. Například: V e-mailu vám odesílatel sděluje, že je nutné proplatit fakturu po splatnosti nebo dojde k zahájení exekuce. V příloze takového e-mailu je soubor faktura.pdf.exe. Na první pohled si člověk všimne jen „.pdf“ a předpokládá, že jde o běžný dokument. Navíc, kdo by chtěl problémy s  exekucí, že? Rychle jdete otevřít přílohu, abyste to vyřešili.

Ve skutečnosti je v příloze ale spustitelný program (.exe), který může po otevření nainstalovat škodlivý kód. Problém je, že některé e-mailové aplikace nebo Windows standardně nezobrazují celé přípony – takže uvidíte jen „faktura.pdf“ a nepoznáte hned, že je něco špatně.

6 tipů, jak nebezpečnou přílohu poznat

1. Nejčastěji dostanete podvodný e-mail od neznámého odesílatele jako spam. Škodlivá příloha ale může přijít i od důvěryhodného zdroje, pokud útočníci napadli jeho e-mailový účet a zneužili k šíření malware.
2. E-mail jste neočekávali, ale píše se v něm o něčem důležitém. Útočníci pracují s našimi emocemi jako je strach (exekuce) nebo radost (náhodná výhra či dědictví). Podvodníci se často vydávají za autority (úřady, kurýry, IT podporu), aby vás přiměli přílohu otevřít.
3. Příloha má nezvyklou příponu. Soubory končící na .exe, .bat, .js, .vbs nebo .scr mohou být nebezpečné. Běžný dokument má většinou .pdf, .docx nebo .xlsx.
   Případně má zdvojenou příponu, o tom, proč  jsou zdvojené přípony nebezpečné se dočtete výše.
4.  Příloha má příliš obecný název. Soubor pojmenovaný „dokument1.pdf“ nebo „scan.zip“ by měl vyvolat vaše podezření – útočníci často používají generické názvy.
5. Příloha obsahuje zazipovaný soubor. Soubory tipu ZIP nebo RAR mohou skrývat škodlivý obsah. Někdy tento formát používají například finanční instituce pro zaslání smluv. Pokud ale danou zprávu neočekáváte, takový soubor neotevírejte.
6. Průvodní e-mail obsahuje překlepy a chyby. Útočníci často nejsou rodilí Češi, a proto jsou jejich e-maily v češtině strojově přeložené.

Štít, přes který se hackeři nedostanou

Předcházejte malware díky jedinému řešení. ESET
spolehlivě ochrání vaše zařízení i data. 

VYZKOUŠET

Základní rada ale vždy zní, že pokud máte o souboru jakékoli pochybnosti, neotevírejte ho ani nestahujte, případně zrušte jeho otevírání.

Na e-maily si dejte pozor v soukromí i v práci

Podvodné přílohy se objevují v osobních i v pracovních e-mailech. Útočníci dobře vědí, že v pracovním shonu lidé často otevírají přílohy bez velkého přemýšlení – hlavně když e-mail vypadá jako faktura, smlouva nebo interní žádost.

Právě na nepozornost a rutinu útočníci spoléhají. Stačí chvilka nepozornosti a nebezpečný soubor může spustit škodlivý kód nebo otevřít cestu do firemní sítě. Proto platí: raději se dvakrát zamyslet než jednou kliknout. Pokud si v pracovním prostředí nejste jistí, můžete se obrátit na IT oddělení.

Co dělat, když otevřete škodlivou přílohu?

Pokud jste stáhli a otevřeli infikovanou přílohu, nepanikařte.

V pracovním prostředí v první řadě upozorněte IT oddělení. Čím dříve se o problému dozvědí, tím lépe. Můžete tak doslova zachránit firmu před finančními ztrátami a technickými problémy.

Nejprve odpojte zařízení od internetu. Tím zamezíte dalšímu šíření škodlivého kódu nebo odesílání dat. Rychle to provedete například přepnutím zařízení do režimu Letadlo.

Používejte spolehlivý antivir s kontrolou spamu. Pokud jej máte, pusťte kompletní kontrolu systému. Případně si jej stáhněte. Vyzkoušet můžete náš antivir zdarma ESET Online Scanner.

Změňte si důležitá hesla. Hlavně pokud jste v době otevření přílohy zadávali hesla (např. do banky, e-mailu). Zkontrolujte si bankovní účet, zda nedochází k nějakým neobvyklý transakcím.

Shrnuto, podtrženo:

• Nebezpečné přílohy často vypadají jako běžné dokumenty, např. faktury nebo smlouvy. Útočníci budou hrát v průvodním e-mailu na city.
• Upozornit by vás měl obecný název přílohy, gramatické chyby i to, že důležitou zprávu posílá zcela neznámý člověk.
• Neotevírejte přílohu, pokud si nejste jistí, kdo ji poslal a proč. Na všechna zařízení si nainstalujte spolehlivý antivirový program.
• V práci o případném incidentu informujte IT oddělení – rychlá reakce může zachránit data i síť.

Zatímco ještě před pár lety byl spam k vidění především v e-mailech, dnes se s ním můžeme setkat i v SMS nebo chatovacích aplikacích. Útočníci navíc stále hledají nové cesty, jak k nám nebezpečnou zprávu doručit tak, aby ji e-mailové filtry a zabezpečení v naší elektronické poště nezachytily.

Spam versus phishing

Zatímco spam je souhrnné označení pro veškerou nevyžádanou komunikaci online, phishing pak představuje jednu z jeho variant, která je dnes zdrojem stejného nebezpečí, jako samotný malware.

Phishingové zprávy jsou silně manipulativní a mají nás donutit k okamžité akci, nad kterou nemáme přemýšlet. Často jsou tak hlavními příběhy této komunikace hacknutý bankovní účet, zděděné miliony nebo domnělý blízký v nesnázích. Takové zprávy v nás vyvolávají silné emoce, negativní i pozitivní, a vypínají nám tak racionální myšlení. To je ale zrovna k obraně před těmito útoky klíčové.

Útočníci se při phishingových útocích často také vydávají za nějakou známou instituci – typicky banku, přepravce nebo IT podporu. Nebo se mohou tvářit jako naši přátelé nebo kolegové z práce. V takových případech je důležité zachovat chladnou hlavu a v případě, že se jedná o nějakou naléhavou situaci k řešení, je na místě zbystřit: Z jaké adresy zpráva přišla? Nejsou v komunikaci nějaké chyby? Sedí tón komunikace, je příliš formální nebo naopak až příliš přátelský?

Pamatujte, není nic špatného na tom se protistrany doptat na další informace či zavolat na oficiální zákaznickou linku a požadavek si ověřit. Svým přátelům a kolegům můžete v případě pochybností také vždy zavolat.

Spam zacílený na elektronickou poštu

Kromě toho, že je e-mail stále jednou z nejpoužívanějších forem komunikace, je také úložištěm celé řady našich citlivých dat – využijeme ho při komunikaci s lékařem, právníkem nebo pojišťovnou. Útočníci to moc dobře vědí, a proto jsou naše e-mailové schránky tak často pod palbou spamu.

Jak už bylo řečeno výše, může se dnes na nás snést celá řada méně či více nebezpečných nevyžádaných zpráv. Když vezmeme stranou podvodné reklamní sdělení, může se jednat i o zprávy, které mohou sloužit k celé řadě dalších útoků:

Přílohy e-mailů, které ukrývají spyware

Jakmile stáhneme a otevřeme nebezpečnou přílohu se spywarem, vpustíme tento škodlivý kód do zařízení a ten následně odcizí naše hesla a přihlašovací údaje.

Sociální inženýrství ve spamových kampaních

Jeden phishingový e-mail může vést k získání přístupů do našeho online bankovnictví, nebo k získání našich dat, která budou sloužit k dalším typům manipulativní komunikace – například smishingu nebo vishingu.

Credential stuffing

Díky získanému heslu, například s pomocí spywaru nebo phishingového útoku, mohou útočníci dále pokračovat tímto útokem. Spoléhají se při něm na to, že používáme stejné přihlašovací údaje i na jiných účtech. Ty se pomocí automatizovaného softwaru pokusí prolomit.

Převzetí kontroly nad e-mailovou schránkou

Jakmile budou mít útočníci volný vstup k přihlášení do e-mailu, mohou náš účet využít například k resetování našich dalších účtů a k jejich odcizení. To je bohužel častým případem při krádeži účtů na sociálních sítích. Většina webových stránek, kde máme zařízený svůj účet, umožňuje zasílat odkaz pro resetování. Po únosu našeho e-mailového účtu se útočník k tomuto odkazu snadno dostane a využije toho ke změně dalších hesel.

Jedno je dobré vědět – riziko může vznikat již při samotném otevření spamových zpráv. Ani nemusíme klikat na odkaz nebo stahovat a spustit přílohu. Už jen otevřením zprávy totiž dáváme jeho odesílateli vědět, že je náš e-mail aktivní a že ho používáme.

Spam v chatu nebo SMS

Také ve zprávách v chatovacích aplikacích nebo v SMS platí stejné triky kyberútočníků, ačkoli v těchto případech může být složitější nebezpečnou komunikaci poznat. Útočníci se totiž mohou vydávat za někoho, koho známe, pokud se zmocnili jeho profilu.

Podobně, jako u nevyžádaných e-mailů, i zde bychom měli mít na paměti bezpečnostní zásady. Měli bychom být skeptičtí ke každé zprávě z cizího čísla, nebo od lidí mimo okruh našich přátel. Vhodné je k této komunikaci vždy přistupovat tak, jakoby by byla od podvodníka.

Obezřetnost je ale namístě i u zpráv od našich přátel. Zbystřete u nečekaných žádostí, které běžně nedostáváte. Pokud po vás chtějí něco, co se vymyká vašim běžným pořádkům, není nic snazšího, než jim prostě zavolat a zeptat se jich na podrobnosti.

S obranou pomůže antispam i naše vlastní skepse

Nikdo z nás nemůže mít nikdy jistotu, že ve spěchu či ve chvilce nepozornosti neklikneme na nebezpečný odkaz v nevyžádané zprávě. Přesto existuje několik pravidel kybernetické bezpečnosti, na která bychom při komunikaci v online světě neměli zapomínat.

Protože žijeme v době, kdy nemůžeme mít jistotu, že to, co vidíme nebo slyšíme, je pravda, je naší nezbytnou výbavou i obyčejný selský rozum a zdravá dávka skepse. Pokud dostaneme nějakou senzační nebo naopak příliš dramatickou zprávu, mělo by to pro nás být upozorněním na to se zastavit a začít se ptát po více informacích.

Pravidlem tesaným do kamene pak také je neotvírat nikdy přílohy a neklikat na odkazy v nevyžádaných zprávách, od neznámých uživatelů, ale i od přátel, pokud takovou zprávu nedoplní nějakým podrobnějším vysvětlením.

A pak jsou tu také nástroje antispamové ochrany. Anti-spam obsahuje kombinaci několika bezpečnostních principů, které zajišťují tzv. nadřazené filtrování příchozí pošty v našich e-mailových schránkách – jinými slovy tento nástroj kontroluje náš mailbox a udržuje poštovní schránku čistou.

Anti-spam

Filtruje nevyžádanou poštu za vás.

VYZKOUŠET

Antsipamová ochrana bývá již dnes součástí komplexního kyberbezpečnostního softwaru. Ten zařízení navíc chrání například i před nebezpečnými webovými stránkami, které se mohou ukrývat pod řadou odkazů a v reklamních sděleních, tak před závažnými typy škodlivých kódů, jako je spyware.

My lidé obecně tíhneme spíše k negativním emocím, které prožíváme daleko silněji a intenzivněji než ty pozitivní. Jsme také evolučně naprogramovaní neodvracet zrak od možného nebezpečí, které se k nám blíží. Snadno se tak do negativních zpráv ponoříme a projíždíme je dál. A právě tato naše aktivita dostala jméno doomscrolling, které je složením anglických slov doom (zkáza) a scroll (projíždět, rolovat).

Doomscrolling se přirozeně zvyšuje se záplavou negativních událostí ve světě. Před dvěma lety jsme tak mohli být svědky jeho nárůstu v souvislosti s pandemií koronaviru. Od začátku války na Ukrajině se pak ve vyhledávačích zvýšil počet dotazů na výrazy jako Ukrajina, třetí světová válka, Rusko, válka a invaze. Nejenže lidé tyto výrazy více používají, ale tento trend přiživují i internetová a tištěná média, která s nimi také ve velkém pracují.

My lidé obecně tíhneme spíše k negativním emocím, které prožíváme daleko silněji a intenzivněji než ty pozitivní.

Situaci zhoršují i algoritmy sociálních sítí, které vám doporučují další obsah, který by vás mohl zaujmout. Cílem těchto automatizovaných doporučení je udržet uživatele co nejdéle na dané stránce. A děsivé zprávy si pozornost uživatelů získají.

Hrozba pro naši digitální bezpečnost

Kyberzločinci umí chytře odhadnout chování lidí na internetu. Ačkoli jsou kybernetické útoky pořád vedeny prostřednictvím škodlivých kódů, útočníci stále častěji využívají také naše emoce, nejčastěji strach.

Na uživatelích, kteří sledují negativní zprávy a obsah na internetu, se mohou podvodníci přiživit tím, že jim nabídnou škodlivé odkazy na další negativní příspěvky. Škodlivý odkaz může vést k podvodným nabídkám, stažení malware nebo k falešným přihlašovacím stránkám, které se snaží ukrást přihlašovací údaje k našim účtům. Uživatel může také jedním kliknutím na škodlivý odkaz otevřít dveře útoku za použití ransomware.

Hlavními riziky se v případě doomscrollingu jasně stávají útoky za použití sociálního inženýrství. Jedná se především o phishing, kterým označujeme podvodné e-maily nebo zprávy v chatovacích aplikacích a na sociálních sítích. Výjimkou již dnes nejsou ani podvodné telefonáty označované jako vishing. Všechny tyto zprávy pak mají společné to, že se nás snaží nátlakem přimět k nějaké nepromyšlené akci, například k poskytnutí citlivých dat. Útočníci se právě proto často vydávají za zástupce bank nebo jiných úřadů a institucí.

Co s tím můžeme dělat?

Řešení jako v mnoha dalších případech začíná u nás samotných. Tady je pár tipů, které můžeme v současné situaci udělat a chránit tak nejen své citlivé údaje, ale celkově svou psychiku:

• Omezte sledování zpravodajských kanálů, které zveřejňují převážně negativní obsah, a to včetně sociálních sítí. Doporučením je vyhradit si denně na zprávy jen určitý a omezený čas.
• Zaměřte se na pozitivní interakce mimo internet. Obklopte se přáteli a kolegy, o kterých víte, že se s vámi budou bavit i o jiných tématech. Vyhledávejte pozitivní články a pořady a dělejte něco, co vás baví.
• Kdykoli se přistihnete při doomscrollingu, zkuste se zaměstnat něčím jiným. Někdy může pomoci i pouhé odložení telefonu.
• Sledujte, kolik času trávíte online v různých aplikacích. Časovače můžete najít přímo v nastavení svého chytrého telefonu.
• Pokud ve svém chatu nebo e-mailu objevíte zprávu od neznámého odesílatele, zpozorněte. Nikdy nespouštějte z takového e-mailu soubory a neklikejte na odkazy. Pokud vás sdělení vyzývá k poskytnutí citlivých a osobních údajů, odesílatele si prověřte. V případě, kdy vystupuje pod jménem banky nebo jiného poskytovatele služeb, například z oblasti energetiky nebo IT podpory, zavolejte na oficiální zákaznickou linku a ověřte pravost sdělení.
• Nepodceňujte antivirus. Bezpečnostním programem chraňte všechna svá zařízení, včetně chytrých telefonů.
• Operační systém všech svých zařízení a všechny programy pravidelně aktualizujte na nejvyšší dostupné verze.

Zdědili jste miliony? Zaplatíte osobními údaji

Obdrželi jste nečekaně dobrou zprávu? E-mail níže koloval během tzv. první vlny koronavirové pandemie. Adresátovi sliboval přibližně 30 milionů korun z fiktivního fondu. Jedná se o typický scam. Často píše i „právník“ vašeho zesnulého příbuzného z Afriky, který vám odkázal jmění. Obměnou jsou e-maily oznamující výhru luxusní ceny.

Ve všech případech si pisatel vyžádá osobní údaje, případně i informace o účtu či platební kartě, to vše pod záminkou provedení převodu.

Existuje i druhá, pro změnu ne zrovna šťastná, varianta, kdy útočník vyhrožuje smyšlenou exekucí. Součástí e-mailu bývá infikovaná faktura nebo podobný dokument. Přílohu nikdy neotevírejte!

Pokud obdržíte podobnou zprávu a nejste si dluhu vědomi, najděte si na internetu údajného věřitele nebo exekutora a zavolejte mu do kanceláře.

Pokud ukázkový e-mail prověříte zjistíte, že JUDr. Dohnal už v roce 2014 ukončil činnost (IČ není aktuální). Zákon č. 120/2001 je skutečně Zákon o soudních exekutorech a exekuční činnosti, ale odstavec ani § 446 v něm není (existuje §46, který popisuje náležitosti exekučního řízení, jeho znění je ovšem v rozporu uvedenou informací v e-mailu). Text  zaměňuje znak š za znak §.

Bohužel přísný úřední tón řadu lidí snadno vyděsí. Pravý exekutor musí být členem Exekutorské komory.

Mám nemravné video, zaplaťte

Vydírání je pro útočníky nesmírně efektivní postup. V případech níže útočník tvrdí, že je na vašem zařízení nainstalovaný malware a že díky tomu vás zachytil při sledování pornografických stránek. V textu je zmíněno, že máte dost výjimečný vkus (útočník v podstatě říká: „jsi perverzní a já to všem odhalím“). Obvykle slibuje, že za několik tisíc korun v bitcoinech odstraní ono neexistující video. Novější varianty útoků obsahují i návod, jak si bitcoiny nakoupit a vytvořit krytopeněženku.

Často tento typ podvodu obsahuje vaše heslo, případně přijde na oko přímo z vaší adresy – útočník se takto pokouší demonstrovat, že má skutečně přístup k vašemu e-mailu a může jej zneužít. Jde ale jen o trik. Hesla v takových případech pocházejí z nějaké dříve uniklé databáze. A e-mailovou schránku s jakýmkoli jménem lze vytvořit ve veřejně dostupných nástrojích za pár minut.

Jak podvod odhalit? Podívejte se do své odeslané pošty – podvodný mail v ní nenajdete. A pro jistotu doporučujeme změnit heslo.

Potřebujeme ověřit heslo, aneb chceme přístup k vašemu účtu

Dalším běžným typem podvodného e-mailu je ověření přístupu do banky, potvrzení zásilky, ověření přihlašovacích údajů.  V těchto případech útočníci často zneužívají jméno nějaké známé banky či spediční společnosti. Cílem je buď odcizit přihlašovací údaje k účtu nebo propašovat do počítače nějaký malware.   

Než kliknete na odkaz v takovém e-mailu, podívejte se, kam skutečně vede. Stačí na odkaz či tlačítko najet myší. Na ukázce níže vidíte, že odkaz skutečně nevede na oficiální stránky banky, nýbrž na jakýsi web haidos.gp, který má s bankou jen pramálo společného.

Pokud obdržíte podobný požadavek, zatelefonujte do banky, na poštu nebo do společnosti, kterou e-mail zmiňuje, a ověřte si, zda je požadavek legitimní. Kontakt si však raději na internetu najděte sami. Kontakty v podvodném e-mailu budou pravděpodobně podvržené.

Nevěřte svým očím

Útočníci často zneužívají tzv. homoglyfy. Jde o znaky, které vypadají podobně, ale ve skutečnosti pochází z jiných abeced. Typickým příkladem mohou být některé písmena z cyrilice či azbuky, která na první pohled připomínají latinku.

Počítač ale vidí písmena jako kódy a rozpozná je. Před touto praktikou vás ochrání pouze spolehlivý bezpečnostní program a pravidelné aktualizace prohlížeče.

Píše vám skutečně kolega z práce? Adresy lze podvrhnout

Je velice snadné vytvořit e-mailovou adresu, která vypadá jako pravá – stačí změnit kus domény a rozdíl skoro nepoznáte. Ukázka níže je námi vytvořená a falešná, přestože obsahuje logo a na první pohled působí korektně.  Ve zprávě je chybně zapsaná doména @esetcz.cz. Neshoduje se jméno odesílatele a jméno v adrese a mail obsahuje gramatické chyby? To vše napoví, že jde o podvod.

Ve zprávě je chybně zapsaná doména @esetcz.cz. Neshoduje se jméno odesílatele a jméno v adrese a mail obsahuje gramatické chyby? To vše napoví, že jde o podvod.

S podvody v adresách se lze setkat i v SMS. Příkladem může být zpráva níže, kdy na podzim útočníci zneužívali značku České pošty. Adresa ceskaposta-poslatexpress.com není oficiální stránka a jde tudíž o podvod. V tomto případě útočníci své oběti okradli o 79 Kč.