Narušení bezpečnosti účtu se může projevit hned několika způsoby:

• Nemůžete se přihlásit.
• Váš profil se plní příspěvky, které jste nikdy nezveřejnili a které nabádají vaše přátele, aby klikli na odkaz nebo si stáhli aplikaci.
• Vaši známí od vás obdrželi zprávu nebo e-mail, který jste nikdy neodeslali.
• Z vašeho bankovního účtu zmizely peníze.

Pokud se nemůžete přihlásit, doporučujeme chvíli počkat, může jít jen o obyčejné technické problémy. Pokud jste ale zaznamenali nějakou další z výše uvedených situací, je nutné okamžitě jednat.

Jak postupovat při krádeži hesla?

Ověřte si, že pořád máte přístup ke svému účtu. Pokud ano, okamžitě si nastavte vícefázové ověření, například pomocí telefonního čísla. Pokud totiž útočník zjistí, že se snažíte změnit heslo, může vás předběhnout a nastavit si vlastní ověřovací metodu. Následně si změňte heslo.

Opakujte tento postup u všech služeb, pro které používáte stejné heslo.

Doporučujeme měnit heslo na jiném zabezpečeném zařízení (například jiný mobilní telefon, který není připojený k veřejné Wi-Fi síti). Pokud útočník získal vaše heslo pomocí malwaru typu keylogger a škodlivý program je stále ve vašem zařízení, může se dostat i k novému heslu.

Na všech svých zařízeních spusťte kontrolu antivirovým programem.

Štít, přes který se hackeři nedostanou

Předcházejte malware díky jedinému řešení. ESET
spolehlivě ochrání vaše zařízení i data. 

VYZKOUŠET

Spojte se se všemi přáteli a známými, kteří obdrželi podezřelé zprávy z napadeného účtu. Upozorněte je, aby v žádném případě neklikali na přiložené odkazy a nestahovali přílohy ze zpráv.

Nemůžete se přihlásit do svého online účtu?

Spojte se s provozovatelem služby a nahlaste účet jako napadený. Většina online služeb má připravený postup pro nahlašování napadených účtů, který vám pomůže obnovit legitimní přístup.

Pokud máte podezření, že jsou v ohrožení vaše platební údaje nebo finance, ihned kontaktujte svou banku. Podezřelé transakce ještě někdy jde zastavit a některé banky při nich klientovi dokonce samy automaticky volají.

Jak předcházet odcizení hesla?

• 1. Používejte jiné heslo pro každý účet. K jejich zapamatování používejte správce hesel.
  2. Ujistěte se, že e-mailový účet, který používáte k přihlašování do online služeb, je chráněný jedinečným a silným heslem.
  3. Používejte bezpečná hesla, která neobsahují osobní informace (jako je například datum narození nebo jméno mazlíčka). Jak má vypadat správné heslo se dočtete zde.
  4. Neukládejte přihlašovací údaje na zařízeních, která nevlastníte nebo nepoužíváte pravidelně.
  5. Mějte aktivované dvoufázové ověření u každé služby, která tuto možnost nabízí.
  6. Nesdílejte na sociálních sítích osobní informace, které by mohly vést k uhodnutí vašeho hesla.
  7. Neklikejte na neznámé odkazy a nestahujte přílohy ze zpráv od neznámých osob.
  8. Neotvírejte svůj účet nebo jiné stránky s finančními údaji na veřejné Wi-Fi síti.
  9. Používejte bezpečnostní program, který kromě ochrany před škodlivým kódem nabízí i antispamovou ochranu a technologii Anti-Phishing. Tyto nástroje vás chrání před únikem hesel a dalších citlivých dat prostřednictvím falešných webových stránek, které napodobují skutečné stránky institucí.

Užitečné odkazy:

• • Postup při prolomení účtu na Facebooku
  • Postup při prolomení účtu na Instagramu
  • Postup při prolomení účtu na Youtube
  • Postup při prolomení účtu na Google
  • Postup při prolomení účtu na Spotify

Jak se vlastně krade heslo?

Existuje hned několik způsobů, jak se můžou útočníci dostat k vašim osobním údajům. Jednou z nejčastěji používaných technik je phishing. Pro únik hesla stačí jen odpovědět na podvodný e-mail nebo vyplnit přihlašovací údaje na falešné stránce, která připomíná legitimní web, a neštěstí je na světě.

Další možností je malware, např. už zmiňovaný keylogger nebo infostealer, který v České republice patří mezi nejrozšířenější hrozby. Šíří se zejména pomocí phishingu, podvodných stránek a aplikací z neoficiálních zdrojů.

Existují také metody, které stojí na bezprostřední blízkosti útočníka a jeho oběti. Mezi ty se řadí zachycení síťové komunikace odposloucháváním na veřejné Wi-Fi, tzv. „shoulder surfing“, tedy odpozorování hesla při jeho zadávání, nebo prosté opsání hesla zanechaného na viditelném místě. Třeba na lístečku v kanceláři.

V neposlední řadě jde heslo také jednoduše uhodnout. Této metodě se říká útok hrubou silou (bruteforce attack) a útočníci při něm používají program, který zkouší různé kombinace písmen a znaků tak dlouho, až se trefí.

Osobní hesla jsou základním obranným prvkem na internetu, a proto je důležité dbát na to, aby byla kvalitní a spolehlivá. Pokud ale budete dodržovat základní bezpečnostní pravidla, věříme, že vaše hesla ani data se do rukou hackerů nikdy nedostanou.

Mohlo by vás zajímat:
➡️ 6 nejčastějších kyberútoků na uživatelská hesla
➡️ Děti podceňují hesla. Naučte je, jak se přihlašovat bezpečně
➡️ Hlavně si je dobře pamatovat – jak moc riskujeme s hesly?

Pod neoficiálními kopiemi těchto her uživatelé najdou také falešné recenze a po spuštění hry zobrazují adware – agresivní reklamu, která je může odkázat na nějaké nebezpečné webové stránky. Právě recenze ale často tvrdí, že se jedná o oficiální verzi hry bez reklam.

Útočníci podle bezpečnostních expertů cílí především na neznalé a nezkušené uživatele, a to včetně dětí, protože zrovna hry typu Minecraft se mezi nejmenšími uživateli těší velké oblibě.

Trojský kůň zdarma

V červenci se s větším počtem detekcí objevil také trojský kůň Andreed. Šířil se tentokrát prostřednictvím falešné verze hry My Singing Monsters Composer. Oficiální, placená verze této hry je ke stažení na Google Play, útočníci pak její falešnou kopii nabízejí v obchodě třetí strany, a to zdarma.

S nabídkou různých verzí známých her zdarma se na platformě Android můžeme setkat poměrně často. Útočníci se nás budou snažit motivovat i nabídkou celého balíku her nebo programů za výhodnou cenu. Velmi dobře totiž vědí, co na nás uživatele funguje – součástí přípravy celé řady kybernetických útoků a podvodů je dnes už ostatně i znalost chování uživatelů v online prostředí.

Škodlivý kód s funkcemi spywaru

Také v případě škodlivého kódu Spin.Ok, na který bezpečnostní specialisté upozornili letos v červnu, vsadili útočníci na hru s názvem Pop Rich Tree. V minulosti se ale tento malware objevil i v aplikacích pro úpravy videí.

Škodlivý kód Spin.Ok je softwarový modul s funkcemi spywaru. V napadeném zařízení tak dokáže shromažďovat informace o souborech a odesílat je útočníkům a zkopírovat nebo nahradit dočasný obsah uložený ve schránce zařízení. Jedná se zkrátka o malware, který dokáže v zařízení oběti provádět špionáž.

Spin.Ok může být součástí celé řady aplikací. Útočníci ho mohou v podobě modulu nabízet vývojářům jako marketingový doplněk, tzv. Software Development Kit (SDK). V aplikacích se pak takový doplněk projevuje jako nějaká minihra nebo losování o ceny.

Pečlivě vybírejte, odkud budete stahovat

Podle nejčastějších doporučení bezpečnostních expertů, jak se trojskému koni na platformě Android vyhnout, bychom měli stahovat hry i další aplikace pouze z oficiálního obchodu Google Play. Nejen v případě adwaru, ale především kvůli spywaru, je na místě pořídit kvalitní bezpečnostní software pro chytré telefony.

A co na to říkají experti?

„Ani v případě obchodu Google Play nemá uživatel nikdy záruku toho, že nenarazí na aplikaci či hru, která obsahuje malware. Přesto je zde riziko malwaru daleko menší, než v neoficiálních obchodech třetích stran a na internetových úložištích. Jak můžeme také vidět na seznamu rizik z letošního července, jsou to především různé hry, které aktuálně šíří škodlivé kódy. Uživatelům bych tak mimo jiné doporučil zvážit, zda se jim stažení hry vyplatí, zda ji budou například dlouhodobě hrát. Doporučil bych pak také mladším uživatelům a dětem v základu vysvětlit, s jakými riziky se mohou na internetu setkat a čemu by se měli v online prostředí vyvarovat,“ říká Martin Jirkal z ESETu.

Nejčastější kybernetické hrozby v České republice pro platformu Android za červenec 2023:

1. Android/Hiddad.BAQ trojan (29,93 %)
2. Android/Andreed trojan (13,69 %)
3. Android/Spy.SpinOk trojan (9,04 %)
4. Android/Spy.Agent.BYP trojan (3,80 %)
5. Android/Hiddad.BAP trojan (2,42 %)
6. Android/Agent.ELC trojan (2,29 %)
7. Android/TrojanDropper.Agent.GKW trojan (1,96 %)
8. Android/Agent.ELP trojan (1,90 %)
9. Android/TrojanDropper.Agent.HQS trojan (1,70 %)
10. Android/TrojanDropper.Agent.KJD trojan (1,70 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Jakými způsoby se ale může malware do našeho telefonu nebo počítače dostat a infikovat ho?

Phishing: Nevyžádané e-maily a zprávy v chatu

Cílem podvodných a nevyžádaných e-mailů je obvykle získat informace o uživateli, například přístupové údaje k různým službám nebo platební údaje z karet. Takové e-maily obsahují přílohy a odkazy, které mohou sloužit i ke stažení škodlivého kódu do zařízení. A útočníci se již dnes neomezují pouze na elektronickou poštu – podvodné zprávy se čím dál častěji objevují také v chatovacích aplikacích.

Jakýkoli nevyžádaný e-mail je tak dobré číst s co největší pečlivostí. Pokud vás odesílatel vyzývá k rychlé reakci, nespěchejte a ideálně klidně ještě zpomalte. Buďte všímaví – snáze rozpoznáte prvky, které naznačují, že je zpráva podvodná. Nejčastěji se jedná o pravopisné chyby, již zmíněný pocit naléhavosti, žádost o zaslání osobních informací pouze e-mailem nebo podezřelá adresa odesílatele.

Podvodné webové stránky

Internetoví podvodníci vytvářejí podvodné webové stránky, které vydávají za legitimní webové stránky známých značek či organizací nebo za stránky s platebními bránami. V souvislosti s podvodnými webovými stránkami je důležité zmínit také takzvané homografové útoky, které ještě s větším úspěchem dokáží oklamat uživatele a dokonale napodobit adresu stránky, kterou chcete navštívit.

Útočník si jednoduše zaregistruje doménu podobnou hledané doméně, ale nahradí jedno písmeno v názvu, například písmenem z řečtiny nebo hebrejštiny. Běžný uživatel mezi nimi nevidí rozdíly.

Tyto falešné stránky mají vlastní platné certifikáty a po kliknutí je stránka téměř k nerozeznání od originálu.

S takovými útoky si ale naštěstí poradí kvalitní antivirové programy. Technologie ESET Anti-Phishing například obsahuje speciální proaktivní ochranné algoritmy, které kontrolují vizuální vzhled webových stránek a odhalují prvky, které mohou parazitovat na pravých částech stránky. Pomocí této technologie lze například odhalit falešné bankovní formuláře nebo právě homografové útoky.

Tomuto scénáři útoku zabráníte nejlépe tak, že vždy budete vyhledávat jen oficiální doménu zadáním přímo do vyhledávače nebo ručním zadáním do adresního řádku prohlížeče.

USB flash disky

Pomocí USB „flešek“ můžete do zařízení kromě dokumentů, fotografií nebo videí přenést i škodlivý software, například keyloggery nebo ransomware.

Ideálním řešením je použití kvalitního bezpečnostního řešení, které kontroluje všechna externí média připojená k zařízení a informuje vás, pokud obsahují něco škodlivého. Zároveň nepřipojujte USB zařízení ani k cizím počítačům nebo telefonům, u kterých s jistotou nevíte, zda jsou chráněné a jak dobře.

Škodlivé aplikace a programy

V současné době jsou k dispozici miliony mobilních aplikací, programů a her, tedy nástrojů pro naši zábavu, vzdělávání nebo jako pomoc při práci. Ale i aplikace a programy mohou být zdrojem malwaru nebo vás dokáží připravit o soukromé informace.

Abyste se vyhnuli stahování škodlivých aplikací a programů do svých zařízení, měli byste stahovat pouze z důvěryhodných zdrojů, jako je například obchod Google Play nebo oficiální webové stránky vývojářů daného programu či hry. Ačkoli jsou známé případy, že i v oficiálním obchodě se může objevit škodlivá aplikace, oficiální distribuční místa mají své týmy bezpečnostních specialistů, kteří škodlivé kódy proaktivně vyhledávají. Riziko je tak opravdu několikanásobně nižší než u neznámých obchodů třetích stran.

Adware

Cílem mnoha online reklam je obecně generování příjmů pro takzvaný freeware, tedy aplikaci či hru, za kterou vývojářům, především těm drobnějším a ne příliš známým, neplatíte. Existuje však i podvodná a agresivní reklama, kdy po kliknutí na ni můžete do svého zařízení nevědomky stáhnout malware.

Některé reklamy dokonce používají taktiku zastrašování. Jednoduše informují uživatele o tom, že jejich zařízení bylo infikováno. Jediným řešením této situace má být bezpečnostní produkt nabízený v reklamě. To však téměř nikdy není pravda a taková výzva je naopak jasným znamením, že se jedná o falešný inzerát.

Použitím důvěryhodných rozšíření pro blokování reklam v prohlížeči se můžete vyhnout mnoha druhům škodlivé reklamy, tedy adwaru. Další věcí, kterou můžete udělat, je vyhnout se podezřelým webovým stránkám, které takové reklamy používají. Na ně vás opět bezpečně upozorní antivirový software.

Dnes jsme se podívali na pět nejčastějších způsobů, jak můžete do svého zařízení stáhnout škodlivý software. Vždy proto pamatujte na řádné zabezpečení všech zařízení připojených k internetu pomocí kvalitního bezpečnostního řešení. Pravidlem je také být vždy obezřetný, nejednat zbrkle, ověřovat si informace a nevěřit všemu na internetu.

Článek připravil tým autorů

I přestože mnoho z nás dnes využívá různé chatovací aplikace, e-mail nadále zůstává jedním z nejrozšířenějších způsobů komunikace v online světě. A jak ukazují různé podvody, kterých se v posledním půl roce i v Česku objevilo mnohonásobně více než v předchozím období, je stále oblíbený i u kybernetických útočníků.

#2 Hacker v e-mailové schránce

A elektronická pošta není jen prostředkem k šířený podvodných phishingových zpráv. Je také cílem hackerů, kteří se chtějí dostat k našim citlivým nebo přihlašovacím údajům do dalších online účtů. Proč to tak je a jak se před nimi bránit jsme psali v dalším nejčtenějším článku loňského roku.

#3 Telefon, který vás špehuje

Ačkoli v současné době stalkerware nepatří mezi největší hrozby pro uživatele platformy Android – nahradila ho agresivní a podvodná reklama neboli adware – také tento článek patřil mezi ty, které jste si v loňském roce přečetli nejčastěji.

#4 Sexting – online zábava nejen dospělých

Každý třetí dospělý dobrovolně sdílí nebo sdílel svou intimní fotografii nebo video – ukázal to loňský průzkum společnosti ESET a Policie ČR. Na jaká bezpečnostní rizika ale můžeme narazit? A co dělat, když se naše fotka nebo video objeví veřejně na internetu?

#5 Když počítač naznačuje, že tu něco nehraje…

Jak nám může počítač napovědět, že něco není v pořádku a může za to pravděpodobně škodlivý kód? Právě toto téma zajímalo čtenáře Dvojkliku v posledním nejčtenějším článkům roku 2022. Znovu si tak můžete přečíst, na jaké varovné signály se zaměřit a jak se malwaru zbavit.

Internet, jak ho zná každý z nás, můžeme dělit na tzv. surface web a deep web. Na surface webu neboli povrchovém webu najdeme všechny veřejně dostupné webové stránky. Deep web, tedy ten hlubinný, zahrnuje vše, co je vyhledávačům skryté jako naše soukromé zprávy, e-mailovou komunikaci, neveřejné příspěvky na sociálních sítích, obsah našeho internetového bankovnictví, obsah placených streamovacích služeb atd. Zkrátka všechno, co se nám většinou zobrazí až po přihlášení naším jménem a heslem. Odhaduje se, že hlubinný web je zhruba 24x větší než povrchový web. Můžeme si ho představit jako svět za oponou.

Poměrně malou část hlubinného webu potom tvoří tzv. dark web neboli temný web. Stránky na této části webu jsou pro běžného uživatele skryté, k jejich prohlížení je třeba používat speciální software a musíte znát přesnou adresu, na které je daná stránka umístěna. Na dark web totiž přistupujete přes darknet, tedy temnou síť. A ta pak spolu s běžnou sítí tvoří celý internet.

Kyberzločin na dark webu

To, co si mnozí lidé představují po pojmem dark web, jsou zejména dark markety, tedy tzv. temná tržiště.

Temná tržiště jsou weby, které nabízejí prodej nelegálního zboží výměnou za Bitcoiny či jiné kryptoměny. Obchody probíhající na temných tržištích jsou díky anonymitě používaných technologií (především speciálních prohlížečů) důvěrné a nejdou snadno vystopovat. Zároveň zde neexistují žádné státní regulace, placení daní nebo cla.

Samotná temná tržiště mají ale svoje vlastní pravidla určující to, co se na nich smí, respektive spíš nesmí nabízet. V případě jednoho z nejznámějších tržišť Silk Road (Hedvábná stezka), bylo zakázáno prodávat produkty nebo služby, jejichž cílem bylo ubližovat nebo podvádět. Zároveň každý prodejce musel zaplatit (vratnou) kauci 500 USD před tím, než na tržišti mohl začít prodávat. Takové pravidlo mělo odrazovat od vstupu na trh podvodníky a také příslušníky z řad policie.

K nejčastějšímu zboží, který můžete na temných tržištích zakoupit, se řadí drogy, zbraně, ale i falešné bankovky libovolné měny, falešné průkazy totožnosti, přístupové údaje do online účtů, údaje k platebním kartám (včetně CVV kódů), ale také prodej či šíření malwaru, ransomwaru nebo DDoS útoky. Právě na dark webu končí také odcizené uživatelské přihlašovací údaje, včetně hesel. A jestli je nějaká oblast, které na dark webu nelze konkurovat, pak je to dětská pornografie.

I přesto je dark web místem, kde z velké části narazíte hlavně na podvodníky, kteří slibované služby po zaplacení nedodají. Počítají zkrátka s tím, že se využíváním služeb dark webu nebudeme nikde chlubit a případnou krádež nebudeme řešit s oficiálními úřady.

Jak chránit svá data před prodejem na dark webu?

• Nepoužívejte opakovaně svá hesla. Pro každý z účtů byste měli používat silné a jedinečné heslo. S jejich tvorbou vám pomůže například generátor hesel a s používáním pak správce hesel.
• Začněte používat vícefázové ověřování, což je nejjednodušší způsob, jak přidat k účtům další vrstvu ochrany. Mimo internetové bankovnictví je dnes dostupné také u e-mailových účtů a sociálních sítí.
• Máte podezření, že se útočníci dostali do vašeho účtu? Heslo neprodleně změňte. To, zda vaše hesla nebo e-maily unikly z databází, můžete ověřit například na stránkách haveibeenpwned.com.
• Buďte ostražití před phishingovými útoky. Neklikejte na odkazy nebo přílohy, které se zdají podezřelé a jejichž odesílatele neznáte. Nikdy nesdělujte své osobní informace neznámému člověku.
• Programy a aplikace stahujte pouze z oficiálních a prověřených zdrojů, jako jsou Google Play, App Store nebo Microsoft Store. Nelegitimní a falešné verze aplikací z veřejných fór a obchodů třetích stran mohou obsahovat škodlivé kódy.
• Používejte kvalitní antivirový program.

Každá mince má dvě strany

Proč dark web a dark markety existují, když je to tak děsivé a nebezpečné místo internetu?

Nástroje jako prohlížeč Tor spolu s vyhledávačem DuckDuckGo, které umožňují dark web prohlížet a používat, mají mnoho využití také pro lidi, kteří si chtějí užívat svobodu i nám běžně známého internetu, aniž by byli sledováni nebo monitorováni.

Dark web a jeho anonymita je jedním ze stěžejních novodobých prostředků svobodného šíření informací a bojem proti cenzuře a vládnímu dohledu v totalitních režimech. Nabízí také prostor pro komunikaci disidentů nebo novinářů a jejich zdrojů.

Na dark webu najdete i verze stránek celosvětově známých zpravodajských webů. Kopii své stránky tu provozuje například americký New York Times nebo britská BBC, ke které se snažily zablokovat přístup pro své občany země jako Čína, Írán nebo Vietnam.

Existuje tu i tzv. Hidden Wiki, tedy temná verze Wikipedie, která na své úvodní stránce nabízí odkazy na další webové stránky, které se ukrývají na dark webu.

A nějak podobně si můžeme představit DDoS útok. Obrovské množství počítačů se ve stejný čas mezi sebou „domluví“ a budou si chtít prohlížet určitou webovou stránku. Protože je však uživatelů skutečně hodně, daný server nemá kapacity na to je obsloužit v ten samý moment všechny. Takto přetížený server poté spadne, což se projeví nejčastěji tak, že se danou stránku již nepodaří načíst.

DDoS útok většinou tvoří stovky, někdy i tisíce zařízení. Jedná o počítače, které někdo předtím infikoval škodlivým softwarem a může je proto vzdáleně ovládat. Tato infikovaná zařízení pak společně tvoří botnet, tedy síť zotročených počítačů.

Nezapomeňme, že botnetovou sít netvoří jen počítače, případně mobilní zařízení. Vlivem vzrůstajícího trendu IoT se do botnetu mohou zapojovat i domácí spotřebiče, bezpečnostní kamery nebo například dětské chůvičky.

Proč takové útoky někdo provádí?

Samotných důvodů může být mnoho. Zde uvádíme ty nejčastější:

• Útok může být proveden jako pomsta za určité rozhodnutí / chování společnosti. Například během ruské invaze na Ukrajinu hackeři zaútočili pomocí DDoS útoku na ruský propagandistický kanál Russia Today a na několik minut ho vyřadil z provozu.
• Za útokem může stát i konkurence. Vyřadit e-shop kupříkladu během Vánoc může způsobit značnou ztrátu. Zákaznici se na internetový obchod nebudou moct připojit a nakoupí raději u konkurence.
• DDoS útokem lze „uměle“ zaměstnat IT zaměstnance určité firmy a paralelně vedle toho provést další útok, zaměřený například na krádež osobních dat. DDoS útok zde tedy bude nástrojem pro odvedení pozornosti.

Co můžu udělat já jako domácí uživatel?

Jak už ze samotného principu útoku vyplývá, břemeno zabezpečení leží primárně na samotných službách. Avšak i jako koncoví uživatelé internetu můžete výrazně pomoct například tím, že budete na svém počítači nebo chytrém mobilním zařízení používat antivirový program. Pravidelně aktualizovaný bezpečnostní software vás může ochránit před hrozbami, které by se pokoušely vaše zařízení do botnetu zapojit. A tím se nepřímo podílet na útocích.

A právě možná proto jsou naše e-mailové účty cílem celé řady útoků. Pro hackery je napadení naší e-mailové schránky a únos našeho účtu především cestou, jak se přes resetování hesel k různým službám dostat k našim dalším účtům. Na následujících řádcích se tak blíže podíváme na to, jak takový útok vůbec odhalit, jak svůj e-mailový účet obnovit, zabezpečit a znovu se nestat obětí.

Proč je náš e-mail tak lákavým cílem?

Největší peněžní hodnotu mají pro útočníky naše citlivá data, o kterých možná ani netušíme, že je naše e-mailová schránka ukrývá. Možná jste posílali výpisy z účtu svému účetnímu. Nebo nájemní smlouvu se svými kontaktními údaji svému pronajímateli. Nebo máte v e-mailové schránce uloženou citlivou komunikaci se svým právníkem či lékařem.

Na základě těchto údajů z nás útočníci mohou vylákat další informace a využít je při phishingovém útoku nebo vishingu. Kromě výše zmíněného mohou ale také:

Existuje bohužel mnoho cest, jak mohou útočníci proniknout do naší e-mailové schránky a získat údaje o našem účtu. Kromě dnes již poměrně známé metody získání přístupů prostřednictvím podvodného e-mailu, mohou také:

Jak zjistit, zda nebyl e-mailový účet napadený?

To, zda byl e-mailový účet napaden, lze s jistotou určit podle následujících ukazatelů:

S prověřením celé situace pomůže také webová stránka HaveIBeenPwned.com, která má přístup k rozsáhlé databázi prolomených e-mailových účtů a kde svou adresu můžete zkontrolovat. Kontrolu a tipy na zabezpečení nabízejí také sami poskytovatelé účtů. Společnost Google umožňuje zkontrolovat nedávnou aktivitu na vašem účtu nebo provést kontrolu zabezpečení, ve které můžete dohledat například nová přihlášení. Ostatní e-mailové služby poskytují podobné možnosti a nabízejí také podrobné návody, jak napadený účet obnovit (Seznam či Outlook.com).

A co dělat, aby se situace už neopakovala?

V případě napadení e-mailové schránky je důležité zachovat klid. Kromě samotné obnovy účtu je dobré myslet i na své kontakty a informovat je zasláním zprávy ve slepé kopii (BCC) nebo prostřednictvím sociálních sítí.

Pro lepší zabezpečení lze prakticky okamžitě provést tato opatření:

Chytré hodinky a fitness náramky patří mezi takzvané wearables. Jedná se zařízení, která nosíme přímo na těle. A právě nositelná elektronika o nás sbírá stále více informací. Hodinky monitorují náš zdravotní stav, mohou být synchronizované s naší e-mailovou schránkou, nebo s nimi můžeme platit u pokladen v obchodech. A čím víc roste jejich chytrost, tím víc roste i riziko pro naše citlivé údaje.

Sledují každý náš krok

Čím víc služeb a zařízení může s hodinkami sdílet data, tím více se otevírají dveře pro útoky zvenčí.

Kromě platebních údajů nebo obsahu konverzací může být pro útočníky cennou informací také naše poloha. Díky tomuto údaji si mohou vytvořit přesnou mapu našeho pohybu během dne. To jim otevírá mimo jiné příležitost zjistit, kdy jsme a nejsme doma. Nic jim potom nebrání, aby ve vhodný okamžik napadli naši domácnost i fyzicky.

Prostřednictvím některých zařízení je dokonce možné odemknout vchodové dveře. To představuje riziko zejména v případě, kdy nám zařízení někdo odcizí, nebo je ztratíme.

Klíčem k bezpečnosti je více úhlů pohledu

Veškeré zabezpečení začíná samozřejmě u samotných chytrých hodinek a fitness náramků. I zde je potřeba pravidelně aktualizovat jejich firmware / operační systém. Jedná se ale jen o jeden střípek ve stále větší skládačce.

Přístup k našim citlivým údajům mohou útočníkům poskytnout i aplikace v chytrém telefonu, se kterým jsou hodinky nebo náramky spárované. Riziko zvyšuje především stahování služeb a nástrojů z neoficiálních obchodů a různých fór, kde mohou uživatelé s aplikacemi stáhnout i škodlivý kód. Z hlediska bezpečnosti bychom tak měli aplikace stahovat vždy z oficiálních obchodů – tedy App Store nebo Google Play.

A nakonec také platí, že bychom v případě chytré nositelné elektroniky neměli koukat na cenu a investovat do dražší a známější značky. Budeme mít zkrátka větší jistotu, že výrobci na jeho dobrém jménu záleží a bude brát přístup k zabezpečení a nakládání s našimi daty vážně.

Hlavní doporučení, jak chránit citlivé údaje:

• Vyberte si renomovaného výrobce, který podporuje zařízení po co nejdelší dobu, a pravidelně aktualizujte.
• Citlivé údaje v chytrých hodinkách a náramcích chraňte zámkem obrazovky. Upravte nastavení tak, aby se vaše zařízení nemohlo neoprávněně spárovat s jiným.
• Aplikace do svého telefonu stahujte ideálně pouze z oficiálního obchodu, jako je Google Play a App Store.
• Udržujte všechny aplikace ve svém chytrém telefonu i jeho operační systém aktualizovaný.
• Odeberte aplikacím ve svém telefonu oprávnění, která nepotřebují.
• Chytrý telefon chraňte kvalitním bezpečnostním softwarem.
• Změňte hesla továrního nastavení všech svých chytrých zařízení.
• Pokud to neomezuje jejich funkčnost, nepřipojujte IoT zařízení doma do stejné Wi-Fi sítě jako mobilní telefony a notebooky, ale k připojení využijte síť pro hosty (Guest Wi-Fi).

Útočník v textu tvrdí, že hacknul váš počítač a natočil vás při sledování pornografických stránek. Občas náznakem zmíní, že máte neobvyklý vkus (ještě si řekneme, proč). Nabízí, že výměnou za nemalou částku takové video smaže a vy už o něm neuslyšíte.

Mění se jazyk i forma

V poslední době jsme byli svědky výrazného vývoje tohoto typu scamu. Například tento e-mail je z minulého roku a pravděpodobně přišel do schránky i nejednomu z našich čtenářů.

V předmětu jste se mohli dočíst, že váš účet byl „trhlý“, chyběly některé znaky a obecně jste museli místy zapojit fantazii, abyste sdělení pochopili. Přesto i takový e-mail vyděsil některé uživatele dost na to, aby zaplatili.

Ve zprávě z února tohoto roku už útočníci zkoušeli pro zvýšení důrazu své výhružky tvrdit, že adresátům píší z jejich vlastních e-mailů. A opravdu v hlavičce uživatel viděl svou adresu jako odesílatele. Takto chtěli útočníci ilustrovat, že skutečně mají přístup do počítače. Jinak se ale scam od toho z roku 2018 výrazně nelišil.

A konečně začátkem dubna, respektive minulý týden, našli čeští uživatelé ve schránkách e-mail psaný dobrou češtinou, výkupné bylo uvedeno v korunách a dokonce byl součástí i QR kód pro zjednodušení platby.

Jaké triky využívají hackeři, abyste jim uvěřili?

Uvedené příklady podvodných e-mailů ilustrují trend, kdy se postupně zdokonaluje použitý jazyk. Dříve stačila ledabyle přeložená výhružka, nyní si útočníci musí dát trochu větší práci s tím, aby dostali z adresátů to, co chtějí. Peníze.

Na druhou stranu ve všech ukázkách podvodníci využili principy tzv. sociálního inženýrství. Co to znamená? V tomto případě se vás například snaží dostat pod časový a emoční tlak, protože pak je pravděpodobnější, že racionální argumenty přehlédnete.

V podvodných e-mailech se také obvykle pracuje se strachem a studem. Například tvrdí, že vás zachytil sledovat pornografický web, čímž se obecně nikdo nechlubí. Často také naznačí, že máte podivný vkus. Tyto detaily mají vyhlédnutou oběť přimět, aby se styděla a byla tak ochotnější vyděrači vyhovět.

Útočník se také pokusí dokázat, že skutečně má přístup k vašemu účtu. Běžně se využívá několik triků, například odesílá informaci z vašeho účtu nebo v textu uvede vaše heslo. To ale v žádném případě nelze považovat za důkaz.

Váš e-mail a heslo mohl hacker získat z úniku dat dávno předtím, než scam rozeslal.

Zfalšovat adresu odesílatele, aby vypadala jako vaše, není pro zkušenější uživatele nic těžkého. Velmi podobné je to i s hesly. V minulosti několikrát unikly uživatelským e-shopům nebo velkým cloudovým službám e-maily a hesla. Obvykle jsou tato data k mání na tzv. darknetu.

Ostatně každý si může jednoduše ověřit, zda byla jeho vlastní data kompromitována či nikoliv. Na stránce haveibeenpwned.com lze po zadání e-mailové adresy zjistit, zda tento účet byl součástí některého z úniků.

ESET Ethical Hacking Academy je odborné školení zaměřené na získání teoretických a praktických dovedností pro výkon penetračního testování. Je určeno především pro studenty 4. a 5. ročníku vysokých škol, ale o účast se mohou ucházet i čerství absolventi vysokých a středních škol.

Bezpečnostní experti společnosti ESET seznámí účastníky sérií přednášek s nejčastějšími nedostatky webových aplikací a představí nástroje pro testování jejich zabezpečení. Půjde zejména o chyby ze seznamu OWASP Top 10, mezi kterými nebudou chybět:

• Přístup k datům pomocí SQL injection a další méně známé injection chyby (OS command injection, XML External Entity – XXE).
• Různé útoky na nedostatky v autentizaci a session managementu (PHP type juggling, Cross Site Request Forgery – CSRF, Session Fixation).
• Útoky na uživatele (Cross Site Scripting – XSS, Clickjacking).

Školení bude probíhat v prostorách společnosti ESET, Classic 7 Business Park, Jankovcova 1037/49, Praha 7 – Holešovice, vždy od 18:00 do 21:00 hod., v těchto termínech:

• 21. února 2019
• 14. března 2019
• 4. dubna 2019
• 25. dubna 2019
• 16. května 2019

Pro účastníky, kteří budou nejúspěšnější v řešení zadaných úloh, jsou připravené zajímavé ceny. Vybraným absolventům nabídne ESET možnost odborné stáže a ti nejlepší budou moci rozšířit řady ESET Ethical Hacking týmu.

Zájemci o účast na letošní ESET Ethical Hacking Academy se mohou hlásit na adrese eha@joineset.cz, více informací naleznou na webu https://join.eset.com/cz/eha.