Aplikace, které využívají umělou inteligenci k úpravě fotek jsou mezi lidmi velmi populární. Barbie-editor není jediný, před pár lety čelila stejným otázkám a problémům například aplikace FaceApp. Tato aplikace dokázala na základě vámi nahrané fotky přidat věk, změnit pohlaví nebo například rasu.

Před riziky obou aplikací varovalo polské Ministerstvo pro digitalizaci nebo české Velitelství informačních a kybernetických sil.

Abyste mohli tyto služby využívat, musíte souhlasit s podmínkami užití. Ty ale bývají poměrně složité a málokdo je čte. Tak je tomu i v případě barbieselfie.ai, kde se po přečtení dozvíte, že aplikaci dáváte mimo jiné přístup ke své historii nákupů, včetně  informací o vaší platební kartě, GPS lokaci, přesným technickým informacím o vašem zařízení a k jeho fotoaparátu, který umožňuje sledovat pohyb vašich očí a dalších obličejových rysů a také vašeho okolí. Povolení navíc udělujete na jedno kliknutí a není možné odsouhlasit jen některé z oprávnění. Přístup k takovým údajům představuje riziko pro ochranu vašeho soukromí.

Druhá z aplikací – bairbie.me podle polského Ministerstva pro digitalizaci zase neodpovídá kritériím nařízení GDPR. My jako uživatelé tak nemáme informace o tom, jak přesně se naše data sbírají a jak přesně se budou používat. Stručné podmínky v angličtině, ale například zmiňují, že aplikace bez dohledu dospělého nemůže být používaná uživateli mladší 16 let a také do ní nesmějí být nahrávány snímky, ke kterým uživatel nemá potřebná práva nebo fotografie dalších osob bez jejich souhlasu.

Problémy AI editorů: rasismus i trénink rozpoznávání obličejů

Typickým problémem těchto AI editorů je to, že si nemůžeme ověřit, jaká firma data vlastní a k jakému účelu je zpracovává, kde přesně sídlí nebo jaké má standardy zabezpečení. Všichni občané Evropské unie mají nárok na to, aby jejich data byla chráněna a jako uživatelé měli přehled o tom, co se s jejich daty děje. Bez ohledu na to, odkud pochází služba, kterou chtějí využívat. Legitimní služby toto respektují a uživatelům transparentně sdělují, jaká data shromažďují a zpracovávají, případně jestli je sdílí s nějakou třetí stranou.

Jakmile do aplikace nahrajete data, například fotografie, dáváte aplikaci přístup k těmto datům. Může se zdát, že vaše selfie není tak důležité, ale opak je pravdou. Například v případě aplikace FaceApp se spekulovalo, že veškeré fotografie jsou používány pro trénink umělé inteligence a následně pro trénink softwaru na rozpoznávání obličejů (ten je například využíván k represi lidí v Číně).

Nekorektní aplikace běžně prodávají data třetím stranám, mimo jiné i pro marketingové účely. Pokud dáte vývojářům aplikace kompletní práva k vašim fotografiím, může se stát, že vaši fotku najdete jednou na reklamním letáčku.

Velitelství informačních a kybernetických sil varovalo i před tím, že rozsáhlé databáze e-mailů spojených s vaší fotografií mohou být prodány, a pravděpodobně i zneužity.

Odborníci se obávají toho, jak mohou být data (zejména pak fotografie a videa) zneužívána pro vytvoření deepfake nebo jiných nejmodernějších podvodů, které mohou mít zásadní vliv na lidské životy a osudy.

Některé zdánlivě populární aplikace na tvorbu avatarů a AI editování obsahují malware nebo spyware. To byl případ „BeautyPlus – Easy Photo Editor & Selfie Camera“, kterou si stáhlo přes 300 milionů uživatelů. Nebo aplikace od vývojářského studia iJoysoft, které obsahovaly adware (a tudíž uživatelům zobrazovaly nevyžádanou reklamu, dokonce i když původní infikované služby byly vypnuté).

Platí, že většina AI editorů se teprve vyvíjí, a tudíž nemusejí být kompletně spolehlivé ani dokonale bezpečné. S důvěryhodností se například potýkala aplikace Lensa, která vytvářela i pornografický materiál nebo výstupy s genderovými a rasovými předsudky.

Jaké parametry si ověřit?

Editory fotografií jsou zábavné a pokud dodržíte několik základních pravidel, můžete je používat i bezpečně.

V první řadě vždy věnujte pozornost tomu, kdo aplikaci provozuje a spravuje vaše osobní údaje. Pokud služba zpracovává osobní údaje a je provozovaná z EU nebo společnost sídlí mimo EU, ale cílí svoje služby a monitoruje chování osob v EU, vztahují se na ní požadavky ochrany osobních údajů GDPR.

Pozorně si přečtěte podmínky užívání služby, kde se zaměřte na to, jaká data společnosti prostřednictvím aplikace poskytujete a jak s nimi může dále nakládat (předávání údajům třetím stranám, využití pro marketingové účely apod.).

Pokud to aplikace umožňuje, udělte jí co nejnižší oprávnění – např. pouze přístup k fotoaparátu a neposkytujte jí ani svoje osobní údaje. Pokud vám aplikace výslednou fotografii nezasílá na e-mail, nepotřebuje od vás ani ten.

Do aplikace nenahrávejte fotky někoho jiného bez jeho svolení. U svých fotografií dbejte na to, aby ukazovaly co nejméně. Lepší variantou je nahrát statickou fotografii než jí pořizovat přímo za pomocí aplikace, která o vás může v ten moment sbírat i další informace.

Dropper si můžete představit jako obálku, která do zařízení doručí jiný, škodlivější kód. Samotný dropper na sebe bere podobu nějaké známé služby nebo nástroje.

Dropper na sebe bere podobu nějaké známé služby nebo nástroje.

Droppery mají velké množství verzí a rychle se mění, aby uživatele zmátly a skryly se před méně kvalitními bezpečnostními programy. Pokud si takovou aplikaci stáhnete do zařízení, vystavujete svá citlivá data dalšímu nebezpečí.

Nejčastější hrozby v České republice za září pro vás shrnul Michal:

Pinterest nemusí být tím, čím se zdá

Malware Cerberus dokáže odcizit přihlašovací údaje z legitimních stránek bank nebo číst SMS kódy. Riziku se vystavujete, pokud na svém zařízení neplatíte v bankovní aplikaci, ale přes internetové bankovnictví.

Cerberus šíří v současnosti dropper s názvem Agent.GOF. V září tento škodlivý kód útočil neobvykle silně. Počet zachycených případů byl oproti srpnu vyšší o 142 %. Dropper se nadále vydává například za Pinterest. Uživatel na něj mohl narazit ale také v aplikacích pro sledování sportovních výsledků nebo čtení médií.

Tyto nebezpečné aplikace mají jedno společné. Uživatelé je mohou stáhnout z neoficiálních aplikačních obchodů nebo různých fór.

Rizikem je také neodhalitelná reklama

Na pomyslném druhém místě byl v září trojský kůň Andreed. I v tomto případě se s ním uživatelé nesetkávají poprvé, objevil se mezi hrozbami již na konci prázdnin. Andreed zobrazuje nevyžádanou agresivní reklamu.

Třetí příčku tentokrát obsadil trojský kůň Hiddad.AEE. I tento malware může být doručen do zařízení dropperem, který se vydává za bezpečnostní nástroj pro vyčištění zařízení.

Malware Hiddad zobrazuje reklamu tzv. skrytým způsobem. V praxi to znamená, že uživatel nezjistí, ze které aplikace se daná reklama zobrazuje. Nevidí v zařízení žádnou ikonu nebo aktivitu na pozadí systému. Malware ho pak může prostřednictvím reklamy nalákat, aby kliknul na zobrazovaný odkaz, a odvést ho na daleko nebezpečnější stránky.

O bezpečí rozhoduje místo, odkud stahujete aplikace

Doporučenou ochranou je především nestahovat aplikace mimo oficiální obchod Google Play. Zabezpečení svého zařízení má tak v rukou sám uživatel. A proč uživatelé stahují aplikace mimo doporučená a bezpečná místa? Některé nástroje nemusí být v oficiálním obchodu dostupné, nebo jsou placené. Útočníci tak jednoduše lákají uživatele na služby zdarma.

Útočníci jednoduše lákají uživatele na služby zdarma.

Svůj bankovní účet ochráníte používáním oficiální bankovní aplikace a ověřováním plateb přímo v ní pomocí otisků prstů. K úplnému zabezpečení doporučují odborníci využívat kvalitní bezpečnostní software a pravidelně aktualizovat operační systém i všechny aplikace v zařízení.

Nejčastější kybernetické hrozby v České republice pro platformu Android za září 2021:

1. Android/TrojanDropper.Agent.GOF trojan (47,13 %)
2. Android/Andreed trojan (6,31 %)
3. Android/Hiddad.AEE trojan (3,27 %)
4. Android/TrojanDropper.Agent.GUB trojan (2,94 %)
5. Android/TrojanDropper.Agent.IGY trojan (2,22 %)
6. Android/TrojanDownloader.Agent.KE trojan (1,96 %)
7. Android/TrojanDropper.Agent.IEG trojan (1,77 %)
8. Android/TrojanDropper.Agent.HQQ trojan (1,63 %)
9. Android/TrojanDownloader.Agent.WI trojan (1,62 %)
10. Android/Monitor.Cerberus application (1,14 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Vždy hrají na emoce a nedají vám čas, abyste si kliknutí či zadání údajů pořádně promysleli. S podvody se můžete setkat v e-mailu, na sociálních sítích, v SMS zprávě či telefonátu. Útočníci se od obětí snaží získat citlivé informace, jako jsou přihlašovací údaje, číslo platební karty, případně rovnou nějaký finanční obnos.

Základní rady, jak se nenechat oklamat pro vás shrnul Michal ve videu:

S níže uvedenými tipy se můžete v kybersvětě setkat nejčastěji. S odhalením vám pomůže spolehlivý bezpečnostní program. Podvodné obchody a stránky eviduje také Česká obchodní inspekce na stránce rizikove.cz. Pokud máte podezření, neváhejte si legitimitu obchodu prověřit.

#1 Podvodné reklamy

Podvodné reklamy, někdy označované jako malvertising, se nejčastěji šíří prostřednictvím sociálních sítí, mnohdy také pomocí hacknutých účtu uživatelů. Na podvodnou reklamu ale můžete narazit i na internetových stránkách, které navštěvujete každý den.

Výše uvádíme příklad falešných reklam, které vás po jejich rozkliknutí přesměrovaly na podvodnou stránku, které z vás měly vylákat nějaké osobní údaje nebo peníze.

Jak poznat podvodnou reklamu?

• Neklikejte na nic, co jen trochu zavádí podvodem. Opatrnosti není za dost v případě příliš nízkých cen, při výskytu častých gramatických chyb v inzerátu, nebo u zboží na výměnu.
• Neklikejte na odkazy v přespříliš pozitivních zprávách, které vám přišly přes Messenger, Instagram nebo WhatsApp, a to ani v případě, že zpráva přišla od známého. Sdělení si raději prověřte z jiného zdroje.
• Nedůvěřujte e-shopu jen proto, že jste jej viděli inzerovaný nebo sdílený na sociálních sítích. Pokud e-shop například nemá na své facebookové stránce žádný obsah, je pravděpodobné, že stránka existuje jen kvůli podvodné inzerci.

#2 Falešné webové stránky

Falešné webové stránky mohou mít řadu podob. Vloni například napodobovaly obchody s rouškami. Tvůrci těchto webů dokonce zneužívali grafickou podobu renomovaných obchodů. Můžete se setkat s falešnými obchody, jejichž název napodobuje jiný známý obchod.

Jednou z cest, jak oklamat uživatele, je tzv. homoglyfový útok. Homoglyfy jsou znaky, které vypadají velice podobně jiným. Vlastně je to kybernetická verze známého „čím víc proužků, tím víc Adidas“. Útočník si zaregistruje nějakou webovou adresu, ale místo písmena z latinky použije podobný znak z jiné abecedy. Lidské oko někdy rozdíl nepozná, ale počítač ano. Útočníci mohou dokonce vydat vlastní certifikát a podepsat jej vlastní certifikační autoritou (zelený zámeček v URL adrese).

Odkazy na takovéto obchody se často šíří e-mailem. Vizuálně mohou být velice věrohodné.

Jak se před homoglyfovými útoky chránit?

• Neklikejte na odkazy v podezřelých e-mailech.
• Ověřte si odesílatele zprávy.
• Zkontrolujte protokol HTTPS a bezpečnostní certifikát (má-li stránka v odkazu zelený zámeček a znaky https). Podvodná stránka sice může mít certifikát, ale je to méně časté.
• Nainstalujte si bezpečnostní program s technologií Anti-Phishing. Ten využívá speciální algoritmy, které kontrolují vizuál stránek a hledají prvky, které parazitují na jiných stránkách. Touto technologií se dají odhalit například falešné bankovní formuláře. Anti-phishing je součástí všech programů ESET.
• Stránku si můžete také ověřit v databázi České obchodní inspekce na www.rizikove.cz.

#3 Falešné dárkové karty a kupóny

Kupóny a dárkové karty jsou, kromě slev, dalším populárním způsobem, jak přilákat zákazníky. Pokud vás zláká falešný kupón a kliknete na něj, hrozí, že si do zařízení stáhnete malware. Namísto k vysněné slevě se proklikáte k přihlášení placených SMS.

Jak poznat falešné slevové kupony?

• Kupóny a dárkové karty obvykle prodejci sdílí na svých oficiálních kanálech. Pokud natrefíte na kupóny a dárkové karty jinde, buďte opatrní a prověřte si jejich pravost.
• Pokud je sleva až překvapivě vysoká, doporučujeme také nabídku prověřit přímo u obchodníka.
• Vždy si ověřte podmínky akce, ty musí prodejce podle zákona uvádět.

#4 Podvodné aplikace

Mnohé e-shopy mají pro usnadnění nákupu vlastní aplikaci. Uvědomují si to i kybernetičtí útočníci, kteří cílí na mobilní zařízení uživatelů.

Jak poznat falešnou aplikaci oblíbeného obchodu?

• Nestahujte si neznámé aplikace z nedůvěryhodných webů. Aplikace stahujte vždy z oficiálních zdrojů, tedy z Google Play nebo App Store.
• Nainstalujte si spolehlivý bezpečnostní software určený pro mobilní telefon, který vás na případné riziko upozorní včas.

#5 Phishingové útoky

Phishingové útoky jsou jedním z nejrozšířenějších podvodů vůbec. Zločinec vám například pošle e-mail, který působí jako oficiální komunikace zákaznické podpory a upozorní vás na nějaký smyšlený problém. Pro vyřešení potíží vás vyzve k zadání osobních nebo přihlašovacích údajů nebo k platbě poměrně nízké částky.

Na podzim takto útočníci zneužívali třeba Českou poštu. Podvržená adresa ceska-posta-poslatexpres.com neměla s touto státní organizací nic společného.

Jak se chránit před phishingem?

• Ověřte si odesílatele zprávy a porovnejte adresu odesilatele s oficiální e-mailovou adresou e-shopu či služby.
• Žádný e-shop ani banka nebude nikdy vyžadovat v e-mailu či SMS další potvrzení osobních údajů či objednávky, kterou jste provedli přímo v obchodu. Na takové výzvy nereagujte, e-mail přesuňte do spamu, u opakujících se případů odesílatele zablokujte.
• Obzvláště obezřetní buďte, pokud vás e-mail „nutí“ urychleně reagovat. Jde o častý trik, jak uživatele pobídnout k akci.
• Neotvírejte a nestahujte přílohy z podezřelých e-mailů.
• Mimořádnou pozornost byste měli věnovat zkráceným odkazům ve zprávách i na sociálních sítích. Za žádných okolností na ně neklikejte. Cílovou adresu uvidíte, pokud na odkaz či tlačítko nejedete (ne-kliknete) myší. Pokud se neshoduje s adresou e-shopu, nepokračujte v činnosti.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book

Zdroj: BezpečneNaNete.sk

Podvodníci se snaží módní vlnu fotografií s filtry využít – lákají uživatele na falešné prémiové verze, která které ale nabízejí ke stažení zdarma. Svou aplikaci se snaží propagovat virálně, například pomocí článků nebo videí na YouTube. Pro zajímavost, během přípravy tohoto článku Google při zadání spojení FaceAppPro obsahoval 200 000 článků.

Odhalili jsme dva způsoby, jak se útočníci snaží získat peníze pomocí neexistující prémiové verze aplikace.

Pozor na lákavé nabídky na webu

V jednom případě útočníci vytvořili falešné webové stránky, které nabízí stažení prémiové verze FaceApp zdarma. Na první pohled vypadá web přesvědčivě.

Ve skutečnosti ale útočníci jen oklamou uživatele, aby odklikali bezpočet nabídek k instalaci dalších placených aplikací, reklam, průzkumů a podobně. Oběti také obdrží požadavek na odsouhlasení notifikací z řady webových stránek. Tyto notifikace vedou uživatele na další podvodné nabídky.

Během našeho testu jsme vždy získali jen verzi zdarma dostupnou na Google Play. Nicméně, namísto oficiálního obchodu, byla aplikace stažena z populární služby ke sdílení souborů (mediafire.com).

Google Play aktivně kontroluje potenciální rizika, z jiného zdroje si uživatel snadno může stáhnout aplikace s malwarem.

Na podvody lze narazit i na YouTube

Druhým typem podvodu jsou YouTube videa, která opět propagují stažení prémiové verze zdarma. Zkrácené odkazy pro stažení aplikace nicméně vedou na služby, které mají jedinou funkci – přimět uživatele nainstalovat si další aplikace z Google Play. Jedno takové video mělo během přípravy článku 150 000 zhlédnutí.

Obvykle se tento typ podvodu používá k zobrazování reklam. Zkrácené odkazy mohou na jediné kliknutí dovést uživatele k instalaci malwaru.

Aplikace zdarma mohou vyjít draho

Populární služby často chtějí zneužít podvodníci. Nepozorní uživatelé totiž naletí. Než si nainstalujete módní aplikaci, dodržte několik bezpečnostních pravidel.

Bez ohledu na to, jak lákavou nabídku najdete, nestahujte nikdy aplikace z jiného než oficiálního obchodu (App Store nebo Google Play). Vždy se také seznamte s dostupnými informacemi o aplikaci. Zajímejte se o vývojáře, hodnocení i komentáře. Obzvláště pro operační systém Android existuje řada podvodných populárních aplikací a her.

Také si do zařízení nainstalujte bezpečnostní program, který dokáže případné podvody a malware odhalit.

Na první pohled falešná aplikace nevyvolávala žádné podezření.

Existuje řada legitimních služeb, ty se útočníci snaží napodobit, aby si uživatel v dobré víře stáhl padělanou verzi. Přesně tak přemýšleli vývojáři falešné aplikace Trezor Mobile Wallet, která zneužívala obchodní značku známé hardwarové peněženky na kryptoměny Trezor. Navíc byla napojena na další podvodnou aplikaci.

Padělaná aplikace loví přihlašovací údaje

Falešná verze Trezoru byla ke stažení od 1. května 2019, jako developer byla uvedena společnost Trezor Inc. Na první pohled aplikace nevyvolávala žádné podezření. Během našeho testování byla dokonce druhá nejpopulárnější při hledání klíčového slova trezor (první byl pochopitelně oficiální Trezor Manager).

Falešná aplikace měla z uživatele vymámit přihlašovací údaje k peněžence. Ty se ukládaly na server na doméně coinwalletinc.com. Zjistili jsme, že padělaný Trezor je napojený na další aplikaci Coin Wallet, která dokáže uživatele díky technice zvané „podvod s adresou peněženky“ o jejich kryptoměny připravit.

V průběhu tohoto podvodu dokáže aplikace pozměnit adresu cílové peněženky, kterou zpravidla uživatel zkopíruje. Platba tak na místo k adresátovi bez vědomí plátce putuje na účet útočníkům. Obě aplikace mají podobný vzhled i zdrojový kód.

Aplikace již Google stáhl

Nebezpečí hrozí jen uživatelům, kteří si stáhli padělek. Pokud i vy používáte legitimní aplikaci Trezor, nemusíte mít obavy. Pravý Trezor totiž vyžaduje fyzickou manipulaci a ověření pomocí PINu nebo znalost kódu pro obnovu dat, jinak uložené kryptoměny nejsou přístupné. Podobné omezení používá i jejich oficiální mobilní aplikace Trezor Manager.

Tvůrci pravé aplikace Trezor nám potvrdili, že žádné riziko pro její uživatele nehrozí.

Ani jednu z podvodných aplikací již na Google Play nenajdete, po našem upozornění ji Google stáhl. Nelze vyloučit, že je brzy nenahradí jiné podvodné aplikace a malware.

Útočníci se ale nevzdávají, uživatelé se musejí aktivně bránit. Mnohdy stačí používat selský rozum a ověřit si legitimitu aplikace. U veškerých aplikací, obzvláště u těch určeným k platbám, vždy prověřte, zda na ně odkazují oficiální služby a stránky. Dbejte také, abyste v zařízení měli aktuální verzi operačního systému a spolehlivý bezpečností software, který dokáže blokovat a odstranit hrozby.