A jedním z nejsnadnějších způsobů, jak je z nás dostat, je sociální inženýrství.

Co je sociální inženýrství?

Sociální inženýrství je soubor technik, které útočníci využívají k psychologické manipulaci svých obětí. Cílem je většinou nasdílení přihlašovacích údajů, potvrzovacích kódů nebo nevědomá instalace malwaru.

Proč je sociální inženýrství tak úspěšné (a tím pádem nebezpečné)? Protože my, lidé, jsme nejen omylní, ale hlavně sociální bytosti naprogramované věřit ostatním lidem a příběhům, které nám vyprávějí. Zvlášť, když je považujeme za autority.

„Sociální inženýrství funguje, protože zneužívá rozporu, který v nás vytváří vrozené sociální instinkty a naučené zásady kybernetické bezpečnosti,“ vysvětluje náš globální bezpečnostní poradce Jake Moore. „Řečeno jednoduše, sociální inženýři využívají naší důvěřivosti a dělají to hodně dobře.“

Sociální inženýrství často nevyžaduje ani malware, ani sofistikované využívání zranitelností našich zařízení. To znamená, že útoky postavené na něm jsou hůř detekovatelné a hlavně levnější. Obě tyto výhody navíc ještě podpořil nástup generativní AI, která umožňuje snadno vytvářet např. bezchybné phishingové e-maily či přesvědčivé deepfaky.

Jak přesně funguje sociální inženýrství?

Moderní útok na bázi sociálního inženýrství většinou probíhá takto:

1. Průzkum. Sociální inženýři si své oběti „šacují“ podobně jako zloději nebo klasičtí podvodníci. Jako zdroje informací jim slouží naše sociální sítě, balíčky kradených dat z dark webu nebo (v případě útoků na firmy) zpravodajství z otevřených zdrojů (OSINT).
2. Plánování. Na základě získaných informací si útočníci zvolí nejdůvěryhodnější kanál (např. e-mail, soukromou zprávu na sociálních sítích, QR kód nebo i osobní setkání), kterým útok uskuteční, a uvěřitelnou „návnadu“.
3. Útok. Útočník nahodí návnadu (např. urgentní žádost, příslib odměny, vzbuzení strachu či odvolání se na autoritu), oběť se chytí a provede požadovanou akci (např. klikne na podvodný odkaz, otevře škodlivou přílohu, převede peníze nebo prozradí své přihlašovací údaje).
4. Únik. Útočník ukradne přihlašovací údaje, inkasuje poslané peníze nebo spustí nainstalovaný malware a užívá si plody své práce.
5. Reakce. Poškozená strana si uvědomí, co se stalo, a ideálně začne podnikat kroky k nápravě.

Sociální inženýrství z pohledu psychologie

Sociální inženýrství a na něm založené kybernetické útoky nejsou v jádru ničím jiným než útokem člověka na člověka. Hlavní zbraní je v tomto případě manipulace, která je podle amerického psychologa Roberta Cialdiniho založená na následujících principech:

• Autorita: Lidé mají tendenci plnit pokyny těch, které vnímají jako vůdce, což je přesně důvod, proč se podvodníci často vydávají za pracovníky bank, státní úředníky, policisty apod.
• Urgence/FOMO: Pokud je na nás vyvíjen nátlak, že když nebudeme hned jednat, stane se něco špatného nebo nám něco vzácného uteče, zvyšuje se šance, že poslechneme. Tento typ manipulace hojně využívá phishing, např. výhružkou, že nám někdo do 24 hodin deaktivuje účet, nebo příslibem výhry, kterou je nutné vybrat včas.
• Vzájemnost (reciprocita): Lidé nemají rádi pocit, že jsou někomu něco dlužní, a mají často potřebu se revanšovat. Toho zneužívají třeba phishingové e-maily, které slibují dárek nebo produkt zdarma výměnou za to, že se někam přihlásíme, na něco klikneme apod.
• Závazek: Většina z nás se snaží zůstat v názorech a jednáních důsledná, což se projevuje například i tak, že pokud na nějaké podmínky přistoupíme jednou, nejspíš to uděláme znovu, i když se po nás tentokrát chce víc. Proto mají sociální inženýři tendence útoky opakovat.
• Sociální schválení: Lidé mají sklony jít s davem, takže pokud v nás někdo vzbudí dojem, že většina lidí udělala, co se po nás chce, existuje vyšší šance, že to uděláme taky. Toho se využívá např. při phishingových útocích na firmy, při kterých se zaměstnancům tvrdí, že kolegové už „potvrdili údaje“.
• Oblíbenost: Většina lidí se rozhoduje na základě sympatií. To znamená, že pokud nám žádost předkládá někdo, kdo se nám líbí, spíš řekneme ano. Proto se sociální inženýři snaží vybudovat co nejpevnější vztah s obětí.

Sociální inženýrství není jen phishing

O tom, že podvody či krádeže dat založené na sociálním inženýrství často nejsou zvlášť technologicky vyspělé, už jsme mluvili. A co je to phishing nejspíš také znovu vysvětlovat nemusíme. Pojďme se tedy podívat na jeho možná méně známé formy:

• Push bombing je bombardování notifikacemi z aplikace pro vícefaktorové ověření. Cílem je příjemce zmást nebo doslova „uhnat“, aby aspoň jedno z nich potvrdil.
• Quishing je phishing pomocí QR kódu, který bývá vyvěšený na veřejných místech nebo zaslaný e-mailem. Stejně jako v případě klasického phishingu vede uživatele na podvodné stránky nebo ke stažení malwaru.
• ClickFix je poměrně nový způsob, jak do zařízení oběti dostat malware. V první fázi jde o klasický phishing, ale jakmile oběť dorazí do cíle (např. na falešnou stránku), vyskočí jí upozornění, že došlo k dočasné chybě, kterou může opravit jen tak, že zkopíruje a vloží kód do příkazového řádku. Tím nainstaluje malware.

Mezi metody sociálního inženýrství, které se neopírají o phishing, patří třeba milostné podvody, podvody na (pra)rodiče nebo sextorze. Tyto typy podvodů hojně využívají deepfaky vytvořené pomocí generativní umělé inteligence, které útočníkům usnadňují vydávat se za někoho jiného nebo vytvořit falešný pornografický materiál pomocí fotek ze sociálních sítí.

Jak se bránit sociálnímu inženýrství?

Metody sociálního inženýrství a způsoby, jak je na nás uplatnit, jsou různé, ale jedno mají většinou společné: žádost o peníze a/nebo přihlašovací či jiné důvěrné údaje. Pokud na takovou žádost narazíme, je naprosto zásadní nechat si ji pořádně projít hlavou.

„Pokud v nás někdo vyvolává urgenci nebo strach, je potřeba zpomalit a všechno si ověřit,“ radí Jake Moore. „Většina útoků sociálního inženýrství se totiž zhroutí ve chvíli, když se odpojíme od platformy, kterou sociální inženýři k útoku používají, a tím narušíme příběh, který nám vyprávějí. To je přesně důvod, proč se nás snaží např. udržet na telefonu, dokud neuděláme, co chtějí.“

Odolnost proti sociálnímu inženýrství můžete podpořit následujícími kroky:

1. Zvyšujte si povědomí o tom, jaké typy podvodů existují a jaké metody a technologie používají.
2. Aktivujte si všechny bezpečnostní prvky, které vám technologie a platformy umožňují (např. vícefaktorové ověření), a pořiďte si dobrý antivir s ochranou proti phishingu nebo blokací pochybných telefonních čísel.
3. Mluvte o hrozbách sociálního inženýrství otevřeně, a to hlavně doma s dětmi a seniory, na které podvodníci cílí také.

Shrnutí:

Sociální inženýrství není úspěšné, protože jsou podvodníci mimořádně technicky zdatní, ale protože je postavené na psychologické manipulaci. A tu neumí zastavit ani nejlepší bezpečnostní software. Jediná spolehlivá ochrana je tedy ta, která kombinuje informovanost, ostražitost a technologickou ochranu, která nás podrží i ve chvíli, když náš úsudek selže.

Mohlo by vás zajímat:
🎭 Sociální inženýrství online, jak nenaletět?
🎭 Sociální inženýrství: Jak se mu efektivně bránit?
🎭 Poznáte phishingový e-mail? Projděte si test, který vytvořil Google

Co je scareware?

Scareware se vás pokusí přesvědčit, že vaše zařízení napadl nějaký malware. Zničehonic se objeví spoustu oken nebo notifikací, které se vás snaží vyděsit. Cílem útočníků je zpravidla prodat vám nějaký program, který neexistující malware odstraní, případně z vás vymámit osobní/finanční údaje nebo nainstalovat skutečný malware.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book

Jak se scareware se šíří?

Automaticky pop up okna: Tato okna se automaticky otevřou po kliknutí na nějaký odkaz, při navštívení webové stránky nebo otevření konkrétní aplikace. Může se v nich uvádět, že váš počítač infikoval nebezpečný malware. A to jediné, jak zachránit situaci, je kliknout na vyskakovací okno a stáhnout neexistující antivirový nástroj.

E-maily a zprávy na sociálních sítích: O stejný trik se mohou útočníci pokusit i prostřednictvím nevyžádaných e-mailů. Text se vás snaží přimět, abyste okamžitě odstranili infekci malwarem zjištěnou ve vašem zařízení. Tyto zprávy mohou dokonce přicházet z legitimně vypadajících, ale falešných e-mailových adres. Přiložený odkaz nebo tlačítko vás po kliknutí přesměruje na škodlivou stránku nebo spustí stahování.

Podvodné reklamy: To samé mohou dělat i škodlivé reklamy na legitimních stránkách nebo sociálních sítích, které vyzývají uživatele, aby si stáhli „antivirový software“ a odstranili neexistující malware.

Telefonáty s technickou podporou: Někdy podvodné notifikace nebo zprávy obsahují číslo na technickou podporu, které vás přesměruje do podvodného call centra. Tam vás „specialista“ ihned informuje o napadení zařízení. Podvodníci vás mohou požádat o stažení softwaru pro vzdálený přístup, aby mohli problém „vyřešit“. Ve skutečnosti se budou snažit získat vaše osobní údaje nebo vás přimět zaplatit za služby, které nepotřebujete.

Někdy vám mohou podvodníci z falešné technické podpory zavolat nečekaně a zkusit to s podobnou lží. Tyto podvody se dějí už více než deset let a v roce 2023 byly podle FBI třetím nejvýnosnějším typem počítačové kriminality – podvodníkům vynesly přes 924 milionů dolarů.

Nenechte se scarewarem vyděsit

Scareware využívá klasické techniky sociálního inženýrství. Útočníci se snaží oběť přimět k unáhlenému rozhodnutí a nedávají jí čas na rozmyšlenou. Varování bývá výrazné a má vyvolat pocit naléhavosti – například: „Jednejte HNED, jinak mohou být vaše soubory a fotografie NAVŽDY ztraceny.“

Podvodníci používají blikající červené prvky, velká písmena a falešné snímky obrazovky s údajně infikovanými soubory, případně také zobrazují falešný průběh kontroly počítače. Podvodníci proto napodobují značky známých dodavatelů bezpečnostních řešení a používají názvy jako DriveCleaner, Antivirus360, PC Protector nebo Mac Defender.

Co může scareware způsobit?

V tom lepším případě vyhodíte peníze za zbytečný program. Sice zaplatíte za „nic“, ale aspoň tím podvod končí. V horším případě zločinci získají vaše osobní a finanční údaje, které mohou zneužít k dalším podvodům. Případně si kliknutím na odkaz nebo reklamu nevědomky nainstalujete další malware.

Jak se vyhnout scarewaru

Ochrana před scarewarem není nijak složitá. V první řadě nereagujte na taková varování ihned.

• Nikdy neklikejte na vyskakovací okno. Pokud název „antivirového nástroje“ nepoznáváte, ověřte si jej ve spolehlivém zdroji, například přes Google.
• Zavřete webový prohlížeč nebo se odpojte od internetu. Ve Windows stiskněte Ctrl+Alt+Delete, otevřete Správce úloh a ukončete úlohu prohlížeče. V macOS stiskněte Command+Option+Escape pro vynucené ukončení. Nebo zařízení jednoduše vypněte.

• Používejte důvěryhodné blokátory reklam/pop-up oken, abyste snížili riziko zobrazení scareware. Mnohé z nich škodlivé prvky zastaví dříve, než vám mohou vyskočit na obrazovce.
• Pravidelně aktualizujte webový prohlížeč. starší verze bývají zranitelnější.
• Nainstalujte si legitimní bezpečnostní software od ověřeného dodavatele a udržujte jej aktuální.

Jak odstranit scareware

Pokud se scareware dostane do vašeho počítače nebo mobilu, jeho odstranění by nemělo být složité. Pamatujte, že nejde o skutečný malware. Stačí spustit důvěryhodný antivir, který scareware rozpozná, a poté se řídit pokyny pro odstranění.

ESET HOME Security

Brání hackerům ovládnout vaše zařízení, ukrást vaše citlivá data a přihlašovací údaje.

VYZKOUŠET

Shrnuto, podtrženo

• Scareware je typ podvodu, který využívá strachu uživatele – například falešnými varováními o napadení zařízení.
• Cílem je přimět uživatele k unáhlenému jednání, jako je stažení falešného antiviru nebo poskytnutí citlivých údajů.
• Útočníci využívají vyskakovací okna, podvodné e-maily, reklamy na sociálních sítích nebo falešné telefonáty s „technickou podporou“, aby uživatele zmanipulovali.
• Ochránit vás může vlastní obezřetnost a spolehlivý antivir.

➡️ Malvertising se nám skrývá přímo na očích
➡️ 4 nejčastější podvody na českém internetu
➡️ Sociální inženýrství online, jak nenaletět?

Na jaké kryptoměnové podvody můžete nejčastěji narazit?

#1 Ponziho schéma aneb podvody typu Letadlo a Pyramida

Tato podvodná machinace dostala jméno po Charlesu Ponzim, který k podvodům využil mezinárodního chaosu po 1. světové válce. Oběti v tomto případě útočník naláká k tomu, aby investovaly do neexistujících společností nebo za účelem „rychlého zbohatnutí“. Výnosy takových investic jsou ale v tomto případě vypláceny z peněz dalších nešťastníků, kteří na podvod naletěli. Obchodování s kryptoměnami je pro tento účel bohužel ideální.

#2 Podvod Pump and Dump

Podvodníci na základě nepravdivých informací vybízejí investory k nákupu akcií málo známých společností. Cena akcií následně vzroste a podvodník své vlastní akcie rychle prodá. Akcie podvedených ale zůstanou bezcenné.

#3 Celebrity radí, jak investovat do kryptoměny

Podvodníci se také zmocňují účtů celebrit na sociálních sítích nebo vytvářejí jejich falešné účty a vybízejí fanoušky, aby investovali na základě výše uvedených taktik. V jednom případě si přišli na přibližně 2 miliony dolarů, přičemž zneužili jméno Elona Muska, aby tato lest působila důvěryhodněji.

#4 Neexistující kryptoměnové burzy

Podvodníci posílají e-maily nebo zveřejňují zprávy na sociálních sítích, kde slibují přístup k virtuální hotovosti uložené na kryptoměnových burzách. Jediným háčkem je, že uživatelé musí obvykle nejprve zaplatit malý poplatek. Burzy samozřejmě v tomto případě neexistují a oběti nemají v podstatě žádnou šanci získat vložené poplatky zpět.

#5 Podvody s aplikacemi

Kyberzločinci falšují legitimní aplikace pro kryptoměny a nahrávají je do obchodů s aplikacemi. Pokud si takovou aplikaci nainstalujete, můžete přijít o své osobní a finanční údaje nebo do svého zařízení stáhnout škodlivý kód. Prostřednictvím falešných aplikací mohou podvodníci uživatele přimět také zaplatit za neexistující služby, nebo se pokusit ukrást jeho přihlašovací údaje do kryptoměnových peněženek.

#6 Falešné tiskové zprávy

Někdy se podvodníkům podaří oklamat i novináře, kteří falešné informace zveřejní. To se stalo ve dvou případech, kdy legitimní zpravodajské weby napsaly články o tom, že se velcí prodejci chystají přijímat určité kryptoměny. Falešné tiskové zprávy, z nichž tyto příběhy vycházely, byly součástí strategie pump and dump.

#7 Phishing – nátlak k nákupu kryptoměn

Phishing je jedním z nejoblíbenějších způsobů podvodníků k získání citlivých údajů. Zprávy v e-mailech nebo na sociálních sítích jsou v tomto případě podvrženy tak, aby vypadaly jako odeslané z legitimního a důvěryhodného zdroje. V takových případech máme co dočinění s technikami tzv. sociálního inženýrství. Podvodníky poznáte dobře podle toho, že se na vás budou snažit vyvíjet nátlak a snažit se vás přimět k rychlé reakci, abyste jednali bez rozmyslu.

Jak se nestát obětí podvodníků s kryptoměnami?

Nejlepší zbraní v boji proti kryptoměnovým podvodům je nedůvěra a opatrnost. Nezapomínejte na pár základních bezpečnostních pravidel:

Anti-phishing

Zabraňuje pokusům o získání citlivých informací, jako jsou uživatelská jména a hesla či údaje o kreditních kartách a účtech. Blokuje podvodné webové stránky.

VYZKOUŠET

Jak NFT funguje?

NFT lze připodobnit k digitální verzi patentu, vodoznaku nebo ochranné známce. Je to kus digitálních dat vložený do souboru, který je jedinečný pouze pro jedno konkrétní dílo. Stejně jako ve fyzickém světě a v případě skutečného uměleckého díla nebo sběratelského kousku, i v této digitální podobě existuje pouze jeden exemplář svého druhu, který získává právě díky NFT vysokou hodnotu.

NFT je zkrátka digitální certifikát o vlastnictví uměleckého díla. Majitelé je podobně jako kryptoměny také uchovávají v kryptopeněženkách a obchod s nimi probíhá podobně jako ten s kryptoměnami v rámci databáze blockchain.

Jeden ze symbolů NFT – sběratelská kolekce Bored Ape Yacht Club neboli BAYC.

Největším rizikem pro NFT je phishing

Stejně jako kryptoměny, i NFT se aktuálně těší velké popularitě, slibuje rychlé zbohatnutí a trh s nimi je jen minimálně regulován. A to vše je živnou půdou pro různé podvody.

Jedním z nejčastějších podvodů je phishing (z anglického slova fishing, do překladu rybaření). V rámci této taktiky sociálního inženýrství se útočníci vydávají za investory, zaměstnance bank a dalších úřadů či organizací, a snaží se prostřednictvím manipulativní komunikace z oběti vylákat osobní data, nejčastěji přihlašovací údaje k jejich účtům. Využívají k tomu naše emoce. Snaží se nás vystrašit nebo podnítit naši zvědavost a přinutit k unáhlenému jednání. S phishingem se nejčastěji setkáme v e-mailu, ale není výjimkou ani na sociálních sítích, v chatovacích aplikacích nebo v podobě podvodného telefonátu, takzvaného vishingu.

NFT se navíc prodávají na digitálních obchodních platformách, které fungují podobně jako internetové obchody a mohou mít tak celou řadu bezpečnostních zranitelností. Útočníci mohou přes tyto zranitelnosti do těchto platforem nahrát dílo obsahující škodlivý kód, ukrást uživatelské účty, nebo obchodovat s NFT za nízkou cenu a dále je prodávat za účelem zisku.

Jak zvýšit zabezpečení a vyhnout se podvodům

Ať už NFT vlastníte nebo o pořízení teprve uvažujete, je dobré si připomenout několik základních bezpečnostních pravidel:

My lidé obecně tíhneme spíše k negativním emocím, které prožíváme daleko silněji a intenzivněji než ty pozitivní. Jsme také evolučně naprogramovaní neodvracet zrak od možného nebezpečí, které se k nám blíží. Snadno se tak do negativních zpráv ponoříme a projíždíme je dál. A právě tato naše aktivita dostala jméno doomscrolling, které je složením anglických slov doom (zkáza) a scroll (projíždět, rolovat).

Doomscrolling se přirozeně zvyšuje se záplavou negativních událostí ve světě. Před dvěma lety jsme tak mohli být svědky jeho nárůstu v souvislosti s pandemií koronaviru. Od začátku války na Ukrajině se pak ve vyhledávačích zvýšil počet dotazů na výrazy jako Ukrajina, třetí světová válka, Rusko, válka a invaze. Nejenže lidé tyto výrazy více používají, ale tento trend přiživují i internetová a tištěná média, která s nimi také ve velkém pracují.

My lidé obecně tíhneme spíše k negativním emocím, které prožíváme daleko silněji a intenzivněji než ty pozitivní.

Situaci zhoršují i algoritmy sociálních sítí, které vám doporučují další obsah, který by vás mohl zaujmout. Cílem těchto automatizovaných doporučení je udržet uživatele co nejdéle na dané stránce. A děsivé zprávy si pozornost uživatelů získají.

Hrozba pro naši digitální bezpečnost

Kyberzločinci umí chytře odhadnout chování lidí na internetu. Ačkoli jsou kybernetické útoky pořád vedeny prostřednictvím škodlivých kódů, útočníci stále častěji využívají také naše emoce, nejčastěji strach.

Na uživatelích, kteří sledují negativní zprávy a obsah na internetu, se mohou podvodníci přiživit tím, že jim nabídnou škodlivé odkazy na další negativní příspěvky. Škodlivý odkaz může vést k podvodným nabídkám, stažení malware nebo k falešným přihlašovacím stránkám, které se snaží ukrást přihlašovací údaje k našim účtům. Uživatel může také jedním kliknutím na škodlivý odkaz otevřít dveře útoku za použití ransomware.

Hlavními riziky se v případě doomscrollingu jasně stávají útoky za použití sociálního inženýrství. Jedná se především o phishing, kterým označujeme podvodné e-maily nebo zprávy v chatovacích aplikacích a na sociálních sítích. Výjimkou již dnes nejsou ani podvodné telefonáty označované jako vishing. Všechny tyto zprávy pak mají společné to, že se nás snaží nátlakem přimět k nějaké nepromyšlené akci, například k poskytnutí citlivých dat. Útočníci se právě proto často vydávají za zástupce bank nebo jiných úřadů a institucí.

Co s tím můžeme dělat?

Řešení jako v mnoha dalších případech začíná u nás samotných. Tady je pár tipů, které můžeme v současné situaci udělat a chránit tak nejen své citlivé údaje, ale celkově svou psychiku:

• Omezte sledování zpravodajských kanálů, které zveřejňují převážně negativní obsah, a to včetně sociálních sítí. Doporučením je vyhradit si denně na zprávy jen určitý a omezený čas.
• Zaměřte se na pozitivní interakce mimo internet. Obklopte se přáteli a kolegy, o kterých víte, že se s vámi budou bavit i o jiných tématech. Vyhledávejte pozitivní články a pořady a dělejte něco, co vás baví.
• Kdykoli se přistihnete při doomscrollingu, zkuste se zaměstnat něčím jiným. Někdy může pomoci i pouhé odložení telefonu.
• Sledujte, kolik času trávíte online v různých aplikacích. Časovače můžete najít přímo v nastavení svého chytrého telefonu.
• Pokud ve svém chatu nebo e-mailu objevíte zprávu od neznámého odesílatele, zpozorněte. Nikdy nespouštějte z takového e-mailu soubory a neklikejte na odkazy. Pokud vás sdělení vyzývá k poskytnutí citlivých a osobních údajů, odesílatele si prověřte. V případě, kdy vystupuje pod jménem banky nebo jiného poskytovatele služeb, například z oblasti energetiky nebo IT podpory, zavolejte na oficiální zákaznickou linku a ověřte pravost sdělení.
• Nepodceňujte antivirus. Bezpečnostním programem chraňte všechna svá zařízení, včetně chytrých telefonů.
• Operační systém všech svých zařízení a všechny programy pravidelně aktualizujte na nejvyšší dostupné verze.

Snadný a rychlý zisk, hlavně pro podvodníky

Podvodníci velmi rádi využívají aktuální události i módní trendy, aby oklamali své oběti. Částečně za to mohou články v médiích a příspěvky na sociálních sítích, které celkový humbuk kolem virtuálních měn podporují.

Podvodů přibývá, protože:

• Na rozdíl od tradičního akciového trhu je ten s kryptoměnami pro investory regulován jen málo nebo vůbec žádnými předpisy;
• Obrovský zájem médií dělá z kryptoměn pravidelnou návnadu pro phishing a další podvody z oblasti sociálního inženýrství;
• Prudce rostoucí ceny kryptoměn přitahují lidi, kteří sní o rychlém zbohatnutí. Potřeba rychlých reakcí pak snižuje naši opatrnost, což útočníkům částečně usnadňuje práci;
• Sociální sítě pomáhají zesílit celkovou hysterii kolem kryptoměn. Ať už jsou příspěvky a zprávy skutečné, nebo fiktivní;
• Je tu také lákadlo v podobě těžby „coinů” za peníze, které mohou podvodníci využít jako návnadu.

Pozor na sociální inženýrství

V případě kryptoměnových podvodů útočníci stále častěji využívají takzvané techniky sociálního inženýrství. Jedná se o manipulativní komunikaci v e-mailu, chatovacích aplikacích nebo na sociálních sítích. Výjimkou nejsou ovšem ani telefonní hovory, takzvaný vishing. Podvodník se nás takovou komunikací snaží vystrašit nebo nátlakem přimět k nepromyšlené akci. Útok je v tomto případě veden přes naše emoce, nejčastěji tedy strach nebo zvědavost. S tím, jak dnes kryptoměny slibují rychlý zisk a ochranu naspořených peněz před inflací, jsou přesně pro tyto podvody jak dělané.

Podvodník se nás manipulativní komunikací snaží vystrašit nebo nátlakem přimět k nepromyšlené akci.

Štěstí přeje připraveným a obezřetným

Nejlepší zbraní v boji proti podvodům je zdravá skepse a opatrnost. Bohužel žijeme v době, kdy ne vše, co se dočteme na internetu, je pravda. A poměrně hodně z toho, co čteme, nás má záměrně oklamat a poškodit.

Stejně, jako v případě jiných kybernetických hrozeb a podvodů, tak i v případě kryptoměn platí několik nestárnoucích pravidel, které vám pomohou zůstat v rozbouřených kryptoměnových vodách v bezpečí:

• Pokud objevíte ve svém e-mailu nebo ve zprávě na sociálních sítích lákavou nabídku k investici do kryptoměn, je třeba zbystřit. Vyhledejte si na internetu co nejvíce informací o odesílateli.
• Přišla vám nabídka k investicím do kryptoměn od přítele na sociálních sítích? Podvodník se mohl jeho účtu zmocnit, aby se za něj vydával. V takovém případě kontaktujte přátele po telefonu nebo přes jinou aplikaci a zprávu si s nimi ověřte.
• Pokud vám nějaké sdělení přijde příliš lákavé na to, aby to byla pravda, pravděpodobně vás intuice neklame. Můžete ho najít nejen ve svém e-mailu, ale také v různých reklamách a inzerci na internetu. I ty mohou ale být podvodné.
• U svých kryptoměnových účtů si zapněte dvoufaktorové ověření. Toto doporučení samozřejmě platí pro všechny online účty, které tuto funkci mají.
• Všechny aplikace do svého zařízení vždy stahujte z oficiálních obchodů, jako jsou App Store, Google Play nebo Microsoft Store.
• Mějte na svém zařízení nainstalovaný kvalitní bezpečnostní program.
• Operační systém zařízení a programy, včetně toho antivirového, vždy pravidelně aktualizujte.

Phishing

Phishing je typ podvodu, který kybernetičtí útočníci využívají již dlouho a stále se k němu vracejí. Jediným cílem phishingu je odcizit vaše osobní nebo přístupové údaje. Pachatelé je pak využívají k dalším nelegálním činnostem, a to buď k odcizení vaší identity nebo k prodeji na černém trhu.

Strategie podvodu je poměrně dobře známá. Podvodník vás kontaktuje prostřednictvím e-mailu, ve kterém vám sdělí, že se někdo neoprávněně snaží přihlásit do vašeho účtu. E-mail většinou obsahuje falešný odkaz pro resetování hesla. Jakmile na něj kliknete, budete přesměrováni na falešnou přihlašovací stránku k účtu na Instagramu. Útočník prostřednictvím falešné stránky získá přihlašovací údaje a přístup k vašemu účtu.

V jiném případě mohou pachatelé v e-mailu tvrdit, že uživatel porušil autorská práva a je nutné se přihlásit prostřednictvím odkazu v e-mailu. Pokud to ale uživatel udělá, bude opět přesměrován na falešnou přihlašovací stránku. Někdy se podvodníci zkoušejí vydávat za podporu Instagramu a kontaktovat uživatele přímo přes zprávy v aplikaci.

Útočník vás kontaktuje prostřednictvím e-mailu, ve kterém vám sdělí, že se někdo neoprávněně snaží přihlásit do vašeho účtu.

Podvod může uživateli prozradit například špatná gramatika nebo použití vygenerovaných pozdravů namísto osobních. Uživatel si také může vyhledat e-mailovou adresu odesílatele. Pokud není propojena s oficiální e-mailovou adresou služby, jde s největší pravděpodobností o podvod.

Klony profilů

Při prohlížení profilů celebrit, influencerů nebo oblíbených sportovních týmů můžete narazit na zdvojené účty. Naklonované profily nepředstavují riziko jen v případě populárních herců, zpěváků nebo sportovců.Kybernetičtí zločinci klonují také účty běžných uživatelů Instagramu. Cílem je napodobit jejich chování a získat vliv na jejich přátele a sledující.

Podvod je jednoduchý. Útočník, který se vydává za uživatele, bude tvrdit, že jeho účet byl napaden, musel si založit nový, a navíc přišel o všechny peníze na svém účtu. Jinou taktikou může být smyšlený příběh o tom, že se uživatel dostal do finančních potíží. S pomocí sociálního inženýrství a trochou štěstí se pachateli podaří přesvědčit přátele a příbuzné oběti a vylákat od nich finanční pomoc.

Nejrychlejší cestou, jak prověřit, zda jste nebyli kontaktováni naklonovaným účtem, je spojit se se svým přítelem alternativní cestou, například mu zatelefonovat. Svůj účet udržíte v bezpečí, pokud ho budete mít v soukromém módu a budete si vybírat, komu povolíte sledování.

Podvod se štítkem ověření

Pokud u účtu na Instagramu uvidíte modrý štítek se zatržítkem, znamená to, že se jedná o oficiální ověřený profil. Instagram tímto způsobem rozlišuje významné a autentické účty od těch ostatních a fanoušci tak poznají, jaké účty mají sledovat. Ověření otevírá také dveře k dalším možnostem, jako je sponzorství či spolupráce s dalšími značkami.

Podvod je v tomto případě poměrně přímočarý. Útočník vás kontaktuje, pravděpodobně prostřednictvím přímé zprávy u vašeho profilu, a nabídne vám získání ověření za poplatek. Nejjednodušší cestou, jak se tomuto podvodu vyhnout, je pamatovat si, že k ověření se můžete dostat jen přes oficiální proces na Instagramu.

Milostné podvody

Ačkoli většina lidí má tyto podvody spojené s aplikacemi na seznamovaní, vyskytují se i na sociálních sítích jako je Instagram. Podvodník v tomto případě potřebuje hodně času, aby si získal důvěru oběti. To obvykle zahrnuje dlouhé dvoření v podobě reakcí na příspěvky, komentářů a zasílání zpráv oběti. Jakmile si je svou hrou jistý, začne prosit o peníze. Žádost často zdůvodní zdravotními potížemi nebo zaplacením letenky, aby se se svou obětí mohl setkat.

Podvodník v tomto případě potřebuje hodně času, aby získal důvěru oběti.

Falešného milence lze odhalit několika způsoby. Prostřednictvím vyhledávání na internetu můžete udělat rychlý průzkum a podle fotek určit, zda je nápadník opravdu tím, za koho se vydává. Pokud se nechce osobně setkat a neustále hledá důvody, jak se schůzce vyhnout, měli byste zpozornět a na jeho opravdové záměry se zeptat. Stejně tak může odmítat videohovory, aby nebylo vidět, jak doopravdy vypadá.

Podezřelí prodejci

Instagram umožnuje značkám propagovat jejich produkty prostřednictvím služby Marketplace. Stále častěji se tak můžete setkávat s vyskakujícími nabídkami nového zboží nebo výprodeje.

V případě některých reklam se může opět jednat o podvod. Zde by měla fungovat vaše přirozená zvědavost a bdělost. Pokud jste o značce či prodejci nikdy neslyšeli, neznamená to okamžitě, že se jedná o podvod, ale měli byste zpozornět. Reklama vám má prodat vysoce kvalitní zboží za nízkou cenu. V případě, že se jedná o podvod, vám zboží vůbec nedorazí, bude velmi nekvalitní nebo obdržíte úplně něco jiného, než jste si objednali.

V tomto případě je moudré opět využít vyhledávání a kouknout se na recenze o výrobci i výrobku. Pokud se ostatní uživatelé setkali s podvodem, své negativní zkušenosti budou sdílet prostřednictvím recenzí na různých fórech. Buďte ostražití ale také před falešnými recenzemi. Obsahují například gramatické chyby a překlepy, snaží se usilovně vyvrátit negativní komentáře a výrobce nebo výrobek popisují v tom nejlepším světle.

Bezpečí je v rukou uživatele

Odhalit podvody, které mohou uživatele připravit o citlivá data a finance, je pro správce sítí poměrně složité. Pokud ale uživatel zůstane ostražitý a informovaný, může podvod rozeznat už z dálky. Zacházejte opatrně s nevyžádanými e-maily. Pokud se vám cokoli nezdá, vyhledejte si více informací. A pokud něco vypadá až příliš dobře, tak se s největší pravděpodobností jedná o podvod.

Kampaň vsadila na následující:

• Využila jméno reálné a globálně známé osoby
• Vánoční načasování
• Zájem o ochranu životní prostředí
• Časopis Time vyhlásil Gretu Thunberg osobností roku

Načasování kampaně na Vánoce je strategické, protože o Vánocích lidé dostávají řadu výzev od občanských hnutí a charitativních organizací. Zpráva mezi ostatními nevypadala podezřele. Lidé o Vánocích více bilancují a zapojují se i do aktivit, které pro ně jindy nejsou tak významné.

Here’s a screenshot of the Greta Thunberg themed #emotet email: pic.twitter.com/wHcQL5nf2z

— ExecuteMalware (@executemalware) 19. prosince 2019

Zajímavé na celé kampani využití reálií. Jednak byla Thunberg vyhlášena osobností roku časopisu Time a také měla v lednu 2020 odjet na Světové ekonomické fórum. Útočníci tak předpokládali, že její jméno bude v médiích rezonovat i po novém roce.

Všimněte si také výzvy na konci e-mailu „Přepošlete e-mail, než zapomenete“. Výzva je to logická, to jen dokazuje, jak dobře útočníci rozumí psychologii uživatelů.

Jak Emotet zneužívá klimatické otázky?

E-mailem přišlo obyčejné vánoční přání s výzvou k zapojení se do ekologických aktivit. Detailní informace o čase a místě demonstrace měly být v příloze e-mailu s názvem „Podpořte Gretu Thunberg.doc.“

Po otevření dokumentu, se objevila výzva k povolení úprav. Řada uživatelů podobné výzvy potvrdí automaticky. Tím se ale Emotet instaluje. Následně může malware zneužít počítač a odesílat další spam, případně stahovat do počítače další malware.

Spam cílil na e-mailové adresy s doménou .com. Nejvýraznější byla kampaň například v Japonsku, Německu a Itálii. Níže můžete vidět několik dalších jazykových mutací:

Jak se chránit?

Nespoléhejte na jazyk. Útočníci jsou vám dnes schopni poslat e-mail v češtině, který bude mít i hezké grafické zpracování. Jakmile dostanete jakoukoli nevyžádanou zprávu, postupujte obezřetně. Dobře zvažte, zda je nabídka a výzva legitimní a zda dává smysl. Legitimitu si případně ověřte na oficiálních stránkách odesílatele nebo telefonicky.

Podobně skryté hrozby dokáže identifikovat instalovaný spolehlivý bezpečnostní software.

Podezřelé přílohy nestahujte, a pokud ano, ověřte si je na VirusTotal.com před tím, než je otevřete.

View this post on Instagram

Minulý týden jsme zorganizovali školení pro nadační fond @nf_veronikykasakove. V rámci projektu RESTART průvodci dále školí mladistvé, kteří odcházejí z dětských domovů. Cílem je předat co nejvíce informací z běžného života, a to i, jak se chovat na internetu. #eset #skoleni #nadacnifond #nadacnifondveronikykasakove

A post shared by ESET Česká republika (@esetcz) on Feb 26, 2019 at 5:18am PST

Nadace zaštiťuje mentory, kteří pomáhají mladým lidem s přechodem do dospělosti. Cílem je nabídnout jim zázemí a podporu, kterou jiné děti zažívají od vlastní rodiny. Mluvilo se především o rizicích sociálního inženýrství a tipech, jak se bránit.

Co to je sociální inženýrství?

Označujeme tak postup, kdy se útočník snaží zmanipulovat jednání uživatele, nejčastěji tím, že se vydává za někoho jiného. Může se tvářit jako přítel na Facebooku, firma, které dlužíte, nebo i vy samotní. Zpravidla se snaží získat od vás peníze nebo osobní údaje, se kterými se dá obchodovat.

Sociální inženýrství patří mezi nejrizikovější útoky. Útočník se pokusí získat vaši důvěry a přimět vás k nějaké akci. Neexistuje žádný software, který by vám zakázal na něco kliknout nebo například zaplatit výkupné.

Přesto byste měli mít aktualizovaný bezpečnostní software. Oceníte jej v případě, že se vás útočník pokusí přivést na nebezpečné stránky nebo nakazit malwarem. Tyto hrozby už dokáže bezpečnostní software zastavit.

Hackeři často pracují se strachem

Útočníci jsou úspěšní, protože pracují s našimi emocemi. Nejčastěji to je strach a zvědavost. Útočí zpravidla prostřednictvím e-mailu a využívají toho, že uživatelé jsou nepozorní nebo zrovna ve stresu (případně se snaží vás vystresovat).

Takový e-mail od útočníka obsahuje odkaz nebo přílohu, která může být tzv. infikovaná a obsahovat například trojského koně nebo ransomware. Časté jsou také phisingové útoky. V takovém případě se útočník pokouší se od vás získat citlivé informace, například přihlašovací údaje.

Dávno neplatí, že e-mail od útočníků, kteří používají techniky sociálního inženýrství, bude psaný lámanou češtinou. Naopak přijde s logem společnosti, formálním podpisem a dnes již bude i gramaticky správně.

Časté scénáře sociálního inženýrství a jak se bránit

Mám přístup do vašeho e-mailu, zaplaťte

V jednom z nejčastějších scénářů útočník tvrdí, že má přístup k vašemu e-mailovému účtu. Aby své tvrzení dokázal, pošle vám e-mail zdánlivě právě z vaší e-mailové adresy. V textu e-mailu vám pak vyhrožuje, že pokud nezaplatíte jistou sumu v bitcoinech, přístup zneužije a zdiskredituje vás.

Útočník může použít i další argumenty, které budou laikům znít přesvědčivě. Může například zmínit, jak získal přístup do vašeho e-mailu, tvrdit, že natočil vaše kompromitující video, nebo dokonce, že má kontrolu nad celým vaším počítačem.

Zpravidla se jedná o podvod. Na internetu existují služby, které umožní dočasně vytvořit jakoukoli e-mailovou adresu, aniž by útočník do skutečné schránky přístup měl. Skutečného odesílatele, respektive jeho server, si můžete ověřit v hlavičce e-mailu. Podobné zprávy doporučujeme ignorovat.

Poslední výzva před předáním pohledávky exekutorům

Často píše hacker jménem reálné firmy, jejíž jméno tím zneužívá. Tvrdí, že jste nezaplatili fakturu v příloze. V e-mailu se dále píše, že toto je poslední výzva k zaplacení a pak předá vše k exekuci. Apeluje na váš strach. V e-mailu bývá zazipovaná příloha pojmenovaná například jako „faktura_154978.zip“. Pakliže se skutečně jedná o podvod a vy soubor otevřete, stáhnete si do počítače trojského koně nebo ransomware.

Měníme systémy, přihlaste se

Často se setkáváme s e-mailovými výzvami, které vyzývají uživatele, aby se přihlásili do internet bankingu, kvůli nějaké aktualizaci v systémech. V tomto případě jde o phisingový útok. Útočník se vydává za někoho z klientského centra nebo managementu banky. Tvrdí, že mění internetové bankovnictví, a vy se musíte přihlásit, aby vám v budoucnu aplikace fungovala. E-mail bude důvěryhodný s podpisem reálného zaměstnance banky, logem a velmi dobrou češtinou. Odkaz z e-mailu vede ovšem na podvrženou stránku, která je k nerozeznání podobná pravé stránce (třeba jako na obrázku níže).

Podle posledních výzkumů společnosti ESET roste počet škodlivých e-mailů obsahujících virovou přílohu, což je jedna z častých technik sociálního inženýrství, kterému se na konferenci bude věnovat Petr Šnajdr, bezpečnostní expert společnosti ESET.

Petr Šnajdr je absolventem Univerzity Jana Evangelisty Purkyně v Ústí nad Labem. Problematice počítačové bezpečnosti se věnuje od roku 2005, kdy začal pracovat na pozici IT Security Specialist. Ve společnosti ESET je z pozice bezpečnostního experta odpovědný za externí odbornou komunikaci.

Konference ESET Security Days úspěšně proběhla již ve více než 30 zemích světa, nyní poprvé zavítá do České republiky. Jejím cílem je informovat o aktuálních trendech z oblasti kybernetické bezpečnosti, mezi které patří témata z oblasti sociálního inženýrství, dvoufaktorové autentizace, šifrování dat a další.