Spyware je spolu s infostealery škodlivým kódem, který je určený ke krádeži citlivých informací – například přihlašovacích údajů do různých účtů. Šíří se nejčastěji prostřednictvím e-mailových příloh, které útočníci maskují za různé dokumenty.

Co na vývoj kyberhrozeb v Česku říkají bezpečnostní experti?

„Spyware Agent Tesla sice zůstává hrozbou číslo jedna pro české uživatele a uživatelky, masivní útočnou kampaň ze začátku léta v červenci ale nezopakoval. Můžeme říct, že červenec byl z tohoto pohledu klidným měsícem. Mezi detekovanými e-mailovými přílohami se sice objevila příloha s českým názvem objednávka, obecně ale vidíme, že útoky byly v červenci opět zacíleny spíše globálně na různé státy. S cíleným útokem na Česko se však ještě setkat můžeme. Je běžné, že útočníci se po výraznější aktivitě na čas opět stáhnou, aby předešlý útok vyhodnotili a investovali do přípravy dalších strategií a metod,“ říká Martin Jirkal z pražského ESETu.

Nejčastější e-mailové přílohy v červenci 2024:

Škodlivý kód sleduje aktuální trendy

Útočníci stejně jako odborníci na marketing připravují své útoky na míru konkrétním cílovým skupinám. Podle poslední zprávy ESET Threat Report H1 2024 se již od konce loňského roku začaly objevovat případy, kdy útočníci maskovali infostealery za nástroje generativní umělé inteligence – například za služby Midjourney, Sora nebo Gemini. K jejich šíření využívali také podvodná sdělení na sociálních sítích.

I když vývoj nástrojů generativní umělé inteligence doprovází i ochranná opatření, která mají zabránit jejich zneužití, útočníci známá jména přesto využili k šíření malwaru. Můžeme bohužel očekávat, že tento trend bude i nadále pokračovat.

Hrozbu zachytí kontrola souborů a stahovaných aplikací

Kromě vlastní obezřetnosti při stahování aplikací do zařízení bychom podle bezpečnostních specialistů měli dbát na opatrnost i při práci s e-mailem a dalšími komunikačními aplikacemi. E-mail je i přes rostoucí popularitu chatovacích aplikací stále rozšířeným způsobem komunikace, a to především ve firmách a dalších institucích.

Útočníci vydávají nebezpečné přílohy velmi často za faktury a doklady objednávek. Zmást tak mohou zaměstnance, kteří denně pracují s větším objemem e-mailové komunikace. Dlouhé názvy příloh jsou často zvolené záměrně, protože se v názvu schová přípona .exe označující spustitelný soubor, která není tak běžná a může nás upozornit na to, že něco není v pořádku. Příloha se pak nejčastěji tváří jako dokument v programu MS Word, ve formátu PDF nebo například jako obrázek.

Účinnou ochranou před spywarem je také moderní bezpečnostní program. Dokáže rozpoznat škodlivý e-mail a přesune ho do bezpečné složky, kterou za účelem naší ochrany vytvoří. V předmětu e-mailu pak můžeme vidět, že se jedná o detekovanou hrozbu a můžeme si e-mail ve vytvořené složce v případě zájmu prohlédnout a následně smazat.

ESET HOME Security

Chrání před malwarem, keyloggery a dalšími typy digitálních hrozeb.

VYZKOUŠET

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červenec 2024:

1. MSIL/Spy.AgentTesla trojan (12,03 %)
2. Win32/Formbook trojan (10,74 %)
3. MSIL/Spy.Agent.AES trojan (8,52 %)
4. Win64/Agent.ECK trojan (3,05 %)
5. Win32/Rescoms trojan (2,31 %)
6. MSIL/AsyncRAT trojan (1,97 %)
7. Win32/Neshta virus (1,91 %)
8. Win32/PSW.Fareit trojan (1,84 %)
9. VBS/Agent.QMG trojan (1,75 %)
10. VBS/Agent.SDH trojan (1,32 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Bohužel stejně jako celý internet se tyto platformy staly semeništěm podvodníků a dezinformátorů. Enormní množství globálních uživatelů, dynamická povaha vytvářeného obsahu a přizpůsobivost podvodníků způsobuje, že pro poskytovatele je náročné tyto platformy kontrolovat. To znamená, že musíme vzít věci tak trochu do vlastních rukou.

Sociální média jsou pro podvodníky rájem

Mezi největší hrozby, na které je třeba dávat na sítích pozor, patří přátelé a sledující, kteří se za ně jen vydávají. Podvodníci takové profily, které jsou často registrované a spravované automatizovanými boty, využívají k šíření spamu – příliš dobrých nabídek, chytlavých příběhů lákajících ke kliknutí, milostných podvodů a další manipulativní komunikace. Může se jednat o různé nabídky pochybných služeb a zboží nebo dokonce o falešné investiční příležitosti.

Podvodníci chtějí vaše peníze nebo vaše údaje. Budou vás lákat ke kliknutí na škodlivý odkaz. Tak si do zařízení můžete stáhnout malware, nebo jim dobrovolně předat své osobní údaje.

10 tipů, jak falešné přátele na sítích odhalit

Provozovatelé sociálních médií se v odstraňování falešných profilů a účtů zlepšují. Ale ani zdaleka se jim to nedaří stoprocentně. Všichni tak musíme být podezíravější k tomu, co na sítích vidíme. Zde je několik osvědčených způsobů, jak podvodníky odhalit:

1. Neobvyklé „bio“

Falešné účty mohou mít informace obsažené v tzv. biu (úvodní popisu na profilu) zkopírované a aktualizované z jiných profilů. To pak vede k tomu, že informace spolu tvoří nesourodou směsici vět. Pozor bychom si měli dávat na překlepy, nadměrné množství emotikonů nebo na strojově strnulý jazyk, který může prozradit, že za profilem stojí bot.

2. Catfishing

Podvodníci mohou využívat falešné profily na sociálních sítích a na seznamkách k tomu, aby s obětí navázali romantický a důvěrný online vztah. Po nějaké době navazování vztahu a důvěry ji ale požádají o zaslání peněz. K odhalení podvodníka tohoto typu může pomoct zpětné vyhledání profilové fotky na internetu – snadno tak odhalíte, zda se jedná o skutečnou osobu, nebo podvodník obrázek zkrátka z webu ukradl a stáhl.

3. Nesoulad mezi počtem sledujících a sledovaných

Tento problém se objevuje zejména na Instagramu. Falešné účty automaticky sledují stovky nebo tisíce profilů, ale jen málo z nich sleduje takový účet zpět.

4. Účty s profilovými fotkami vašich přátel

Někdy se podvodníci pokusí naklonovat účet někoho z vašich přátel. Poté vám mohou poslat naléhavou zprávu, v níž předstírají, že jsou v nesnázích, a žádají o peníze. Je to jednodušší, než se zdá, a stále to oklame spoustu uživatelů a uživatelek na sociálních sítí. Vždy se proto vyplatí u každého podobného požadavku od vašich přátel překontrolovat, zda vám skutečně píše ten správný člověk. Se svými přáteli si můžete takové zprávy ověřit prostřednictvím jiného komunikačního kanálu. Případně důkladně prověřte účet, ze kterého vám zpráva přišla. Nenajdete v tomto případě náhodou některý ze zde uvedených varovných znaků podvodu?

5. Spam v direct messages

Podvodník se může pokusit zaslat vám přímou zprávu s falešnou nabídkou a vyzvat vás, abyste také poslali přímou zprávu někomu dalšímu nebo navštívili nějakou webovou stránku a zjistili více informací. Takové účty jsou opět falešné a slouží k prodeji všeho možného, od podvodů s investicemi do kryptoměn až po podvody s různým zbožím.

6. Žádný oficiální štítek ověření

Sociální sítě Instagram, Facebook nebo X (Twitter) využívají štítky a značky ověření, které označují oficiální účty firem, celebrit a dalších osob. Pokud uvidíte účet, který se vydává za nějakou významnou organizaci nebo jednotlivce, ale není u něj žádné takové označení, pravděpodobně je účet podvodný.

7. Nepravidelné zveřejňování příspěvků

Falešné účty často zveřejní hodně obsahu najednou, klidně s podobným nebo stejným textem, a pak se odmlčí. Nebo dokonce obsah na sítích vůbec nezveřejňují. U podezřelého profilu proto zkontrolujte množství a kvalitu příspěvků, i jak často jsou pod účtem zveřejňovány.

8. Dárky zdarma

Dejte si pozor na účty, které vám nabízejí dárky nebo peníze. Podmínkou k jejich získání může být například vyplnění dotazníku. Útočníci se mohou v tomto případě vydávat za známou značku. Chtějí ale pouze vaše osobní údaje. Pamatujte – když něco vypadá až příliš lákavě, většinou to mívá háček.

9. Neuvěřitelná sleva na zboží

Falešné účty mohou také propagovat luxusní zboží, a to s výraznou slevou oproti jejich standardní ceně. I zde platí, že pokud je něco příliš dobré na to, aby to byla pravda, tak svému podezření můžete věřit.

10. Náhodné komentáře

Pokud nějaký účet zanechává u vašich příspěvků komentáře, které s daným příspěvkem nesouvisí, jedná se s velkou pravděpodobností o falešný účet.

Jak nahlásit falešné účty

Dobrou zprávou je, že mnoho provozovatelů sociálních médií jako Instagram a LinkedIn neustále hledá způsoby, jak zlepšit ověřování účtů a odstranit neautentické uživatele a boty ze svých platforem. Jedním z nejlepších nástrojů, jak odhalit falešné účty, jsou však stále jejich ostražití uživatelé. Pokud narazíte na falešný profil na jedné ze čtyř hlavních sociálních sítí, zde je návod, jak ho nahlásit:

Facebook

Pokud se někdo vydává za vás, navštivte tuto stránku. Pokud si všimnete jiného falešného účtu, klikněte na tlačítko se třemi tečkami v záhlaví profilu a poté zvolte „Nahlásit“.

X (dříve Twitter)

Nahlásit falešný účet můžete zde. Nebo klikněte na tři tečky vedle jména účtu a poté postupujte podle pokynů.

Instagram

Klikněte na tři tečky vedle jména účtu a poté na „Nahlásit“. Nebo klikněte zde a nahlaste účet, který se vydává za vás, vaši firmu nebo za dítě.

LinkedIn

Klikněte na tři tečky u jména účtu a poté vyberte „Nahlásit zneužití“.

Nejlepší obranou proti podvodníkům, kteří se vydávají za přátele a sledující, je mít soukromý profil a důkladně prověřit každého, kdo nás chce sledovat. Pokud z různých důvodu potřebujete mít své účty veřejné, mějte na paměti alespoň výše uvedené znaky, které mohou na sítích podvodníky prozradit.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book

Za poslední rok se jednalo bezesporu o největší útok spywaru Agent Tesla. Oproti silnému útoku z října loňského roku byla výše červnových detekcí téměř trojnásobná. Analýza škodlivé e-mailové zprávy ukázala, že útočníci přeložili do češtiny také kontaktní údaje domnělé společnosti, která obětem zasílala falešnou přílohu s názvem objednávka. Telefonní číslo mělo předvolbu +420 a doména webových stránek firmy pak příponu .cz. Reálně kontaktní údaje neexistovaly. Útočníci využívají pravděpodobně jeden společný vzor útočné zprávy, kterou pak automaticky překládají do dalších jazyků.

Nebezpečná e-mailová příloha, která obsahovala spyware Agent Tesla, měla v červnu název „Objednávka IMG_PO #00702441355 – č. 2400228341_pdf.exe“. Útočníci vydávali e-mail za zprávu od německé firmy IWK Verpackungstechnik S.r.o, která měla zájem o nákup zboží. Podle bezpečnostních specialistů tak e-mail cílil především na zaměstnance českých firem.

Spyware je dlouhodobě jednou z největších kyber hrozeb v Česku. Jeho prostřednictvím se útočníci zaměřují na odcizení přihlašovacích údajů, především uživatelských hesel.

Nejčastější e-mailové přílohy v červnu 2024

Vypadá jako PDF dokument, je to ale spustitelný soubor

Mezi dalšími předními škodlivými kódy se i v červnu umístil dobře známý spyware Formbook a škodlivý kód Agent.BTQ. Na předních místech statistiky se objevil letos poprvé. Útočníci ho stejně jako spyware Agent Tesla zacílili přímo na Českou republiku, a to v příloze s názvem „Vyuctovani_2024_07-1206812497˙pdf.exe“. Spyware Formbook se v červnu objevil jen v celosvětových kampaních v příloze „RFQ#10112023Q4.exe“.

Agent.BTQ je pokročilejší škodlivý kód, který může do počítače stahovat další malware. To, že se dva měsíce po sobě objevily v Česku jiné kódy, než je dlouhodobě detekovaný spyware, svědčí o tom, že útočníci pravděpodobně nakupují pokročilejší škodlivé kódy od jiných útočníků.

Malware se v případě operačního systému Windows nejčastěji šíří prostřednictvím škodlivých e-mailových příloh. Útočníci je vydávají za různé faktury nebo objednávky a mohou tak zmást především zaměstnance firem, kteří denně pracují s větším objemem e-mailové komunikace. Přípona .exe pak poukazuje na nějaký spustitelný soubor, nikoli na klasické dokumenty. Uživatelé nemusí takový soubor na první pohled rozeznat. Dokumenty v přílohách mohou mít dvě koncovky, přičemž tu druhou z nich, příponu .exe, uživatelé nemusí vždy vidět. Příloha se naopak může jevit jako dokument v programu MS Word, ve formátu PDF nebo jako obrázek.

Cílem může být každý

Účinnou obranou před spywarem je vždy bezpečnostní software. I sebe opatrnější uživatelé a uživatelky díky němu mají jistotu, že i když nechtěně otevřou přílohu se škodlivým kódem, zůstanou jejich data v bezpečí. Spyware se dlouhodobě zaměřuje na krádeže osobních údajů, včetně těch přihlašovacích. V nebezpečí jsou především naše hesla, uložená v internetových prohlížečích, které nejsou přes spywarem a infostealery dostatečně zabezpečené.

Co na to říkají bezpečnostní experti?

„Řada lidí si velmi často myslí, že na ně kyberútočník pravděpodobně nezacílí. Mohou si říkat, že útočníci se zaměřují především na cíle, od kterých mohou odcizit velké množství peněz. Je důležité si ale uvědomit, že penězi dnes můžeme vyvažovat i naše data. Útočník si nehledá konkrétní oběti, ale pomocí automatizovaných procesů dnes dokáže zacílit na velké množství náhodně vybraných lidí. Získané údaje může využít k přípravě dalších útoků, nebo je prodat na černém trhu,“ říká Martin Jirkal z ESETu.

Moderní bezpečnostní řešení vyhledává škodlivé soubory, chrání uživatele a uživatelky proti škodlivým stránkám a chrání jejich online bankovnictví. Bezpečnostní software se zaměřuje také přímo na koncovky příloh v e-mailech. Mimo řadu funkcionalit obsahují bezpečnostní řešení také další praktické nástroje pro každodenní digitální život – například správce hesel pro správné a bezpečné nakládání s našimi hesly nebo virtuální privátní síť, VPN, pro bezpečné a soukromé prohlížení internetu.

ESET HOME Security

Blokuje útoky, které se pokoušejí uhodnout heslo a získat přístup k vašim účtům.

VYZKOUŠET

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za červen 2024:

1. MSIL/Spy.AgentTesla trojan (29,15 %)
2. PowerShell/Agent.BTQ trojan (8,84 %)
3. Win32/Formbook trojan (4,39 %)
4. Win32/Rescoms trojan (3,76 %)
5. VBS/Agent.QMG trojan (3,21 %)
6. VBS/Agent.SCA trojan (2,91 %)
7. VBS/Agent.SCB trojan (2,79 %)
8. MSIL/Spy.Agent.AES trojan (2,28 %)
9. VBS/Agent.SAI trojan (1,79 %)
10. Win32/PSW.Fareit trojan (1,39 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Bezpečnostní experti budou nyní sledovat, zda se v útocích neobjeví časem nová, vylepšená verze tohoto malwaru. Poměrně vysoký podíl zachycených květnových detekcí nás však může již nyní upozornit na to, jak je důležité nepodcenit zabezpečení našich počítačů.

Kybernetické hrozby pro operační systém Windows se nejen v Česku dlouhodobě šíří prostřednictvím nebezpečných e-mailových příloh. Čeští uživatelé a uživatelky se mohou často setkat s globálními útočnými kampaněmi v angličtině. Ojedinělé ale nejsou ani cílené útoky, kdy mohou být znění e-mailu a názvy příloh přeložené do češtiny. Pokud uživatelé přílohu stáhnou a otevřou, vpustí malware do svého počítače.

Pozor na objednávky

Také spyware Agent Tesla, který je v Česku s přehledem největším rizikem pro operační systém Windows, se objevil především na začátku května. Spyware je typem škodlivého kódu, který má za úkol krást naše údaje. Útočníci ho využívají často ke krádežím uživatelských hesel, která jim mohou dále posloužit v přípravě útoků, jako jsou například automatizované útoky hrubou silou (tzv. brute-force attacks). Odcizené přihlašovací údaje mají také velkou cenu na černém trhu.

Počet detekcí spywaru Agent Tesla však v květnové statistice oproti dubnu znatelně poklesl. Na druhou stranu ho útočníci po několika měsících opět zacílili přímo na Českou republiku, a to v příloze s názvem objednávka. Tento případ tak potvrzuje, že útoky šité na míru českým uživatelům a uživatelkám nejsou minulostí, a i po několikaměsíční přestávce se k nim útočníci zase vrací.

Nebezpečné e-mailové přílohy za květen 2024

Útočníkům pomáhají naše zlozvyky ve správě hesel

Heslo nadále zůstává jednou z hlavních garancí naší bezpečnosti na internetu. Jak ale ukázal nedávný průzkum, ne vždy s nimi správně nakládáme. Čtvrtina z nás totiž stále tvoří hesla na základě osobních informací, jako je například jméno domácího mazlíčka, datum narození anebo adresa (26 %). Také 12 % z nás se spoléhá na jednoduchá slovní spojení, jako je např. „heslo123“. To je ale podle bezpečnostních specialistů velmi nebezpečné. Řadu našich osobních informací mohou útočníci najít veřejně na různých sociálních sítích a příliš jednoduchá hesla pak mohou snadno prolomit právě automatizované útoky.

Více než polovina dotázaných také uvedla, že si hesla pamatuje z hlavy. Taková hesla ale zpravidla nebývají dost složitá a bezpečná. Navíc ve snaze zapamatovat si co nejvíce svých hesel můžeme využívat jedny přihlašovací údaje do více různých služeb. Právě ale tohle se nám ve většině případů stane osudným.

Velmi často stojí recyklování hesel například za ztrátami přístupů do našich účtů na sociálních sítích. Útočníci nejenže prolomí heslo do tohoto účtu, ale pokud nám stejné heslo chrání například i e‑mailovou schránku, útočníci mohou snadno prolomit přístup i sem a manipulovat s našimi zprávami. Je proto nezbytné, aby pro každý účet existovalo pouze jedno unikátní a dostatečně složité heslo, nejlépe doplněné ještě dalším faktorem ověření naší totožnosti – kódem v SMS nebo ve spárované ověřovací aplikaci.

Se správou našich hesel nám může pomoci také specializovaný program, který hesla uchovává v zašifrované podobě a automaticky je dosazuje při přihlašování do našich online účtů. Správci hesel, jak se tyto programy nazývají, bývají dnes již součástí komplexních bezpečnostních řešení. Ty také mohou uživatelům nabídnout kvalitní antispamovou ochranu jejich elektronické pošty.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za květen 2024:

1. VBS/Agent.RWL trojan (31,66 %)
2. MSIL/Spy.AgentTesla trojan (13,48 %)
3. Win32/Formbook trojan (2,88 %)
4. Win32/Rescoms trojan (2,81 %)
5. VBS/Agent.QMG trojan (2,29 %)
6. VBS/Agent.RYB trojan (1,85 %)
7. BAT/Agent.QHE trojan (1,18 %)
8. Win32/PSW.Fareit trojan (1,14 %)
9. MSIL/Spy.Agent.AES trojan (1,03 %)
10. BAT/Agent.QEQ trojan (0,96 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

ESET HOME Security

Blokuje útoky, které se pokoušejí uhodnout heslo a získat přístup k vašim účtům.

VYZKOUŠET

Škodlivé kódy se v případě operačního systému Windows v Česku šíří dlouhodobě prostřednictvím spamových kampaní, které obsahují nebezpečné e-mailové přílohy s různými názvy. Pokud uživatelé přílohu stáhnou a otevřou, vpustí škodlivý kód do svého počítače.

Čeština se tentokrát neobjevila

Společným znakem všech nejčastějších škodlivých kódů dubnové statistiky byly tentokrát přílohy bez českých překladů.

Nebezpečné e-mailové přílohy za duben 2024

Ačkoli se v případě malwaru Agent.QMG dostal do Česka e-mail se slovenským překladem, českou verzi bezpečnostní specialisté ani v případě tohoto škodlivého kódu nezachytili.

Kromě spywaru využívají útočníci k odcizení našich dat i další malware, jako je právě zmíněný Agent.QMG. Tento škodlivý kód je již poměrně pokročilý a nebezpečný. Je také přizpůsobený k tomu, aby ho nebylo snadné analyzovat. Stahuje do napadeného zařízení spyware a další typy škodlivých kódů. Útočníci jím tak ostatní útoky podporují a usnadňují spywaru přístup do našich zařízení.

Kombinujte opatrnost s bezpečnostním softwarem

Podle expertů je pro bezpečnost naší elektronické pošty důležité využívat kvalitní bezpečnostní software a zároveň se řídit osvědčenými bezpečnostními zásadami. Mezi ně patří například opatrnost při otevírání spamových e-mailů od neznámých uživatelů a správná tvorba a správa našich přihlašovacích údajů. Jak ukázal poslední průzkum společnosti ESET, v Česku máme stále sklony vytvářet hesla z osobních údajů. Kvůli tomu jsou ale zbytečně zranitelná vůči útokům.

Co nám v obraně před spywarem radí kyberbezpečnostní experti?

„Měli bychom mít vždy na paměti, že před pokročilými hrozbami, mezi které se spyware již směle řadí, nás vždy nejspolehlivěji ochrání pouze bezpečnostní program, který ho dokáže včas identifikovat a zastavit. V souvislosti se spamem však musíme nejen v Česku čelit čím dál více i manipulativní komunikaci využívající techniky sociálního inženýrství, které zase včas dokážeme odhalit spíše díky naší obezřetnosti a skepsi k dnešní online komunikaci. Vždy tak uživatelům a uživatelkám připomínáme, že naprostým základem je neotevírat a neklikat na přílohy a odkazy ve zprávách od neznámého odesílatele a důkladně si prověřovat znění i podobu každého e-mailu, zprávy v chatu nebo v SMS, která nám přijde bez předchozího vyžádání a neočekávaně,“ říká Martin Jirkal z ESETu.

Nebezpečné e-mailové přílohy nejsou v českém prostředí novou strategií a můžeme se před nimi chránit například dobře nastavenou antispamovou ochranou. Se správou našich přihlašovacích údajů nám pak může pomoci například správce hesel, program, který hesla uchovává v zašifrované podobě a automaticky je dosazuje při přihlašování do našich účtů. Obě funkce jsou dnes již součástí kvalitních a komplexních bezpečnostních řešení.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za duben 2024:

1. MSIL/Spy.AgentTesla trojan (21,92 %)
2. VBS/Agent.QMG trojan (9,67 %)
3. Win32/Formbook trojan (3,35 %)
4. VBS/Agent.RVV trojan (2,87 %)
5. Win32/PSW.Fareit trojan (2,74 %)
6. Win32/Rescoms trojan (2,18 %)
7. VBS/Agent.RWF trojan (1,91 %)
8. MSIL/Spy.Agent.AES trojan (1,72 %)
9. VBS/Agent.RVM trojan (1,48 %)
10. Java/Adwind trojan (0,95 %)

Uživatelé řešení od ESET jsou před těmito hrozbami chráněni.

Podle posledního průzkumu od ESETu považujeme za bezpečné heslo takové, které je dostatečně dlouhé, složité a jedinečné pro každou z využívaných služeb. Více než polovina z nás se však spoléhá na to, že si taková hesla bude pamatovat z hlavy. Jak má ale bezpečné heslo vypadat a čemu bychom se radši při jejich tvorbě a uchovávání měli vyhnout? Na to se podíváme v dnešním článku.

Jméno králíka, narozeniny ani adresa do hesla nepatří

Hesla podle průzkumu nejčastěji tvoříme kombinací malých a velkých písmen a číslic (43 %). Téměř srovnatelné množství z nás pak k těmto údajům přidává ještě speciální znaky (38 %).

Výsledná podoba hesla se ale dále liší. Zatímco pětina z nás používá náhodný shluk znaků, písmen a čísel (22 %) a necelá třetina pak tzv. heslovou frázi (30 %), čtvrtina českých uživatelů a uživatelek stále tvoří hesla na základě osobních informací, jako je například jméno domácího mazlíčka, datum narození anebo adresa (26 %). Jednoduchá slovní spojení, jako je např. „heslo123“, používá 12 % dotázaných.

„Hesla stojí v první linii obrany mezi kyberútočníky a našimi citlivými údaji. Tyto údaje jsou pro ně velice cenné, protože je mohou zpeněžit nebo využít k dalším útokům. Útočníci se k nim snaží dostat třeba za pomoci škodlivých kódů, kterými jsou typicky tzv. infostealery. Ty se řadí mezi spyware, který v Česku dlouhodobě sledujeme. Podle našich dat tyto útoky stále mírně rostou, a to především ve vyspělejších zemích EU a v USA, přičemž mezi oběťmi jsou především uživatelé a uživatelky operačního systému Windows,” říká Vladimíra Žáčková, specialistka kybernetické bezpečnosti společnosti ESET.

Vytvořit správné heslo z pohledu kyberbezpečnosti je občas trochu oříšek. Ještě pár let zpátky byla za silné heslo považovaná náhodná kombinace velkých a malých písmen, speciálních znaků a čísel. Lidé tak začali volit sice složitá, ale krátká hesla. Dnešní automatizované nástroje na prolamování hesel využívané například v útocích tzv. hrubou silou ale dokážou taková hesla uhodnout během několika minut.

Lepší je tak zvolit např. heslovou frázi – větu nebo spojení slov, které dává smysl jen nám. Ani ta by ale neměla přímo souviset s našimi osobními údaji nebo informacemi o naší rodině a koníčcích – útočníci si je totiž mohou snadno zjistit například z veřejných informací na sociálních sítích.

Cvičit paměť se v případě hesel spíš nevyplatí

Bezpečnost hesla hodnotíme podle průzkumu nejčastěji podle jeho složitosti (64 %), délky a také podle toho, zda je heslo unikátní pro každou využívanou službu (obě kritéria shodně 26 %). Používání bezpečnostní aplikace (například správce hesel) jako kritérium bezpečnosti je důležité pro 24 % z nás. Pro 17 % je však bezpečnostním kritériem i to, zda je heslo dobře zapamatovatelné.

A právě na otázku, jak nejčastěji si heslo pamatují, dotázaní odpovídali, že z hlavy – uvedla to více než polovina z nich (54 %). Specializovaný program pro bezpečnou správu přihlašovacích údajů, tzv. správce hesel, využívá dle průzkumu jen 12 % respondentů.

Pamatovat si všechna naše hesla z hlavy je při dnešním množství služeb a účtů, které používáme, ale téměř nadlidský úkol. To může opět vést k tomu, že budeme používat jednodušší hesla nebo stejné heslo pro více účtů, což samozřejmě nahrává kyberútočníkům.

Hesla posílí druhý faktor

Pravidlo „jedno unikátní heslo pro jeden účet“ dodržuje dle výsledků průzkumu čtvrtina z nás (24 %). Třetina (31 %) uvedla, že má několik hesel, která pro přihlášení do různých účtů střídá. Necelá pětina (18 %) pak volí způsob, kdy má několik hesel, která různě střídá podle povahy služby (e-shop, sociální sítě, e-mail). Podobně 16 % dotázaných uživatelů a uživatelek využívá stejný základ hesla, ale doplní k němu pokaždé jiné informace.

Jen jedno heslo do všech účtů využívá 7 % dotázaných, to je ovšem podle bezpečnostních expertů velice riskantní. Používání unikátního hesla pro každou službu je dle nich jednou z nejdůležitějších zásad pro bezpečnost našich online účtů. Nezbytné je také využívání vícefázového ověřování, kdy je při přihlášení kromě hesla vyžadováno ještě dodatečné ověření např. kódem zaslaným v SMS či e-mailu nebo potvrzením v ověřovací aplikaci.

Druhý faktor jako další prvek na posílení bezpečnosti svých účtů využívá do důležitých služeb (například do online bankovnictví) polovina dotázaných (48 %). Téměř kdykoli ho pak využívá více než třetina (35 %).

Mimo tradiční přihlašování pomocí hesla můžeme využívat i přihlášení bez nutnosti jeho zadávání, např. pomocí otisku prstu. Tento způsob přihlášení volí 44 % uživatelů a uživatelek. Rozpoznání tváře pak využívá pětina z nich (21 %). Jako další metodu uváděli dotázaní i přihlášení pomocí tzv. přístupových klíčů – passkeys (11 %). Více než třetina z nás však podobné způsoby přihlášení bez zadání hesla nevyužívá (35 %).

Práci s hesly si rádi zjednodušíme

Další dostupnou možností je také přihlašování prostřednictvím jiného účtu – například existujícím e-mailovým účtem nebo účtem na sociálních sítích. Zde však podle průzkumu máme rozporuplné názory na to, jak moc je takové přihlašování bezpečné.

Přihlášení prostřednictvím jiného účtu využívá dle průzkumu více než polovina dotázaných, přičemž třetina se domnívá, že se nejedná o příliš bezpečnou metodu (32 %). Další čtvrtina si však myslí, že je to bezpečné a pohodlné (26 %). Zbývající třetina dotázaných (30 %) tento způsob nevyužívá, protože ho nepovažuje za bezpečný.

Jednoznačněji se dotázaní staví k využívání možností „zapamatovat přihlášení“ nebo „nikdy se neodhlašovat“. Tyto možnosti opět využívá zhruba polovina, ale více se jich kloní k tomu, že se nejedná o bezpečné metody (38 %). Jako bezpečné vnímá tyto možnosti 13 % z nich. Čtvrtina dotázaných nepovažuje tyto funkce za bezpečné a nevyužívá je (24 %) a pětina se vždy z účtu odhlásí (21 %).

Jak vytvořit silné heslo a chránit ho před kyberútoky:

Škodlivý kód AsyncRAT je běžný trojský kůň typu RAT, tzv. Remote Access Trojan. Jakmile se jednou dostane do systému, umožní útočníkům nad ním získat vzdálenou kontrolu. Jeho zdrojové kódy jsou veřejně dostupné na internetu a každý si je tak může stáhnout a upravit si škodlivý kód pro své účely. Proto má tento malware řadu různých variant s různými funkcemi – pro krádeže citlivých údajů, monitorování našeho chování nebo zneužití našeho počítače k dalším útokům.

Spyware Agent Tesla se v březnu neobjevil v žádné větší útočné kampani a ani přílohy s názvy v češtině tentokrát nebyly výrazněji zastoupeny – útočníci se pravděpodobně stále snaží uživatele zmást přílohami s názvy poptávka nebo děkovný dopis. Jedná se však o případy, se kterými jsme se mohli setkat již v minulých měsících. Spyware Formbook se objevil ve velké kampani z 11. března, ale i v jeho případě byly česky přeložené názvy příloh pouze ojedinělým jevem.

Nebezpečné e-mailové přílohy v březnu 2024

Jeden trojský kůň a několik způsobů zneužití

Trojský kůň AsyncRAT funguje v podobě základního programu, kterým útočníci infikují náš počítačový systém. Program je pak závislý na serverech útočníků, z nichž stahuje moduly (pluginy) s různými funkcemi. Útočníci tak mohou stále vyvíjet nové funckionality a na dálku přes své servery je poskytovat základnímu škodlivému programu ke stažení. Nemusí tak již vymýšlet jiné cesty, jak k nám další škodlivý kód doručit.

Mezi základní funkce tohoto školdivého kódu patří například vzdálené monitorování a zaznamenávání obrazovky našeho zařízení, nahrávání pomocí webkamery, manipulace se soubory, zaznamenávání stisků kláves na klávesnici nebo krádež hesel a souborů cookies z prohlížečů Chrome či Firefox.

Dále mohou pluginy trojského koně AsyncRAT obsahovat i pokročilé funkce pro složitější typy útoků. Mezi ně patří například spuštění .NET kódu, možnost těžit kryptoměnu XMR (Monero) nebo tzv. seedování torrentů, tedy šíření torrentu s účelem udržet ho dostupný ke stažení. Jednou z dostupných funkcí je ale také možnost spustit útok typu DDoS, který je například v posledním roce velmi častým typem útoku na veřejné instituce v České republice.

Škodlivý kód se v počítači hned neukáže

S ohledem na skutečnost, že se trojský kůň AsyncRAT šíří podobně jako spyware přílohami e-mailů, bezpečnostní specialisté uživatelům doporučují opatrně zacházet s příchozími e-mailovými zprávami. Obzvláště na pozoru bychom se měli mít před těmi, které přijdou bez předchozí komunikace z neznámé adresy a budou obsahovat jen strohé nebo žádné další informace. V takových e-mailech bychom nikdy neměli otevírat přiložené přílohy ani klikat na odkazy.

Před pokročilejšími škodlivými kódy nás může nejspolehlivěji ochránit především bezpečnostní software. Dnešní digitální komunikace je již tak všudypřítomná a probíhá v takovém objemu, že například zaměstnancům firem, kteří denně pracují s desítkami e-mailů, se může bohužel stát, že jeden nebezpečný e-mail přehlédnou a domněle neškodnou přílohu otevřou.

Dostatečně varovná by měla být i ta skutečnost, že trojského koně AsyncRAT stačí stáhnout do počítače jen jednou. Díky dodatečným pluginům pak mohou útočníci zahájit celou řadu škodlivých činností nebo zneužít náš počítač k dalším útokům až po nějaké době a na dálku.

Moderní bezpečnostní program nabízí uživatelům kromě klasické antivirové ochrany i celou řadu pokročilých funkcí a nástrojů. Chrání počítač nejen v reálném čase i před nejnovějšími hrozbami, ale může obsahovat i virtuální privátní síť VPN nebo správce hesel, specializovaný program, který hesla uchovává v zašifrované podobě a účinně je tak chrání před spywarem a password stealery.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za březen 2024:

1. MSIL/Spy.AgentTesla trojan (11,29 %)
2. Win32/Formbook trojan (7,36 %)
3. MSIL/AsyncRAT trojan (6,97 %)
4. VBS/Agent.RSN trojan (6,91 %)
5. VBS/Agent.QMG trojan (6,01 %)
6. Win32/Rescoms trojan (3,41 %)
7. MSIL/Agent.WTJ trojan (2,65 %)
8. Win32/PSW.Fareit trojan (2,21 %)
9. MSIL/Spy.Agent.AES trojan (1,61 %)
10. PowerShell/Agent.BLP trojan (1,03 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

V Česku se na hesla dlouhodobě zaměřuje spyware, a to jak prostřednictvím celosvětových e-mailových kampaní, tak útoků šitých na míru přímo českým uživatelům. A nejen to. Hesla jsou ohrožena také kyberútoky na poskytovatele našich online účtů nebo phishingovou manipulativní komunikací, s jejíž pomocí od nás přihlašovací údaje může útočník získat i bez použití škodlivého kódu. Přidanou ochranu v podobě druhého faktoru tak zkrátka více než potřebují.

Dnes se podíváme na vše, co byste měli o druhém faktoru, nebo také o vícefázovém ověřování, vědět a jak si ho ideálně co nejlépe nastavit.

Prolomení hesla je pro hackery klíčové

Pro začátek by si každý z nás měl položit otázku – mám pro každý svůj účet jedinečné heslo, které „nerecykluji“ pro žádný další? Správná odpověď by samozřejmě měla být, že pro každý náš účet vytváříme vždy jedinečné a dostatečně silné heslo znovu tak, aby v případě napadení jednoho účtu nedošlo k prolomení přístupu do dalšího, pokud útočník heslo již jednou získá. A buďte si jistí, že to zkusí. Má k tomu ostatně několik možností, mezi které patří slovníkové útoky nebo útoky tzv. hrubou silou.

Z pravidelných průzkumů také vyplývá, že uživatelé mají až příliš často sklony vytvářet si svá hesla jednoduchá, aby si je mohli snadno zapamatovat. Nic by nemohlo být vzdálenější náležité péči o bezpečnost účtu. Silné heslo má podle praxe bezpečnostních specialistů nejméně 12 znaků a obsahuje velká a malá písmena, číslice, speciální znaky. Případnou volbou může být i tzv. heslová fráze – sousloví či věta, jejíž význam znáte jen vy a která se zároveň pamatuje daleko lépe, než náhodné slepení znaků a písmen. Jen opatrně s texty známých písní nebo filmovými hláškami. Znají je totiž i útočníci.

Druhý faktor je bezpečnostním zámkem na našich dveřích

Dvoufaktorové ověřování (2FA), známé také jako vícefázové ověřování (MFA), je jednoduchý způsob, jak přidat k účtům další úroveň zabezpečení. Co si ale pod pojmem „druhý faktor“ představit?

Třemi klasickými faktory ověřování se označuje „něco, co znáte, něco, co máte, a něco, co jste“. Prvním z nich jsou například hesla, PIN kódy a vzory pro odemknutí obrazovky. Druhým jsou fyzické klíče (a to jak třeba ty mosazné, tak RFID), elektronické tokeny a SMS kódy nebo kódy z aplikací v chytrém telefonu. A tím, co jste, jsou pak biometrické údaje, jako jsou otisky prstů, sítnice nebo obličeje.

Systém druhého faktoru vyžaduje, abyste prošli přes dvě žádosti o ověření, které vyžadují výše zmíněné kombinace. Může to být PIN kód (něco, co znáte) a sken otisku prstu (něco, co jste) nebo sken obličeje (něco, co jste) a následné zadání kódu z ověřovací aplikace (něco, co máte).

Protože se hesla tradičně používají hlavně pro online služby, bývají už jedním z faktorů, které jsou pro přihlášení do nějaké služby vyžadovány. A pokud přidáme další faktor, hackeři budou mít ztížený přístup k našemu účtu – nebudou znát jeden z dílků skládačky.

SMS zpráva nebo aplikace – jak nastavit druhý faktor co nejlépe?

Služby mohou používat různé systémy 2FA. Nejběžnější metodou je textová zpráva s ověřovacím kódem zaslaná na náš telefon. Nejedná se o nejlepší a nejbezpečnější metodu – textová zpráva se může stát cílem phishingového útoku – ale stále je lepší, než ji nemít vůbec.

Dále existují tzv. autentizační aplikace, které lze spárovat s našimi účty. Tyto aplikace neustále generují ověřovací kódy, které jsou platné pouze po omezenou dobu. Každý kód je například platný pouze jednu minutu. Některé aplikace ale jen vyžadují, abyste v telefonu potvrdili, že akci provádíte vy, a to už bez zadání kódů.

Samotný telefon se tak může proměnit v bezpečnostní klíč. Některé společnosti pak poskytují vlastní hardwarová řešení, která můžeme pro účely 2FA používat. Možností je mnoho a stačí si vybrat tu, která nejlépe vyhovuje našim potřebám.

Většina oblíbených webů nabízí možnosti dvoufaktorového ověřování, ale jen málo z nich druhý faktor k přihlášení opravdu vyžaduje. Obecně je to spíš tak, že musíme sami v nastavení svého účtu vyhledat možnosti 2FA a povolit je. To, zda konkrétní služba nabízí možnost druhého faktoru, lze ověřit například zde.

A jak je to s bezpečnostními zárukami druhého faktoru? Na kódy v SMS zprávách se pravidelně zaměřuje manipulativní komunikace, ať už phishing, kdy se z vás útočníci snaží vymámit kód přes online komunikaci, nebo vishing, kdy se vydávají po telefonu například za pracovníky technické podpory. Rizikem je přitom také samotná technická stránka zobrazování přístupových kódů na telefonu. Zatímco obsah SMS se může zobrazit i na zamčené obrazovce – a útočník tak může během chvilky zahlédnout potřebný kód, aniž by prolomil přístup do zařízení – aplikace zobrazí kódy až po otevření.

Pokud tak máte možnost výběru, vždy je větší jistotou spíš autentizační aplikace než zaslání kódu v textové zprávě.

Hrozby v podobě e-mailů, které obsahují nebezpečné odkazy a přílohy se škodlivými kódy, se neustále vyvíjejí a počty zachycených případů stále rostou. Pravděpodobně se s nimi budeme setkávat velmi často i v letošním roce. Můžeme také očekávat, že do tvorby textů pro útočné e-maily zasáhnou nástroje umělé inteligence.

Falešná příloha České spořitelny

Útočníci cílí nebezpečnými e-mailovými přílohami na české uživatele jak v globálních kampaních, kdy nepřekládají názvy z angličtiny, tak v e-mailech s českými překlady. Přílohy mají často názvy odkazující na platební transakce nebo domnělé objednávky a dokumenty mají příponu .exe, která je typická pro nějaký spustitelný soubor. Přípona není vždy na první pohled viditelná v dlouhém názvu souboru, což je záměr – útočníci nechtějí na netypickou přílohu zbytečně upozorňovat.

Všechny tři nejčastější škodlivé kódy se objevovaly průběžně po celý prosinec a nepřekvapí, že celá řada útoků se soustředila kolem vánočních svátků. Prázdniny a svátky jsou pro útočníky oblíbeným obdobím, protože předpokládají, že uživatelé nebudou tolik ve střehu a nebezpečné e-mailové přílohy ve své poště přehlédnou.

Příkladem za všechny může být příloha odkazující na platební doklad České spořitelny, která ukrývala škodlivý kód Fareit: Ceskasporitelna, a.s.Swift_260321_scan.exe. Právě tato příloha se v Česku nejvíce objevovala 24. prosince 2023.

Nebezpečné e-mailové přílohy v prosinci 2023

Útoky na hesla jsou rozmanité

Dlouhodobá přítomnost spywaru, který se zaměřuje na krádeže přihlašovacího údajů, klade nároky na spolehlivou ochranu našich hesel. Ne vždy s nimi totiž nakládáme tak, jak bychom měli, přitom jsou stále hlavním bezpečnostních prvkem v našich digitálních životech.

Podle posledního průzkumu společnosti ESET zaměřeného na dodržování kybernetické bezpečnosti při online nakupování v Česku je stále velmi běžné, že svá hesla opakovaně používáme u více účtů.

Pokud mluvíme o útocích na hesla, spyware je jen jedním z celé řady strategií, kterou útočníci mohou využít. Dalším způsobem jsou například útoky hrubou silou, při kterých útočníci využívají databáze uniklých hesel a ty pak při automatizovaných útocích dosazují spolu s přihlašovacími jmény ve snaze účty prolomit.

Rizikem pro přihlašovací údaje jsou samozřejmě také techniky sociálního inženýrství, jako je phishing, smishing nebo vishing. Při nich zase útočníci sázejí na manipulativní komunikaci. Ochranu našich hesel bychom tak rozhodně neměli podceňovat. Pomoct nám s tím může třeba kvalitní bezpečnostní software, který chrání před pokročilejšími hrozbami. Hesla bychom také neměli ukládat hesla do nechráněných souborů v počítači ani do internetových prohlížečů, které nejsou před spywarem dostatečně zabezpečené.

Řešením pro bezpečné uchovávání přihlašovacích údajů může být správce hesel, specializovaný program, který hesla uchovává v zašifrované podobě a automaticky je dosazuje při přihlašování do online účtů uživatele.

Nejčastější kybernetické hrozby pro operační systém Windows v České republice za prosinec 2023:

1. MSIL/Spy.AgentTesla trojan (11,39 %)
2. Win32/Formbook trojan (3,68 %)
3. Win32/PSW.Fareit trojan (2,35 %)
4. MSIL/Spy.Agent.AES trojan (2,13 %)
5. MSIL/Bladabindi.CK.gen trojan (1,87 %)
6. VBS/Agent.QMG trojan (1,52 %)
7. Win32/Qhost trojan (1,30 %)
8. Win64/Rozena trojan (1,22 %)
9. VBS/Agent.RON trojan (1,10 %)
10. Win32/Delf.NBX virus (1,08 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

Podle průzkumu společnosti ESET se již čtvrtina z nás setkala při online nakupování s podvodem. Číslo podvedených navíc meziročně vzrostlo o 6 % a rozhodně bychom měli počítat s tím, že kybernetičtí podvodníci nebudou spát na vavřínech. V dnešním článku se tak podíváme, jaké věci při online nakupování pohlídat a útočníkům jejich práci ztížit.

Poslechněte si základní doporučení, jak nakupovat online bezpečně:

#1 Smartphone zabezpečte stejně jako počítač

Nejčastějším zařízením pro online nákupy je dle průzkumu notebook (54 %), polovina z nás však využívá také chytrý mobilní telefon. Především mezi nejmladší generací ve věku 18-24 let se jedná o nejoblíbenější zařízení k online nakupování (70 %).

Chytré telefony však stále pokulhávají v řádném zabezpečení za notebooky a stolními počítači. Přitom v nich dnes uchováváme celou řadu osobních a citlivých informací. Kromě řádného nastavení uzamčení telefonu a potvrzování operací – ideálně biometrickými údaji – je důležité pravidelně aktualizovat operační systém chytrého telefonu i všechny aplikace v něm. V neposlední řadě i do smartphonu stáhněte bezpečnostní software, který ho ochrání před spywarem, adwarem a nebezpečnými webovými stránkami.

#2 E-shop nevybírejte jen podle známé značky

Ačkoli je podle průzkumu pro většinu z nás při výběru e-shopu důležitá důvěra v bezpečnost nákupu, mnozí z nás ji hodnotí podle kritérií, která o skutečné bezpečnosti příliš nevypovídají – jsou to například dřívější dobrá zkušenost s nákupem (90 %), recenze (57 %) či známosti značky (56 %).

Co na to říkají kyberbezpečnostní experti?

„Známé značky jsou často zneužívány kyberpodvodníky, ti jsou schopni vytvořit věrohodnou kopii známého e-shopu, někdy dokonce s falešnými recenzemi na produkt nebo službu. Zvlášť během podzimní a zimní nákupní sezóny zneužívají nepozornosti uživatelů a snaží se je nachytat také například na podezřele výhodné nabídky nebo velké slevy,“ říká Vladimíra Žáčková, specialistka kybernetické bezpečnosti ve společnosti ESET.

Jak doporučují právě kyberbezpečnostní specialisté, při výběru e-shopu je potřeba zaměřit pozornost i na řadu dalších věcí. Na falešný internetový obchod nás může upozornit podivně znějící internetová adresa nebo nedostatek informací o provozovateli e-shopu a obchodních podmínkách. Informace na webu se také mohou jevit jako strojově přeložené, případně některá část textu nemusí být ani přeložena do češtiny. Části textu mohou mít na webu také různé formátování.

#3 Jedno heslo opravdu nestačí

Právě unikátní hesla se objevují vždy mezi doporučeními, jak mít bezpečně v rukou svůj digitální život. A má to své důvody. Heslo zatím zůstává hlavní bezpečnostní závorou mezi našimi účty – a to i těmi bankovními – a zbytkem světa. Hesla jsou dlouhodobě lovnou zvěří řady kyberútočníků a potenciální nebezpečí může představovat i únik dat u poskytovatele, jehož služby využíváme.

Při online nakupování používá unikátní heslo jen čtvrtina z nás. V porovnání s loňským rokem sice klesl počet lidí, kteří svá hesla takzvaně „recyklují“, tedy opakovaně je nebo jejich části využívají pro přihlášení do více účtů, stále jich je ale třetina.

Opakované používání hesel bychom možná očekávali od starších lidí, ale není tomu tak. Zatímco pouze 17 % lidí starších 75 let používá pouze jedno heslo, u lidí ve věku 25-34 let je tomu v 45 % případů.

Pokud využíváme jedno heslo pro více služeb, výrazně tím ohrožujeme naši digitální bezpečnost. Útočníci mohou heslo prolomit prostřednictvím útoků hrubou silou nebo ho získat z databáze uniklých hesel. V případě, že přístup následně opravdu získají, otevírají se jim dveře k našim dalším online účtům.

Doporučení je v tomto případě velmi jednoduché – vytvářet pro každý účet dostatečně silné a vždy jedinečné heslo, které si nezapíšeme nikam na papírek nebo do sešitu, ani neuložíme volně jako textový soubor v počítači ani v chytrém telefonu. S tvorbou a bezpečným ukládáním hesel nám mohou pomoci specializované programy zvané správci hesel.

#4 Platební karta v hledáčku zlodějů

Nejraději platíme online platebními kartami, i když podle posledních dat tato metoda trochu ztrácí na oblibě – oproti minulému roku výrazně ubylo takových plateb, a to z 76 % na 65 %. V letošní sezóně se naopak těší zájmu českých uživatelů stará dobrá platba přes dobírku nebo převodem.

A jak řeší čeští uživatelé zabezpečení plateb kartami? Nejčastěji nastavením limitů na kartě (72 %) a pomocí vícefázového ověření (70 %). Virtuální platební kartu využívá necelá pětina lidí, nicméně u lidí do 24 let se jedná o podíl 50 %.

Nastavení limitů na kartě ale bohužel nebrání kyberútočníkům v tom, aby se dostali k našim finančním prostředkům, pouze snižují škody v případě úspěšného útoku. Oproti tomu vícefázové ověření může rovnou zabránit neoprávněné transakci nebo neoprávněnému přístupu k našemu online účtu.

#5 Nepodceňte podvodníky na bazarech

Internetová online tržiště patří mezi oblíbené platformy, kam se vydáváme nejen za nákupem nového zboží, ale můžeme zde prodat i věci, které již nepotřebujeme. Necelá třetina dotázaných v průzkumu uvedla, že internetové bazary již několikrát k nákupu využila, přičemž 7 % uživatelů na bazarech dle svých slov nakupuje velmi často.

Internetová tržiště jako Sbazar, Bazoš, Vinted nebo Facebook Marketplace jsou pro různé podvodníky zlatým dolem. Ti se dokonce seskupují do organizovaných skupin a k přípravě útoků využívají speciální nástroj, který bezpečnostní experti z ESETu nazývají Telekopí. Podvody na bazarech jsou jedním z nejčastějších podvodů na českém internetu a obezřetnost je v tomto případě více než důležitá.

Jsem obětí podvodu při online nákupu – co dál?

Podle dostupných informací řeší čeští uživatelé podvod při online nakupování nejčastěji s bankou (26 %), pětina se obrací na policii a jen lehce přes 10 % na provozovatele internetového obchodu.

V případě, že se stanete obětí podvodu, je důležité se z chyby zbytečně neobviňovat, poučit se z ní, dostat co nejdříve celou situaci pod svou kontrolu a zaměřit se na prevenci. Podvodníci se snaží být vždy o krok napřed a obětí se může stát každý z nás.