13. diel - Kybernetické útoky zamerané na odcudzenie citlivých údajov
V predchádzajúcej lekcii, Bezpečnosť pracovného priestoru - Možnosti ochrany , sme sa dozvedeli o najdôležitejších opatreniach na zabezpečenie pracovného priestoru proti narušeniu útočníkom.
V dnešnom tutoriále kyberbezpečnosti si popíšeme kybernetické útoky, pri ktorých dochádza k odcudzeniu citlivých (dôverných) údajov. Medzi také údaje môžeme zaradiť napríklad rodné číslo, dátum narodenia, adresu trvalého bydliska, PIN k bankovej karte alebo prístupové heslá do internetového bankovníctva. Tieto informácie môže potom následne útočník zneužiť.
Kybernetické útoky spojené s odcudzením dát
Existuje hneď niekoľko spôsobov, akými sa útočníci pokúšajú získať naše dôverné údaje. Medzi ne patria najmä rôzne formy phisingu a pharming. Ako príklad si uvedieme pokusy o získanie údajov k nášmu internetovému bankovníctvu, pretože sa s tým stretne v dnešnej dobe už takmer každý. Na konkrétnych príkladoch tiež dobre uvidíme, ako tieto kybernetické útoky fungujú.
Základnými znakmi dnešných kybernetických útokov je väčšinou zlá slovenčina.
Phishing
Názov phishing vznikol ako slovná hračka z anglického slova fishing (rybolov). Je príkladom tzv. sociálneho inžinierstva, ktoré slúži na oklamanie používateľov nielen na internete. Ide o podvodné konanie, pri ktorom sa útočníci snažia vylákať od svojej obete súkromné informácie (dôverné dáta) alebo spustiť na zariadení obete škodlivý kód.
Klasický phishing prebieha pomocou e-mailovej komunikácie. Útočník nám zašle e-mail, ktorý sa tvári, ako by prišiel od nejakej známej inštitúcie. V našom prípade teda dostaneme e-mail podobný tým, čo nám posiela naša banka. Tento e-mail obsahuje odkaz na falošnú webovú stránku internetového bankovníctva, ktorá vzhľadovo vyzerá úplne rovnako, ako originál. URL adresa je však odlišná. Pokiaľ tu zadáme svoje prihlasovacie údaje, pošleme ich priamo útočníkovi a poskytneme mu tak prístup k svojim úsporám.
Praktický prípad phishingu
Ukážme si teraz, ako všetko prebieha konkrétne v praxi.
Príklad e-mailu a falošné webové stránky je vymyslený.
Svoj bankový účet máme v Raiffeisenbank a jedného dňa dostaneme nasledujúci e-mail:
Ide tu samozrejme o phishingový útok. V e-maile sú vidieť dva pochybné znaky, ktoré nám ho môžu pomôcť odhaliť:
- Prvým je e-mailová adresa, z ktorej tento e-mail
prišiel. Na obrázku je označená žltým obdĺžnikom. Je veľmi
nepravdepodobné, že by banka mala vo svojej e-mailovej adrese text
raiffka, keď jej celé meno je Raiffeisenbank. - Druhým znakom je odkaz v e-maile, cez ktorý sa máme prihlásiť do internetového bankovníctva. Na obrázku je označený modrým obdĺžnikom. Už vieme z predchádzajúcich lekcií, že stránky, kam budeme zadávať dôverné informácie, nikdy z odkazu neotvárame.
Na tejto snímke je už jasné, že sa jedná o phishing. Podvrhnutá
stránka totiž využíva HTTP protokol, ktorý je
nešifrovaný. Preto je v adresnom riadku, prečiarknutá ikona
kaštieľa. To však nemusí byť pravidlom. Aj keby sa nám zobrazil zelený
kaštieľ, musíme ešte skontrolovať celú URL adresu. V
našom prípade by sme teda mali spozornieť, pokiaľ je v adresnom riadku,
ktorý je označený červeným obdĺžnikom, na konci
/plugin9832641065.
Naozajstné stránky internetového bankovníctva Raiffeisenbank potom vyzerajú takto:
Keby sme sa ešte potrebovali uistiť, že nejde o podarenejší podvrh, klikneme na ikonu kaštieľa a skontrolujeme certifikát stránky.
Ďalšie typy phishingových útokov
Poznáme niekoľko ďalších typov phishingových útokov, ktoré neprebiehajú prostredníctvom e-mailu. Poďme si ich v krátkosti popísať.
Vishing
Pri vishingu sa snaží útočník z obete vylákať citlivé údaje po telefóne.
Takýto hovor väčšinou prebieha buď v skorých ranných, alebo neskorých večerných hodinách, kedy sme často unavení a menej sa sústredíme.
Zazvoní nám telefón a predstaví sa nám zamestnanec banky, v ktorej máme účet. Je to však falošný bankár (útočník). Vďaka moderným technológiám si útočník dokáže zmeniť telefónne číslo tak, aby útok vyzeral vierohodnejšie. Falošný bankár nám oznámi, že z nášho bankového účtu niekto odcudzil väčší obnos peňazí. Vyžiada si od nás údaje o našej kreditnej karte, aby ju mohol zablokovať, niekedy dokonca aj jej PIN. V žiadnom prípade preto nebudeme nikomu po telefóne oznamovať akékoľvek informácie týkajúce sa nášho bankového účtu.
Smishing
Smishing prebieha tiež po telefóne, ale na získanie citlivých dát využíva textové správy.
Tentokrát teda dostaneme z našej banky SMS. V nej nám oznámi, že náš účet bol napadnutý. Pre zablokovanie karty máme kliknúť na odkaz, ktorý je súčasťou správy a prihlásiť sa do svojho internetového bankovníctva. Bohužiaľ ale opäť ide o falošnú webovú stránku a po zadaní prihlasovacích údajov sa k týmto dátam dostane útočník. Ako už vieme, sfalšovať telefónne číslo, aby sa tvárilo ako číslo banky, nie je pre útočníka žiadny problém.
Majme teda na pamäti, že stránky nášho internetového bankovníctva neotvárame ani z odkazu v e-maile ani z obdržanej SMS. V prípade pochybností radšej zavoláme priamo do banky a informácie zo obdržanej SMS takto preveríme.
Spear phishing
Spear phishing je špecifickým phishingovým útokom, pri ktorom si útočník najskôr získava potrebné informácie o svojich obetiach. Najčastejšie sa tento útok praktizuje na firmy.
Príkladom takéhoto útoku môže byť e-mail s upomienkou na zaplatenie dlžnej čiastky. Ten je adresovaný priamo sekretárke firmy a odoslaný najlepšie na konci zdaňovacieho obdobia. Je veľmi pravdepodobné, že si sekretárka daný problém vo firme nepreverí a radšej dlžnú čiastku zaplatí.
Ďalším príkladom môže byť pohodený flash disk či iné pamäťové médium v blízkosti firmy. To niektorý zo zamestnancov nájde a bude ho chcieť vrátiť majiteľovi. Pokúsi sa ho teda pripojiť k firemnému počítaču, aby zistil, čo sa na ňom nachádza. Spustí tak škodlivý kód, ktorý naňho útočník nahral a spôsobí firme veľké nepríjemnosti.
Pharming
Pharming je viac sofistikovaným kybernetickým útokom. Od phishingu sa líšia tým, že sa útočník snaží napadnúť DNS server a prepísať IP adresu. Po zadaní URL adresy internetového bankovníctva sme opäť presmerovaní na falošnú webovú stránku internetového bankovníctva. Preto je aj v takom prípade nutné kontrolovať URL adresu stránok, ktoré navštevujeme. Často v nich útočníci pozmenia iba malý detail.
Platí, že navštevujeme iba webové stránky, ktoré používajú šifrovaný protokol HTTPS. Oplatí sa nám, keď v aplikáciách pracujúcich s citlivými dátami zapneme viacfaktorové overenie. Na prihlasovanie do internetového bankovníctva a prácu s citlivými dátami všeobecne ďalej nebudeme používať verejné Wi-Fi siete.
Podvodné webové stránky
V dnešnej dobe sa na internete nachádza množstvo e-shopov, ktoré ponúkajú produkty za výhodnú cenu, niekedy aj zadarmo. Medzi nimi nájdeme aj rôzne podvodné webové stránky, prostredníctvom ktorých sa útočník snaží od svojej obete vylákať citlivé údaje alebo dokonca finančný obnos. Ako už dobre vieme, nemusia sa jednať iba e-shopy, ale aj o falošné webové stránky s internetovým bankovníctvom.
Dávajme si preto pozor na to, aké webové stránky navštevujeme. V prípade nakupovania on-line od neznámeho predajcu si radšej najskôr prečítajme recenzie na daný e-shop. Pokiaľ je to možné, tovar zaplatíme až pri prevzatí a skontrolovaní, či je v poriadku.
Odcudzenie identity
Posledným kybernetickým útokom, ktorý si dnes spomenieme je tzv. krádež identity. Tento kybernetický útok môže prebiehať mnohými spôsobmi.
Útočník si napríklad na sociálnych sieťach ako je Facebook alebo Instagram vytipuje svoju obeť. Potom sa s ňou "skamaráti" a snaží sa získať o nej čo najviac citlivých informácií. Ak sa mu podarí nazbierať veľké množstvo citlivých údajov, môže sa napríklad pokúsiť danú obeť vydierať.
V budúcej lekcii, Bezpečnosť kyberpriestoru a anonymita na internete , si bližšie popíšeme, ako funguje internetová komunikácia a zameriame sa na tému anonymity a (ne)dohľadateľnosti na internete.
