Všechny účty zabezpečené proti hackerům

Hackeři zkoušejí různé metody, když se chtějí prolomit do nějakého účtu. Mezi tyto metody patří například i útoky škodlivého softwaru na osobní počítač, snaha nainstalovat keylogger, útok na smartphone nebo přímý útok na webové služby. Dobrá zpráva je, že pokud se budete řídit našimi praktickými tipy uvedenými v tomto článku, můžete svoje zařízení zabezpečit před útokem hackerů téměř na 100 procent.

Útoky na webové služby

Pro kybernetické zločince vrchol datových krádeží: přístup k databázi uživatelů webové služby. Dostanou se tak k osobním údajům uživatelů, tedy ke skutečnému jménu, adrese, datu narození apod., a často se jim dokonce do ruky dostane i přihlašovací heslo. Jak se teprve nedávno ukázalo, v případě společnosti Yahoo se hackerům v roce 2013 podařilo odcizit kompletní databázi s datovými záznamy všech tří miliard uživatelských účtů.

Jak poskytovatelé služeb šifrují data?

Ve většině případů jsou databáze zašifrovány a také hesla jsou navíc speciálně hashována - v technickém jazyce se tomu říká „salt“ (osolit). K heslu se připojí náhodná posloupnost znaků, takzvaný salt, a vzniklý řetězec se pak teprve hashuje. Heslo je tak odolnější proti útokům hrubou silou.

Jak se můžete chránit: Vy sami nemáte v podstatě možnost se proti takovýmto útokům chránit, ale můžete minimalizovat škody. V každém případě používejte ke svým účtům dlouhé a bezpečné heslo. Protože jsou hesla ve většině případů v databázích služeb uložena v šifrované podobě, hackeři musí přihlašovací údaje dešifrovat jednotlivě. A pokud jsou hesla snadná a krátká, je tento proces poměrně rychlý. Důležité také je, abyste pro každou službu použili samostatné heslo. Pokud se ho podaří hackerům získat, nedostanou se k dalším službám. Bezpečnost zvyšuje i použití jiného uživatelského jména pro každou službu. Kromě hesla pak totiž hackeři musí hledat i správné přihlašovací jméno.

Použijte správně správce hesel

Dokonce i správci hesel mohou být napadeni. Například služba LastPass byla hackery několikrát ohrožena. Přesto je vhodné takovouto službu používat, aby jednotlivé přístupy k účtům byly synchronizovány a řízeny - je to bezpečnější než používat jedno heslo pro více služeb. Důsledky útoků můžete minimalizovat použitím následujících pravidel. Jak se můžete chránit: Pro služby typu LastPass použijte nejnovější verzi internetového prohlížeče. Útoky na tuto službu se vždy týkaly starších verzí prohlížečů s bezpečnostními mezerami. Kromě toho byste také pravidelně měli měnit hlavní heslo a odhlašovat se po každé relaci. Heslo můžete nastavit v »Nastavení účtu / Zabezpečení«. Těm, kteří nechtějí hesla synchronizovat, doporučujeme používat off-line nástroj KeePass (najdete ho na Chip DVD). Vždy si ale vytvořte zálohu databáze.

Útoky na zařízení

Hackeři ještě poměrně často získávají přístup do počítače se systémem Windows prostřednictvím klasických virů, stahování z webových stránek nebo rozesílání infikovaných e-mailů. Je to stále velice slibný způsob, jak proniknout do počítače, protože existuje dostatečný počet uživatelů, kteří stahují neznámé soubory a otevírají jakýkoli e-mail a přitom nemají nainstalovaný antivirový skener nebo ho nemají aktualizovaný.

Zabezpečte stolní počítač

Ačkoli není infekce prostřednictvím e-mailu žádnou novinkou, stále funguje dobře. Hackeři často používají proslulé makroviry, protože je těžké je odhalit pomocí antivirových nástrojů, neboť za jejich spuštění přebírá uživatel odpovědnost sám. Hackeři tedy například uživateli pošlou e-mail s textem, že si má otevřít důležitý dokument v příloze, například fakturu. Jakmile uživatel otevře soubor v programu Word, přestože je upozorněn na makro, a klikne na tlačítko pro jeho spuštění, hackeři mohou provádět příkazy na pozadí a do počítače se dostat.
Podobně úspěšní bývají hackeři i při umisťování infikovaných souborů na web. V září se jim podařilo umístit malware
do populárního programu CCleaner. Uživatelé, kteří si program stáhli a neměli aktuální verzi systému a virový skener, byli infikováni.

Jak se můžete chránit: Nejdůležitějším bodem ochrany je aktuální verze operačního systému Windows. Všechny bezpečnostní záplaty systému musí být nainstalovány a nástroje třetích stran musí být také aktuální - především prohlížeč. K těmto účelům můžete použít program, který vám aktuálnost programů bude sledovat. Samozřejmě doporučujeme na počítač nainstalovat antivirový program, například AVG pro Chip. Většina komerčních antivirových skenerů malware v programu CCleaner odhalila.

Zrádným útokům, jako například prostřednictvím maker MS Office, můžete zabránit tak, že nepovolíte spuštění maker. Provedení maker povolte jen v případě dokumentů, které jste sami vytvořili nebo u kterých znáte jejich autora.

Zabezpečte smartphone

Kromě osobních počítačů se v poslední době stávají cílem hackerských útoků i moderní chytré telefony. Zde jsou hackeři velice často úspěšní, protože uživatelé používají své smartphony mnohdy nezodpovědně, připojují se k různým sítím a k různým zařízením přes Wi-Fi nebo Bluetooth a nemají nainstalovanou nejnovější verzi operačního systému ani AV program. Někdy ale nepomůže ani nejnovější verze systému - například v případě bezpečnostní mezery BlueBorne. Kvůli ní mohou hackeři ovládat zařízení prostřednictvím Bluetooth. K útoku pak stačí aktivace Bluetooth v mobilu, například když se chce uživatel připojit k chytrým hodinkám nebo reproduktoru. Ohrožena jsou přitom všechna zařízení, bez ohledu na to, zda mají systém Android, nebo iOS. Apple a Microsoft už tuto bezpečnostní mezeru uzavřely.

Dokonce i Google už má k dispozici opravu pro systém Android, ale pouze pro nová zařízení. Není však jasné, jak rychle se oprava dostane do různých verzí systému různých výrobců a zda vůbec. Systém Android je tedy v podstatě nechráněný - podrobnosti najdete v článku na straně 28. Kromě Bluetooth se objevují bezpečnostní mezery také u Wi-Fi. Teprve po uvedení systému iOS 11 Apple uzamkl mezeru v komunikačním čipu svých smartphonů. Hackeři mohli tuto díru využít pro infiltrování malwaru do smartphonu.

Jak se můžete chránit: Stejně jako v případě Windows je nejlepší metodou, jak se bránit proti malwaru a dalším útokům, instalace nejnovější verze operačního systému. V případě zařízení s iOS je to relativně snadné dokonce i u starších zařízení. Uživatelé Androidu ale zůstávají často nechráněni, protože nová verze OS pro jejich zařízení není k dispozici. Více informací o této problematice naleznete v článku „Android pod útokem kyberzločinců“ na straně 106. Uživatelé starších verzí systému by si tedy měli nainstalovat antivirový program. Řada z nich je k dispozici zdarma - například AVL nebo Sophos Free Antivirus and Security.

Jestli se hackerům podařilo zjistit vaše přihlašovací údaje nebo se dostat do zařízení, to si můžete ověřit. Stačí zkontrolovat seznam zařízení, ze kterých došlo k přihlášení k účtu. V případě zařízení s iOS najdete seznam pod položkou »Nastavení« zadáním jména iCloud. Připojená zařízení se nacházejí v dolní části. Pokud zde najdete položku, o které nevíte, klikněte na ni a vyberte možnost »Odstranit z účtu«. V případě systému Android si seznam zařízení, ze kterých se někdo k účtu připojoval, můžete ověřit na stránce myaccount. google.com. Na otevřené stránce klikněte v části »Přihlášení a zabezpečení« na »Aktivita zařízení a oznámení«. Vyberte příslušné zařízení a klikněte na »Odstranit«. Bez ohledu na to, zda jde o zařízení s Androidem, nebo iOS, v případě, že máte podezření, že se někdo neoprávněně dostal do vašeho účtu, ihned změňte heslo.

Lepší zabezpečení vašeho účtu zajistí tzv. dvoufaktorová autentizace. Pokud si ji u účtu zřídíte, kromě přihlašovacího jména a hesla budete muset ještě navíc vyplnit jednorázové heslo, které dostanete. Záleží pak na konkrétní službě a jejím nastavení, zda jednorázové heslo obdržíte prostřednictvím SMS, nebo třeba pomocí aplikace ve smartphonu. Seznam služeb, které tuto dodatečnou ochranu nabízejí, naleznete v tabulce vlevo.

Sociální inženýrství jako brána

Hackeři ale nepoužívají k přístupu k cizím účtům jen malwatre nebo přímé útoky na servery webových služeb. V řadě případů totiž kybernetickým zločincům pomáhají překonat překážky samotné oběti - samozřejmě aniž by o tom věděly a všimly si toho. Při extrémně cílených útocích se hackeři dokonce maskují jako uživatelé a volají na podporu webových služeb, aby se zde domohli přihlašovacích údajů. Když o této možnosti víte, můžete jí sami zabránit.

Hackování pomocí phishingu

Metoda tzv. phishingu je sice jednoduchá, ale velmi úspěšná. Útočníci zašlou své oběti e-mail a někdy se vydávají za pracovníky webové služby nebo třeba za bankovní instituci. Jejich cílem většinou je, aby o sobě uživatelé prozradili nějaké detaily nebo aby klikli na odkaz v e-mailu, který vede na zmanipulované webové stránky. E-maily a weby přitom vypadají velmi podobně jako skutečné webové stránky dané služby nebo instituce a také e-mail se zdá jako „pravý“. Jakmile uživatel na stránkách zadá údaje o svém účtu (jméno, heslo), dostane se okamžitě do rukou kybernetických zločinců. Vysvětlíme vám, jak můžete falešné stránky odhalit.

Jak se můžete chránit: Chcete-li identifikovat phishingový e-mail, nejprve zkontrolujte jeho obsah. Banky, webové služby nebo třeba PayPal vás nikdy nebudou v e-mailu žádat o citlivé informace, jako je PIN nebo TAN. A ačkoli může vypadat formát e-mailu skvěle, často jde o špatně přeložený text z angličtiny, nebo má text nelogický obsah, vydává se za potvrzení objednávky nebo jde o účet.

V případě, že se vám e-mail nezdá na základě obsahu v pořádku, pozorně se podívejte na adresu odesilatele. Nestačí ale zkontrolovat adresu odesilatele, protože ta může být falešná. Podívejte se například v Outlooku na vlastnosti e-mailu a pod hlavičkou »Internet header« najdete »Received from«, tedy opravdovou e-mailovou adresu odesilatele. Používáte-li webového klienta, podívejte se na originál zprávy přes »Zobrazit originál«. Pokud adresa odesilatele není shodná s názvem služby, měli byste být opatrní, protože se pravděpodobně jedná o phishingový e-mail.

V několika případech se ale hackerům podařilo naklonovat i odesilatele pošty. Prověřit tedy můžete i odkaz na webovou stránku, který se v e-mailu nachází. Neklikněte ale na něj hned - dostaňte se nad něj myší, stiskněte pravé tlačítko a z nabídky vyberte »Kopírovat adresu odkazu« nebo »Zkopírovat odkaz«. Ten pak vložte do adresního řádku prohlížeče a podívejte se na něj, ale zatím jej neotevírejte. Možná zjistíte, že vás chce dostat na úplně jinou stránku, než je stránka služby nebo instituce, za kterou se vydává. Pokud se zdá vše v pořádku, stiskněte [Enter] a stránku otevřete. Následně zkontrolujte, zda jde o zabezpečenou stránku a zda má certifikát.

Útoky prostřednictvím sociální manipulace

Uživatel ale nutně nemusí útočníkům při zcizení účtu pomoci tímto způsobem. Často totiž sám údaje dobrovolně vystaví na sociálních sítích. Řada citlivých údajů je totiž k dispozici on-line, takže kyberzločincům při specializovaných útocích stačí projít Facebook nebo Instagram konkrétního uživatele. Na základě takto získaných informací se pak počítačoví zločinci mohou pokusit do účtu uživatele proniknout zodpovězením tzv. bezpečnostních otázek. Ty řada služeb používá pro ověření, zda se jedná o majitele účtu - například když zapomněl heslo (třeba příjmení babičky za svobodna). Případně může být služba zabezpečena pomocí PINu, ve kterém řada uživatelů používá čísla ze svého data narození. Pro hackera pak není problém se do účtu dostat.

Jak se můžete chránit: U služeb, které nabízejí resetování hesla pomocí bezpečnostní otázky, použijte odpověď, kterou znáte jen vy a kterou nelze nijak odvodit z údajů, které si o vás může někdo zjistit. Totéž platí pro PIN například pro zamknutí chytrého telefonu. PIN by neměl obsahovat opakující se číslice ani by to neměla být čísla z vašeho každodenního života. Pro lepší ochranu také snižte viditelnost svého profilu na Facebooku, Instagramu, Xing, LinkedIn a dalších. Například ve Facebooku najdete nastavení pod »Nastavení / Soukromí«. Zde můžete nastavit například to, aby vaše aktivity mohli sledovat jen vaši přátelé. Pokud budete postupovat podle bezpečnostních tipů z tohoto článku, bude pro hackery velice obtížné získat o vás informace a dostat se do vašeho účtu.

***

Pět základních tipů pro lepší ochranu před útokem

1 Používejte bezpečná hesla: Pro heslo používejte dlouhé znakové a číselné sekvence s více než 15 znaky. Heslo může obsahovat i více slov, například byt38-Router22-zahrada98.
2 Použijte správce hesel: Pro každou službu používejte jiné heslo - toto pravidlo je důležité. Přihlašovací údaje si ukládejte jen do správce hesel.
3 Hesla pravidelně měňte: V ideálním případě by vás na potřebu obměnit heslo měl upozornit správce hesel. U důležitých účtů, jako je například váš e-mailový účet, byste heslo měli ideálně měnit pravidelně každé čtyři týdny.
4 Používejte různé přihlašovací údaje : Pokud je to možné, přiřaďte každému uživatelskému účtu jiné uživatelské jméno.
5 Zohledněte serióznost služeb: Sdílejte citlivé informace, například o vaší adrese nebo údaje o účtu, pouze se službami, které se vám zdají spolehlivé. Máte-li pochybnosti, proveďte si ohledně služby soukromý výzkum.

***

Největší datové úniky posledních let

V roce 2013 proběhl obzvláště závažný útok na služby Yahoo. Společnost celkově přišla o data ke třem miliardám účtů.

Uniklé záznamy v milionech
Yahoo 3 000
MySpace 427
eBay 145
LinkedIn 117
VK 101
AOL 92
Sony PSN 77
Dropbox 69
Tumblr 65
Zdroj: Statista, vlastní výzkum

***

Útoky na zařízení: 5 rychlých tipů

1 Pravidelně instalujte aktualizace operačního systému: V případě operačního systému Windows a systémů pro smartphony ověřte, zda používáte nejnovější verzi systému se všemi bezpečnostními záplatami.
2 Aktualizace programů, ovladačů a nástrojů: Důležitá je rovněž aktuálnost programů, které také mohou obsahovat bezpečnostní mezery. V případě iOS nebo Androidu snadno provedete aktualizaci v obchodě s aplikacemi.
3 Nainstalujte si antivirový program: Uživatelé Windows a Androidu by měli mít antivirový program v podstatě povinně. Řada z nich je dostupná zdarma. Pro naše čtenáře například AVG.
4 Aktivujte dvoufázové ověření : Pokud je to možné, aktivujte u důležitých účtů dvoufázové ověření (viz tabulka níže).
5 Kontrolujte připojená zařízení: Přehled všech zařízení, ze kterých se přistupovalo k vašemu účtu, naleznete v nastavení příslušné služby nebo přímo v příslušném operačním systému.

***

Ne všechny služby podporují dvoufázovou autentizaci

Dodatečnou ochranu účtu jednorázovým heslem, které obdržíte prostřednictvím SMS nebo aplikace, nabízí jen některé služby.

Služba Kód přes APP Kód přes SMS
Amazon * *
Dropbox * *
eBay * *
Evernote * *
GMX * *
Google * *
LastPass * *
O2 * *
Office 365 * *
PayPal * *
Seznam * *
Vodafone * *
Facebook * *
* ano * ne

***

Sociální útoky: 5 rychlých tipů

1 Odstraňte informace z profilu z vyhledávacích strojů : V případě služeb jako Facebook a spol. můžete zamezit, aby se „vyhledávače mimo Facebook propojily s vaším profilem“.
2 Aktivujte ochranu přes PIN u telefonní podpory : Pro autorizační kód nepoužívejte osobní údaje, jako je datum narození. Bezpečnější je použití náhodně vybraných čísel.
3 Věnujte pozornost odesilatelům e-mailů: V případě podezřelých e-mailů ověřte skutečného odesilatele pomocí vlastností e-mailu. Zobrazený odesilatel může být falešný.
4 Zkontrolujte odkazy v e-mailových zprávách : Pokud podezřelý e-mail obsahuje odkaz na webovou stránku, nejprve odkaz zkontrolujte - zkopírujte ho a vložte do adresního řádku prohlížeče.
5 Zkontrolujte certifikát webových stránek: U webů, na kterých jste vyzváni k zadání informací o účtu, se ujistěte, zda jde o zabezpečené weby a zda mají platný SSL certifikát.

Foto popis| Na stránce haveibeenpwned.com si můžete ověřit, zda nedošlo ke kompromitování vašeho účtu. Obsahuje všechny známé databáze hesel.
Foto popis| Zkontrolujte zařízení Pravidelně kontrolujte, ze kterých zařízení se přistupovalo k vašemu uživatelskému účtu 1 . Neznámá zařízení odstraňte 2 .
Foto popis| Bezpečnostní otázka s náhodnou odpovědí Jako kontrolní otázku si vyberte takovou odpověď, kterou nikdo nemůže odvodit z dostupných informací. Nepoužívejte tedy datum narození a podobně, které si může hacker zjistit.
Foto popis| Zabezpečení přes PIN kód Aby se za vás nemohli hackeři vydávat v sekci podpora uživatelského účtu, použijte PIN kód, který nemohou odhadnout. Nepoužívejte tedy část vašeho data narození.
Foto popis| Ověřte si odkazy Na odkaz v podezřelém e-mailu neklikejte, ale nejprve ho jen zkopírujte 1 a zjistěte, kam ve skutečnosti vede. 2

O autorovi| FABIAN VON KEUDELL, PAVEL TROUSIL, autor@chip.cz