Premium

Získejte všechny články
jen za 89 Kč/měsíc

Neudělejte chybu jako Ovčáček. Ověřovací kód nikdy nikomu neposílejte

  18:24aktualizováno  13. června 11:07
Pokud vám přijde zpráva s potvrzujícím kódem, zacházejte s ní jako s tajemstvím. Nepište ji nikam, kam nepatří. Nikomu ověřovací kód nepřeposílejte. A určitě jej nesdílejte na sociálních sítích. Prezidentova mluvčího stál tento omyl jen podpis pod peticí, se kterou nesouhlasí. Jindy jde o peníze.

Pro bezpečí na internetu je důležité nesdělovat soukromé ověřovací kódy, někdo je může zneužít k podvržení vaší identity | foto: Profimedia.cz

Pro ochranu identity na internetu slouží obvykle kombinace uživatelského jména a hesla. Lidé se tak musí naučit zacházet s hesly, a administrátoři sítí zase zjišťují, jak správně nastavit požadavky na bezpečnost hesla.

Ne všude se ale k ověření používá přihlašovací jméno a heslo. Někde pracují stránky pouze s vaším e-mailem nebo telefonním číslem. Buď pro vaše pohodlí ,aby nebylo potřeba vytvářet si další registraci, nebo jako další krok při ověření (tzv. multifaktorové ověření). Takové zabezpečení slouží v podstatě jako jednorázové heslo, které se dozvíte pouze vy. Platí po omezenou dobu a je velmi důležité, abyste ho nikomu neposílali. Řada podvodů je totiž postavena právě na tom, že vás někdo přesvědčí heslo poslat.

Někdy dokonce ani není potřeba přesvědčovat. Ukážeme si několik příkladů toho, kdy lidé z různých důvodů sdíleli ověřovací kódy na sociálních sítích, aniž si to uvědomovali.

Varování 1. Nechtěný podpis mluvčího pod peticí

Prezidentův mluvčí Jiří Ovčáček na svém reálném osobním profilu (@PREZIDENTmluvci je v osobním vlastnictví Jiřího Ovčáčka) sdílel screenshot e-mailu, který obdržel od hnutí Milion chvilek pro demokracii. Postěžoval si svým odběratelům, že mu přišel e-mail s žádostí o potvrzení podpisu, přitom on nic takového neinicioval.

11.června 2019 v 15:42, příspěvek archivován: 12.června 2019 v 14:34

Tady je někdo hodně nervózní, když už se uchyluje k takovým podvůdkům. Aby bylo jasno, petici proti svobodným a demokratickým volbám jsem fakt nepodepsal. https://t.co/b2tOtjgMdE

Ve chvíli, kdy Jiří Ovčáček sdílel snímek obrazovky, na které dotyčný e-mail byl, ale ještě podpis nebyl potvrzen. Prezidentův mluvčí ale sdílel i adresu, ve které je ověřovací kód v čitelné podobě. Kdokoli tak mohl podvrhnout jeho kliknutí na potvrzovací tlačítko a tím podpis pod peticí potvrdit. Což se celkem záhy stalo.

11.června 2019 v 16:03, příspěvek archivován: 12.června 2019 v 14:35

Podvod dokonán. Tímto vyzývám Milion chvilek nenávisti, aby okamžitě mé jméno z této antidemokratické petice zmizelo! https://t.co/fP5qLRt8Lb

Lze tedy říci, že prezidentův mluvčí se stal obětí jednorázového podvržení identity. Toto podvržení bylo možné ze dvou důvodů: potvrzovací odkaz byl vidět v textové podobě a Jiří Ovčáček jej sdílel s desetitisci svých následovníků.

Jiří Ovčáček zaslal redakci Technet.cz komentář, ve kterém označil věc za podvod: „Stal jsem se obětí podvodného jednání s cílem mne poškodit v očích občanů a na toto jsem veřejně upozornil. Jde o problém bytostně morální, nikoliv týkající se bezpečnosti internetu. To, že kdosi potvrdil podpis na základě screenshotu, ukazuje na temné morální pozadí Milionu chvilek nenávisti.“ Jiří Ovčáček během týdne po demonstraci Milion chvilek na Václavském náměstí věnoval těmto a souvisejícím protestům v desítkách tweetů.

Dodejme, že na stránkách petice Milionchvilek.cz již podpis s číslem 387 090 nefiguruje, podpis mluvčího Jiřího Ovčáčka tak pod peticí byl jen krátce. „ Podpis jsme odstanili, neboť si to pan Ovčáček přál,“ uvedla pro redakci Technet.cz Eva Lee z Milion chvilek. Odstranili prý i další podpis, se stejným jménem a povoláním: „Podobné podpisy mažeme automaticky, signatáři nás na ně často upozorňují. Nic dalšího k tomu dodat nechceme, protože to považujeme za zbytečné. Máme plné ruce smysluplné práce.“

Ponaučení: 

  • Nikdy nesdílejte na sociálních sítích screenshoty, na kterých mohou být údaje, pomocí kterých může někdo podvrhnout vaši identitu vc

Podle Michala Špačka, odborníka internetovou bezpečnost, je velká část viny na tom, kdo navrhl ověřování pomocí viditelného kódu, tedy platformy Mailkit, kterou Milion chvilek pro demokracii používá. „ V e-mailu takový odkaz v čitelné a viditelné podobě nemá dnes již co dělat,“ napsal v e-mailu pro redakci Technet.cz „Takže primárně má máslo na hlavě vývojář té mailovací služby nebo návrhář toho e-mailu, pan Ovčáček je až druhý v řadě.“

S tím nesouhlasí provozovatel služby Mailkit, podle kterého je umístění kódu v textu e-mailu nutné posuzovat i v kontextu uživatelské přívětivosti.

Vyjádření poskytovatele rozesílacího nástroje

Odpovídal Jakub Olexa, ředitel společnosti Mailkit

Už jste v minulosti řešili podobný problém s potvrzením přes sdílený ověřovací kód?
Subscribe formuláře jsou často pod tzv. List-Bomb útoky, kdy se útočník snaží adresu příjemce zahltit jakoukoliv poštou. Cílem je zakrýt určitou aktivitu, např. ověřovací e-mail z banky atp. Nikdy jsme se však nesetkali s tím, že by byl útok veden na zneužití DOI konfirmačního kódu, který je jednorázový a především by takový útok vyžadoval zveřejnění kódu tak, jak to provedl pan Ovčáček. S ohledem na to, že naším systémem procházejí miliony požadavků na přihlášení a toto je první případ, o kterém víme, že by někdo měl potřebu se s e-mailem veřejně chlubit, považujeme to za útok zcela nerelevantní.

Souhlasíte s tím, že by se v e-mailu neměla potvrzovací adresa ukazovat přímo v textu?

Ukazování odkazu v textu je nutné posuzovat v kontextu uživatelské dostupnosti a nikoliv jen bezpečnosti. Riziko zneužití je téměř nulové, zatímco impact na uživatele, který nemůže dokončit svou registraci potvrzením, je zcela zásadní. Je nutné myslet na uživatele za korporátními antispamovými filtry, které vidí první e-mail z daného zdroje a často tak provedou „odzbrojení“ všech odkazů. Příjemce pak nemá možnost na nic kliknout, ale odkaz v čitelné podobě umožňuje dokončit potvrzení. Stejný problém se týká nemalého procenta příjemců se zdravotním postižením zraku, pro které je čtečka nástrojem, který používají každý den. Přečtení adresy jim pomůže udělat rozhodnutí, zda adrese věřit nebo nikoliv. Je tedy na posouzení marketéra, zda bude preferovat více „paranoidní“ přístup bez viditelného odkazu, nebo naopak více „prouživatelský“ se zobrazením odkazu přímo v těle zprávy.

Ostatně i Špaček poznamenává, že jeho názor na to, že vina neleži zejména na tom, kdo screenshot ověřovacího kódu sdílel, je v tomto případě zjevně nepopulární.

12.června 2019 v 13:49, příspěvek archivován: 12.června 2019 v 15:50

@PavelJan4 @FilipTitlbach @JakubBoucek Nemyslím si, že bychom měli všichni umět rozpoznat "tajné" URL (a další nepodobné věci) a naopak si myslím, že když je někde, kde nemá co dělat, tak je na vině primárně ten, co ho tam dal. Ale jak říkám, nepopulární názor, evidentně :-)

Jen málokdo je v pozici mluvčho hlavy státu. Další příklady toho, jak lidé nechtěně sdílí důležité soukromé kódy, se ale týkají prakticky každého.

Varování 2. Nikdy nepřeposílejte SMS z banky

Většina lidí zná dvojité ověření identity z internetového bankovnictví. Nejčastěji jde o zaslání textové zprávy (SMS) s kódem určeným pro ověření identity přihlášeného nebo pro ověření transakce. Toto ověření má zabránit zneužití cizí identity.

Útočníci jsou ale vynalézaví a mají různé způsoby, jak z oběti vymámit ověřovací kód. Následující text je reálná výměna klienta významné české banky s útočníkem. Bbanku neuvádíme, neboť jde o obecný problém, redakce ale ověřila, že jde o reálný případ.

Jak vypadá cílený útok na běžného uživatele

Útočník se snaží zjistit text ověřovací SMS zprávy z banky, předstírá, že je kamarádkou oběti

Konverzace probíhala přes Facebook Messenger, útočník zřejmě uhodl či jinak získal heslo uživatelky (Eva) a vydává se tak za ni. Oběť (Adam) netuší, že mluví s někým jiným.

Eva: Ahoj, můžeš mi prosím poslat na účet 30 Kč? Já sem tam v mínusu a ptřebuju to nějak doplnit?

Adam: Čau :-) Na jaký účet? Do banky? A to jde?

Eva: Podle toho, co máš za banku.

Adam: (jméno banky)

Eva: Aha, já to tam potřebuju mít hned a mám (jméno jiné banky), tak tady (podezřele vypadající adresa s koncovkou cz) se přihlaš jako normálně a pak ti řeknu co dál, to jsou nejrychlejší převody

Adam: Chyba, probíhá odstávka systému.

Eva: Sakra. A nebo moment. Zkusím si to poslat ze svého spoření od sebe, to mám u stejné banky, jako ty. Můžu si ten kód poslat k tobě, mně nikdy nepřijde.

(V tuto chvíli  má Eva přihlašovací údaje Adama do banky, které získala z podvrženého portálu banky, a vyplní je na skutečném portálu banky. Chybí jí ale Adamův telefon. Nicnetušící Adam ji ale nezklame.)

Adam: Určite. Číslo mám pořád stejné.

Eva: Tak teď by ti měl přijít jeden.

Adam: (pošle šestimístný kód, čímž dal Evě přístup do svého účtu)

Eva: Super, a jak se vůbec máš?

(Eva mezitím prochází Adamův účet a převede si 100 tisíc na nějaký jiný účet. Banka Adamovi pošle SMS s ověřovacím kódem transakce.)

Adam: 100 000 :-O Tady si někdo žije!

(Adam přepošle potvrzující kód na tuto transakci a ještě dvě další.)

Eva: Super, to je vše. Díky za pomoc.

Adam: Nemáš zač, mě to nezabilo a tobě to pomohlo...

Útočník tedy pomocí přístupu do cizího Facebook Messengeru, celkem jednoduchého „sociálního inženýrství“ a falešné brány do bankovnictví vytáhl z nic netušící oběti statisíce. Adam (to není jeho skutečné jméno) poslal potvrzující kódy a umožnil tak převedení statisíců korun ze svého účtu.

Ponaučení:

  • Nezadávat přihlašovací údaje do banky nikde jinde než na oficiálních stránkách banky, vždy zadejte adresu do prohlížeče ručně.
  • Nepřeposílat SMS zprávy od banky nikomu dalšímu, ani jejich obsah nezadávat kamkoli mimo oficiální bankovní stránky.
  • Buďte podezřívaví, když vás nějaký váš známý (nebo dokonce příbuzný) žádá po textovém komunikačním kanálu o něco týkající se peněz. Pokuste se vždy zavolat, podvrhnout hlasovou komunikaci je mnohem těžší.

Přeposílání bezpečnostních SMS doufejme většině lidí zní jako opravdu špatný nápad. Jsou ale příklady, kde je to méně okaté.

Varování 3. Pozor na každou soukromou informaci

Mark Zuckerberg, zakladatel Facebooku, v roce 2010 prohlásil, že soukromí je věc minulosti: „ Lidé si opravdu zvykli na to sdílet nejen více věcí, ale také sdílet je s více lidmi. Společenské normy se zkrátka posunuly.“ (Letos mimochodem Zuckerberg otočil a chci se více zaměřit na soukromé zprávy)

Problémů spojených s posunem hranic soukromí je celá řada. A některé mají reálné bezpečnostní dopady. Sociální sítě používají například lupiči k tomu, aby si ověřili, kde bydlíte, kdy jste a nejste doma, co u vás doma najdou apod. Vaše fotky z dovolené i z obýváku jim to usnadňují.

Někdy je ale problém mnohem konkrétnější. Třeba když lidé sdílí na sociálních sítích fotku svého dokladu nebo svojí kreditní karty. Lidé sdílí například fotky kreditní karty s personalizovaným vzhledem.

05.listopadu 2015 v 16:49, příspěvek archivován: 12.června 2019 v 16:46

@radhikamadan01 @shaktiarora @ColorsTV radhika ji check my new debit card with ur pic and show hw much I like u https://t.co/OvsgpeJ7vZ

Problém je, že číslo kreditní karty (i bez bezpečnostního kódu vzadu) může útočníkovi posloužit jako další dílek do mozaiky při krádeži vaší identity. Dokáže se tak třeba dostat k vašim objednávkám na Amazonu, úspěšně podvrhnout vaši identitu při žádání o reset hesla nebo požádat o změnu letenky.

Mimochodem, letenky patří k oblíbeným objektům fotek z cest. Snadno lze zapomenout, že fotografie letenky o vás obsahuje velké množství informací, které může útočník využít ke změně letenky i ke krádeži vaší identity.

Otec se synkem se chlubí svými letenkami na letišti ve floridském Orlandu (20. dubna 2010, ilustrační foto)

„Z pouhé fotky letenky na Facebooku jsem dokázal vyčíst jeho jméno, číslo účtu u aerolinky a další osobní údaje. To mi stačilo k získání klíče pro přístup k dané letence,“ popisuje například čtenář KrebsOnSecurity. „Díky tomu jsem získal přístup nejen k jeho současnému letu, ale i ke všem jeho budoucím.“ Zároveň měl útočník (v tomto případě známý oběti bez zájmu na jejím poškození) k dispozici telefonní číslo. Útočník mohl změnit informace o letu, let zrušit nebo se vydávat za daného cestujícího vůči třetím stranám.

Michal Špaček si myslí, že uvádění jména a čísla na kartě není potřeba: „Můžeme se lidem smát, že si karty fotí, ale to neškáluje, fotí si je pořád dál.“ Chválí například poskytovatele Revolut, kde na kartě není uvedena žádná soukromá informace.

Obecně je podle Špačka potřeba opravit technologie, protože to lze škálovat. Technická řešení lze totiž opravit jedním zásahem a budou opravená všechny související implementace. Zato uživatele nějakým jednoduchým způsobem „opravit“ nejde. „Můžeme se smát úředníkům, že tweetnou něco, co nemají, ale to nepomůže,“ dodává.

Opravit technologie ale trvá a útočníci bývají vždy připraveni své metody flexibilně upravit. Nezbývá, než se pokusit mezi lidmi – třeba i na příkladech veřejně činných osob, rozšířit povědomí o tom, jak funguje on-line bezpečnost. A že sdílenou fotografie obsahující soukromé číslo či kód lze nesmírně snadno zneužít.

Aktualizace: Do článku jsme doplnili vyjádření spolku Milion chvilek. Doplnili jsme vyjádření provozovatele služby Mailkit.

Autor:
  • Nejčtenější

Číňané vymysleli superkavitační pohon pro ponorky. Má ovšem jednu chybu

Vynález by mohl podmořským plavidlům umožnit dosahovat extrémně vysokých rychlostí, srovnatelných s proudovými letadly. Jde o druh laserového pohonu, který se teoreticky zkoumá už desítky let....

7. října 2024

Palubní inženýr Concordu neměl za letu čas ani na jídlo. Práci mu vzal počítač

Cesta z Londýna do New Yorku trvala letounu Condorde zhruba tři hodiny. Toto nadzvukové dopravní letadlo je dodnes považováno za vrchol civilní letecké dopravy, který už téměř 21 let známe jen jako...

6. října 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Evropská sonda letí zjistit, zda máme proti asteroidu soudného dne šanci

Je to dva roky a několik dní, co americká sonda DART záměrně narazila do měsíce Dimorphos asteroidu Didymos. Stalo se tak v rámci testu planetární obrany, tedy možné budoucí obrany Země před úderem...

7. října 2024  14:15,  aktualizováno  16:56

Nobelovu cenu za fyziku získali vědci za strojové učení a neuronové sítě

Královská švédská akademie věd letos ocenila za výzkum na poli fyziky vědce Johna J. Hopfielda a Geoffreyho E. Hintona „za zásadní objevy a vynálezy, které umožňují strojové učení za pomocí umělých...

8. října 2024  11:48,  aktualizováno  13:31

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Má stejný panel, ale jiný obraz. Kvalitu televizoru stále víc určují algoritmy

Premium

Londýn (Od zpravodaje Technet.cz) Dva televizory s totožným zobrazovacím panelem, jeden však s výkonnějším procesorem, na kterém běží algoritmy vytrénovaných AI modelů. A úplně jiný výsledný obraz. Novinka společnosti Philips jasně...

9. října 2024

Češi s Číňany vyvinuli „zhmotnělou noc.“ Nová antibiotika léčí rány, říká vědec

Čeští vědci možná vyvinuli lék budoucnosti: atomární antibiotika. V Rozstřelu ho představil vědecký pracovník Univerzity Palackého v Olomouci David Panáček z Českého institutu výzkumu a pokročilých...

11. října 2024

Nobelovu cenu získal objev odhalující tajemství specializace buněk

Premium

Lidské tělo tvoří 40 bilionů buněk. Všechny mají stejnou dědičnou informaci, a přesto u nich lze rozlišit na čtyři stovky různých typů. Victor Ambros a Gary Ruvkun dostali Nobelovu cenu za fyziologii...

11. října 2024

Letí tam, odkud ostatní prchají. Podívejte se, jak se létá do hurikánu

Pokud se bojíte létání, toto by nejspíš nebyla práce pro vás. Posádky zvané Lovci hurikánů totiž létají ve speciálně vybavených letounech přímo do bouří, aby je pomohly zmapovat a předpovědět jejich...

10. října 2024  17:38

V šestnácti ohromil NASA. Čech chce laserem opravovat nefunkční družice

Premium

O kosmonautiku a vesmír se začal zajímat díky Star Wars. Dá se říct, že mu filmy ukázaly životní cestu. Nadšení přivedlo Simona Klingu až k mezinárodní soutěži Conrad Challenge, kterou se svým týmem...

10. října 2024

Móda z Thálií: kýč jak bič v podání Leichtové i nevhodná obuv Rašilovové

V sobotu večer se v Národním divadle v Praze předávaly prestižní divadelní Ceny Thálie. Co se týká módy, podle...

Zemřel český raper Pavel Protiva. Bylo mu sedmadvacet let

V sedmadvaceti letech zemřel raper Pavel Protiva, informovalo hudební vydavatelství Blakkwood, pro které umělec tvořil....

Příběh Jitky: Manžel po mně chce sex každý den, je to k nevydržení

Moje manželství je takové, jaké po patnácti letech obvykle bývá. Překonali jsme pár krizí, vychováváme dvě školou...

Zmapovali jsme, které spořicí a termínované účty teď vynášejí nejvíc

Česká národní banka dál snižuje základní úrokovou sazbu a má inflaci pod kontrolou. Banky na to reagují snižováním...

Kanye West požádal o rozvod s Biancou Censori, raper chce žít v Tokiu

Manželství Kanyeho Westa a Biancy Censori se po dvou letech rozpadlo. Pár, který uzavřel úřední sňatek v prosinci 2022,...