Je mylné se domnívat, že kyberzločinci se zaměřují pouze na firmy a majetné lidi. Například v nedávné době tolik medializované útoky na nemocnice, státní úřady, případně kritickou infrastrukturu tomu sice nasvědčovat mohou, ale terčem útoku se může stát cokoliv připojené k internetu. Jak zjistit, zda i vaše zařízení nebyla náhodou hacknuta?
1. Útočníci se ozvou
Nejčastějším způsobem, kdy se napadený dozví o zdařilém útoku, je to, že se hackeři ozvou sami. Jejich byznys model se zakládá na jednoduchém principu – napadnou zařízení (např. PC), odcizí nebo zašifrují data a požadují „výkupné“ za to, že vše uvedou do pořádku, jinak data nezneužijí.
Aktuálně nejčastější vyděračský způsob vede přes ransomware. Jde o metodu, při které útočník zašifruje soubory v PC nebo na datových úložištích připojených v domácí či firemní síti. Úročník následně sdělí částku a způsob zaplacení výkupného (nejčastěji prostřednictvím kryptoměny) za obnovení přístupu k vašim vlastním datům.
Toto výkupné není dobré platit, ačkoliv kvalifikované odhady naznačují, že 50 % obětí zaplatí. Jenže, zaplacení výkupného umožní počítačovým zločincům vyhrát. Dostanou to, co chtějí. A tak jsou motivovaní, aby to příště udělali znovu. Více jsme o těchto vyděračských útocích psali zde.
Web No More Ransom
Nezaplatit samozřejmě znamená, že musíte počítače vyčistit a obnovit data ze zálohy. Ale ne vždy se to povede napoprvé. Sofistikovaní útočníci mohou v systémech pobývat týdny, než opět spustí šifrování. Pokud pro vás není obnova systémů možná (nemáte ji), můžete zkusit použít dešifrovací klíč online. K tomu pomáhají projekty jako je No More Ransom, iniciativa podporovaná Europolem.
Další formou vydírání je tzv. Doxxing. Tento typ útoku se snaží najít citlivé a soukromé dokumenty a jejich zloději potom vyhrožují, že je zveřejní na internetu. Za určitý finanční obnos slibují, že je následně smažou. Ani v tomto případě nelze věřit avizovanému, protože kde máte jistotu, že po zaplacení nebudou chtít útočníci další finanční obnos nebo že data opravdu smazali?
Adware a ti druzí
Vyskakovací reklamy nabízející zrychlení systému, odstranění malwaru nebo předstírání technické podpory, to jsou všechno indikátory toho, že byla narušena vaše síť nebo počítač. V prvním kroku může jít pouze o chybu zabezpečení ve vašem internetovém prohlížeči, která byla zneužita, a dokud nekliknete na inkriminovaný inzerát, vašemu počítači se nic stát nemůže. Na druhé straně to může znamenat, že váš operační systém je již infikován a je v něm instalovaný adware.
Dalším typem útoku, který se sám ohlásí, je jednoduchý podvod s e-maily. Do elektronické pošty vám může dorazit e-mail, že se hackerovi podařilo ovládnout vaši webovou kameru a zachytil vás v nějaké kompromitující situaci. Pokud nezaplatíte výkupné, hrozí, že záběry zveřejní přátelům a rodině. Tyto podvodné e-maily ignorujte. Jsou rozesílány formou hromadných útoků (spamů) stovkám tisíc uživatelů v naději, že malé procento z nich zaplatí. Malé procento z velmi velkého počtu je pro kyberzločince přitom velmi dobrou výplatou.
Nicméně, použití webové kamery ke špehování je samozřejmě možné. Říká se tomu „camfecting“ a bohužel je na vzestupu. Používá se na všechno možné, od průmyslové špionáže po pronásledování. Ale to jsou ze své podstaty skryté zločiny a pachatelé se tímto způsobem nikdy neprozradí.
2. Injektáž a sociální sítě
Pokud se ve vašem browseru objevil nový panel nástrojů, a neučinili jste tak vy, byl infikován. Panely nástrojů mohou zaznamenávat to, co v prohlížeči děláte – sledují, které stránky navštěvujete, jaká přihlašovací jména a hesla zadáváte, získávají údaje o platbách atd. Navíc mohou spustit další stažení malwaru. Pokud budete mít štěstí, v tom nejhorším případě budete muset „jen“ trpět to, že vaše vyhledávání v oblíbeném vyhledávači, bude přesměrováno na jiný web. Útočníci jsou v tomto případě placeni za zvýšení trafiku webu, na který vede přesměrování.
Informace jak postupovat v případě odcizení účtu na FB
Možná i vy znáte ze svého okolí někoho, komu byl odcizen uživatelský profil na sociální síti. Ukradené profily potom rozesílají pozvánky uživatelům a jak je, tak i přátele z vašeho okruhu vybízejí k dalším aktivitám vedoucím k tomu, aby je obraly. Případně majitele vyzvou, aby zavoláním na určité číslo přístup ke svému profilu získal zpět.
Jenže uvedená telefonní čísla používají speciální velmi drahý tarif, a přitom vůbec neslouží k pomoci. Jediné východisko z této situace spočívá v kontaktování provozovatele sociální sítě a podstoupení procesu ověření, že majitelem uživatelského profilu jste vy. Odcizení profilu může nastat v nedůsledném zabezpečení slabým heslem, které útočník odhalí, nebo jeho vyzrazením, napadením browseru apod.
3. Náhodná změna hesla
Nedaří-li se vám přihlásit k některému vašemu online účtu, nejprve zkontrolujte, zda je služba funkční. Může mít výpadek, a to i přesto, že uvítací nebo přihlašovací stránka na první pohled vypadá 100% funkční. Pokud se někdo z vašich kontaktů přihlásil v pořádku, respektive službu ve stejnou dobu využívá (nemá s ní problém), je pravděpodobné, že vám byl ukraden účet. Pokud se útočníkovi totiž podařilo heslo odcizit, může ho změnit, a vy se tak přihlásit nemůžete.
A jéje, někdo odcizil a změnil heslo pro přihlášení k Twitteru
A opět platí, že vaše heslo možná uhodli nebo použili nějakou formu slovního útoku. Možná, že vaše heslo uniklo při jiném útoku z jiného webu, kde jste použili stejné heslo. Možná jste se stali obětí phishingového útoku. Událost nahlaste provozovateli co možná nejdříve. A opět je na vás, abyste dokázali, že jste skutečným vlastníkem účtu, a nikoli hrozbou pro sociální inženýrství, pokoušející se získat přístup k účtu. A pokud jste přihlašovací údaje k tomuto účtu použili i na jiných systémech nebo platformách, heslo v těchto systémech okamžitě změňte.
4. Neautorizovaný software v počítači
Podobně jako v případě browseru, pokud se i v počítači objeví nějaký nová aplikace či lišta apod. a vy nemáte tušení, kde se vzala, může jít o nepřátelskou akci. Viry a malwary se samy nainstalují a skryjí. Trojské koně, červi a další škodlivý software, jako je adware, se mohou jevit jako běžné aplikace.
Zobrazí se v seznamu nainstalovaných aplikací v PC. Nevysvětlený software nutně neznamená, že jste byli napadeni. Instalace freewarového softwaru s sebou v některých případech nese i další software, který při instalaci nevědomky odklikáte. Přitom však nemusí být nebezpečný, ale jen se vám chce představit, nabídnout, co umí.
Ty opravdu nebezpečné potom škodí tak, že o vás shromažďují informace, které jejich autoři mohou zpeněžit, například statistiky týkající se používaní počítače a internetu atd., které prodávají marketingovým společnostem. Pokud necháte počítač bez dozoru a jste přihlášeni, mají aktéři hrozeb snadnou příležitost, kterou ihned využijí. V tomto případě totiž útočník nepotřebuje vaše přihlašovací údaje, aby zasadil hackerskou ránu.
5. Kurzor se hýbe sám
Pokud se pohybuje ukazatel myši a vy tak nečiníte, může, ale nemusí to znamenat problémy. Může totiž jít o problém s hardwarem nebo nečistotou v optickém snímači. Pokud jsou však pohyby kurzoru vedeny na přesná místa, na kterých dochází i ke klikání, tedy spouštění nabídek, otevírání a zavírání oken, existují dvě možnosti. Někdo je vzdáleně přihlášen k vašemu PC (nejčastěji v případě firemního počítače), i když by vás na to měl předem upozornit, nebo jste byli nakaženi trojským koněm umožňující vzdálený přístup využít.
Program pro vzdálené připojení PC
Kromě toho může útočník sledovat vaši obrazovku, a tak pozorovat, co v PC děláte. Dění navíc může nahrávat, aby viděl, co jste prováděli, když nebyl připojen. Navíc může přenášet soubory do a z počítače a zapínat a vypínat váš mikrofon a webovou kameru, aniž by se rozsvítily kontrolky.
6. Ochranné štíty jsou mimo provoz
Pokud je váš obranný software jako osobní brána firewall nebo antivirový program vypnutý a nelze ho aktivovat, tedy odmítne se vrátit do služby, byli jste nakaženi virem nebo jiným malwarem. Moderní malware dokáže deaktivovat obranný software a zabránit jeho opětovnému zapnutí, resetování nebo instalaci. V některým případech je dokonce zakázáno spouštět další nástroje, jako je Process Explorer nebo Správce úloh.
7. Podivný provoz
Drtivá většina počítačové kriminality je provedena za finančním účelem. Pokud mohou útočníci hrozeb získat přístup k PC, otevírá se jim cesta k vašim cennostem, jako je online bankovnictví, databáze uložených přístupových údajů v browseru atd.
Program Snort dokáže zachytit a analyzovat síťový provoz
Nevysvětlitelná aktivita zachycená v systémových protokolech, jako jsou podivná přihlášení v neobvyklých časech nebo z geograficky odlišných IP adres či velké přesuny dat v noci, může naznačovat, že něco není v pořádku. Předpokladem používání tohoto typu upozornění je porozumění běžnému síťovému provozu a chování. S tím mohou pomoci bezplatné nástroje určené právě ke sledování síťového provozu, jako je Snort, Wirehark, Brim a Graylog.
Co můžete udělat pro ochranu svých systémů?
Stoprocentní ochrana proti kyberútokům neexistuje. Můžete mít vše zabezpečeno podle doporučení, ale útočníci jsou většinou o krok dopředu. Víceúrovňová ochrana, dvoufázová autentifikace, vhodná komplexní ochrana, monitorovací software s dobrou správou IT však může výrazně pomoci. Proto byste měli:
- udržovat operační systémy a aplikace aktualizované, stejně jako firmwary a aplikace zařízení připojených k internetu
- používat nejlépe hodnocené antivirové programy a ochranu při procházení internetem
- používat firewall a otevírat porty pouze těm aplikacím, kterým to chcete povolit
- používat silná hesla a nepoužívat je v dalších službách
- tam, kde je to možné, používat dvoufaktorové ověřování
- zálohovat, zálohovat a zálohovat. Jde to automaticky a třeba i každou hodinu. Zálohy dělejte však na jiné zařízení.
- zkusit otestovat návrat dat po havárii nebo napadení
- nasadit monitorovací software, který sleduje pokusy o přístup, systémové protokoly, síťový provoz a vyvolává upozornění na podezřelé aktivity
- spojit se se svojí bankou a zjistit možnosti lepšího zabezpečení
