Covid funguje podvodníkům lépe než viagra, říká expert na bezpečnost

„Vážení zaměstnanci. Vzhledem k vaší práci z domova v důsledku šíření nového koronaviru jsme aktualizovali nastavení našeho firemního poštovního serveru. Klikněte prosím zde pro aktualizaci, jinak nebudete moci svůj e-mail od zítřka používat.“ Po kliknutí na odkaz uživatel zadá své jméno a heslo a dostane ujištění, že tím zajistil fungování svého mailu. Ve skutečnosti právě dal počítačovým podvodníkům přístup ke svému účtu.

Během koronavirové pandemie je pozornost takřka všech upřena na šíření viru a opatření s tím spojená. Této celospolečenské nervozity využívají počítačoví útočníci. O konkrétních postupech i o možné obraně jsme se bavili s Markem Risherem, produktovým manažerem pro bezpečnost společnosti Google.

Čím se současné postupy útočníků liší od běžných online hrozeb?
Útoky vycházejí z dostupných příležitostí. Hackeři přizpůsobují své útoky na míru aktuálním událostem, které jsou v médiích probírané, a také specificky své cílové skupině. Dříve byly pasti (phishing) velmi obecné, třeba: „Jsem ministr obchodu z daleké země“. Ale dnes už jsou ty pasti mnohem konkrétnější. Útočník ví, ve které zemi žijete, a zprávu upraví přímo vám na míru. To samé se děje s pandemií covid-19.

Vidíme hodně útoků, které využívají strach z covidu-19. Rozdělil bych je do čtyř kategorií.

1. Prvním je napodobování zdravotnických organizací – útočník předstírá, že vám píše jménem lékařské organizace nebo nabízí prevenci či léčbu nového koronaviru. Využívá zdravotního tématu k tomu, aby vyvolal dojem naléhavosti. Třeba napíšou „jsem z ministerstva zdravotnictví, během 12 hodin se musíte registrovat zde“.
2. S tím souvisí druhý typ, vydávání se za vládní úředníky a jakoukoli oficiální organizaci.
3. Třetím typem je napodobování e-mailů od kolegů z práce. Teď hodně lidí pracuje z domova, a ne každý je zvyklý na to, jakým způsobem v takovém případě se svým zaměstnavatelem komunikovat.
4. Čtvrtým typem jsou pak různé komerční nabídky, které se snaží vydělat na tom, že je nedostatek různých pomůcek. Vydávají se za obchody nebo zástupce firem obchodujících se zdravotnickým vybavením.

To jsou témata a narativy, které jsou v poslední době nejčastější.

Stoupl od začátku roku počet útoků?
Je zajímavé, že celkový objem útoků vlastně nijak dramaticky nerostl. Spíše se zvětšil podíl těchto nekalostí na úkor různých jiných podvodů. Je to důsledkem toho, jak se i v médiích věnuje více pozornosti pandemii nového koronaviru. Útočníci využívají toho, co je v popředí, využívají aktuálních trendů.

Protože se tyto trendy rychle mění, používáme k detekci automatické nástroje fungující na principu strojového učení. Tyto nástroje začaly na přelomu ledna a února detekovat (a automaticky blokovat) více než 18 milionů phishingových a malwarových zpráv, které se odkazovaly na koronavirus. Kromě toho jsme detekovali 240 milionů spamů, které také využívaly covid-19 nebo se týkaly pandemie.

Útočníci vědí, že covid-19 zaujme po celém světě

Když narazíte na takovéto nové útoky, smažete je a dál to neřešíte? Nebo jdete po jejich stopách a sledujete, kam vedou? Zjišťujete manuálně, co se stane, kdyby se někdo na ten phishing nachytal?
Ano, někdy to do určité míry zjišťujeme. Známe ty obecné ustálené techniky, které útočníci používají, takže nepotřebujeme znát jednotlivé detaily. Je to vlastně celkem krátký výčet používaných typů útoků. Snažíme se ale porozumět tomu, jak rychle se tyto hrozby mění, jak rychle se přizpůsobují.

Kdybychom jen blokovali každou zprávu, která používá nějaký řetězec textu, tak by pro útočníky nebylo složité se takové detekci vyhnout. Třeba by místo „covid-19“ napsali „covid19“. Takové triky jsme viděli s „v1agrou“ před deseti lety. Proto se naše detekce musí opírat o stálejší vzorce. Zjišťujeme třeba, ze kterých oblastí ty zprávy putují. Jakým způsobem jsou sestaveny. Jaké taktiky využívají, aby unikly detekci. Jakou rychlostí jsou posílány? To jsou signály, které jsou pro nás spolehlivější.

Srovnáváte tedy covid-19 s viagrou jakožto slova, která útočníci využívají k upoutání pozornosti?
Ano, do jisté míry je to nová viagra současných spamových zpráv. Problém je, že covid-19 zajímá více lidí než viagra. A útočníci jej využívají nejen v e-mailech, ale také na všech dalších platformách: kecálci, textové zprávy, webové stránky atd.

Je událost, která je z pohledu své atraktivity pro internetové útočníky srovnatelná s covidem-19?
V rámci Googlu působí skupina analyzující aktuální hrozby (Threat Analysis Group). Snaží se porozumět tomu, jaké jsou aktuální a budoucí trendy v internetových útocích. Jak jsem říkal, útoků teď v době pandemie není nutně více, ale jsou koncentrovanější. Útočníci, kteří předtím zkoušeli různé taktiky, teď všichni přesedlali na různé varianty útoků využívajících covid-19. Toto téma nyní dominuje po celém světě, a tak jej útočníci po celém světě využívají.

To samé zažívají novináři. V době pandemie mají lidé zájem číst články týkající se pandemie.
Pro řadu lidí je tvorba spamů nebo phishingových zpráv jejich zaměstnání. Někteří z nich používají opravdu zákeřné finty, třeba útočí na zdravotnický personál a na nemocnice. Problém je, že covid-19 je opravdu globální krize. A tak je pro útočníky jednoduché využít to, co funguje v jedné zemi, a bez větších úprav to uplatnit i v jiné zemi. Musí jen přeložit pár věcí, ale nemusí to jinam moc přizpůsobovat. Ve všech zemích světa, malých i velkých, se teď řeší podobné problémy.

Proto Google podniká různé kroky, aby zvýšil bezpečí svých uživatelů po celém světě. Rozpoznáváme útoky ve všech jazycích, což je výsledek našich investic do strojového učení. Díky tomu můžeme rozpoznat i jemné nuance, třeba určitý způsob, jakým útočníci překládají zprávy do češtiny apod.

Jaké kroky doporučujete těm, kdo chtějí zvýšit svou bezpečnost na internetu?
Máme speciální služby určené těm, kterým hrozí na internetu vyšší riziko – Advanced Protection Program. To je nejvyšší úroveň zabezpečení, a může ji využít každý, kdo o to má zájem. V minulosti jsme tento program nabízeli především politikům nebo novinářům, kteří pracují na velkých kauzách. Teď tento program doporučujeme zdravotníkům, protože na nemocnice jsou nyní pořádány koordinované počítačové útoky. A když někdo úspěšně zaútočí na nemocnici nebo na ministerstvo zdravotnictví, následky můžou být fatální.

Nejdůležitějším nástrojem pokročilého zabezpečení je hardwarový klíč, který slouží jako další bezpečností vrstva při přihlášení na účet. Je to fyzické zařízení, které u sebe máte, když se přihlašujete na svém počítači nebo na telefonu. Takže je nemožné, aby se někdo vydával za vás, když toto zařízení nemá. Je to jako klíč od domu nebo od auta. To znamená, že už se za vás nemůže vydávat kdokoli na světě, kdo zná vaše heslo.

Důrazně doporučujeme, aby všichni, kterým záleží na jejich účtu, používali hardwarový klíč pro zabezpečení přístupu. Především to platí pro ty, kteří by se mohli stát cílem útoků ze strany organizovaných skupin nebo státem sponzorovaných hackerů. Hardwarový klíč razantně sníží počet lidí, kteří se mohou vydávat za vás, pokud znají vaše heslo: namísto lidí z celého světa jsou to najednou jen lidé, kteří jsou ve stejné místnosti jako vy.

Toto zabezpečení se týká e-mailů na službě Gmail?
Týká se všech služeb od Googlu. Tedy také Gmailu. Ale nemocnice třeba mívají YouTube kanál, a to je taky účet Googlu, také potřebuje zabezpečení, aby jejich jménem někdo něco nezveřejnil.

Co útočníci nejčastěji dělají, když se k někomu prolomí na účet?
Jednoznačně převažuje finanční motiv. Útočníci jsou v podstatě na útocích závislí, je to jejich obživa, a tak potřebují vydělávat. Dokonce i politicky motivované útoky potřebují vydělávat kvůli penězům na další útoky.

NÁVOD: Jak správně pracovat s hesly. Neopakujte je a buďte důslední

Kam tedy směřují první kroky útočníka, který se dostane do mého Gmailu? Hledají číslo kreditek, přihlášení na Amazon…?
Ano, všechny tyto věci vyzkouší. Hledají informace, které se dají rovnou zpeněžit. Hledají, zda nemáte nějaké kryptoměny a k nim uložené klíče.

Nebo to zkusí přes vyděračský software – ransomware. To je obzvláště odporný útok. A je to dobrý argument pro využívání cloudového úložiště typu Google Drive. Je mnohem větší šance, že vaše data zašifruje nějaký malware, když sedí na vašem počítači nebo na serveru v nemocnici, než když jsou na cloudu.

Obětí počítačového útoku se může stát každý

Lidé často nerozumí tomu, jak funguje internetová bezpečnost, protože je to úplně jiný svět než ten fyzický. Není na čase vytvořit nějaké pohádky, které naučí děti, jak funguje bezpečnost online? Podobně, jako Červená Karkulka dětem vysvětlovala, aby nechodily samotné do lesa?
Ano, to by se hodilo! Chce to nové pohádky. Nějaké takové věci jsme zkoušeli. Máme třeba výukový program Be internet awesome (zatím pouze anglicky, pozn. red.). Jsou tam videa, hry a návody pro malé děti, aby si vyzkoušely, jak fungují hesla, na co dávat pozor při online komunikaci s cizími lidmi apod. Řekl bych, že to je taková digitální obdoba Červené Karkulky.

Lidé mají často pocit, že spammeři a útočníci jsou hloupí. Že na ty spamy přece nikdo rozumný nemůže naletět. A četl jsem, že podvodníci někdy záměrně používají zprávy plné chyb, aby odfiltrovali pozorné čtenáře a mohli se tak zaměřit na podvádění těch méně pozorných (více jsme o této technice psali zde).
Ano, tuto hypotézu znám. A myslím, že existuje i další vysvětlení. Lidé si pamatují ty „hloupé útoky“, protože to jsou ty útoky, kterých si všimnou. Těch sofistikovaných si lidé nevšimnou. A to jsou ty útoky, které vnímáme jako opravdu nebezpečné.

Rozhodně bych neoznačoval oběti počítačové kriminality za hloupé. Každý z nás je totiž zranitelný. Je to jako s autem. Do vašeho auta se můžou zkusit vloupat nějací puberťáci. Ale taky si vás může vyčíhnout parta kriminálníků, kteří přesně vědí, kam sáhnout.

Chcete tedy říct, že kdokoli se může stát obětí hackerského útoku, pokud na to útočník vynaloží dostatek času a prostředků?
Přesně tak, každý je hacknutelný. Jen proto, že víte, jak auto zamknout, aby jej neukradla parta puberťáků, neznamená, že jste v bezpečí před sofistikovaným útokem. Na rozdíl od toho auta ve fyzickém světě je ale na internetu vše digitální, takže krádež útočníky skoro nic nestojí. Můžou svůj útok zkusit tisíckrát nebo milionkrát. Můžou zaútočit na všechny nemocnice v dané zemi naráz. Zkusí to a uvidí, kdo se chytí.

Hardwarový klíč výrazně sníží šanci, že vás dostanou

Myslíte si, že i vás by útočníci dokázali nachytat?
Ale samozřejmě! Jsem také jen člověk. Sice vím, na co si dávat pozor, ale útočníci vědí, jak dostat člověka do úzkých. Vyvolají dojem, že něco nesnese odkladu. „Musíte se přihlásit během třiceti minut“ nebo „právě jsme zaznamenali podezřelou transakci na vaší kartě, klikněte sem, pokud jste to nebyl vy“. To jsou útoky úmyslně navržené tak, aby vás dostaly pod tlak. Útočí přímo na tu část mozku, která urychleně reaguje na bezprostřední nebezpečí.

Vím, že jako člověk nemám šanci odolat všem útokům. Proto v Googlu klademe důraz na to, aby zabezpečení nespoléhalo jen na člověka, ale také na strojovou stránku věci. Takže i když jsem vystrašený, unavený nebo v sobě mám tři koktejly, nemusím se bát, že kliknu na něco, co mne dostane do úzkých. Hardwarový klíč zajišťuje, že jsem ochráněný.

To je taky důvod, proč doporučujeme zdravotnickému personálu, aby k přihlašování využíval hardwarový klíč. Pokud někdo pracuje 16 hodin v kuse, nelze čekat, že bude schopen rozpoznat pravý e-mail od podvodného. Nemá cenu dávat takovým lidem rady typu „ověřujte pečlivě, na jaké odkazy klikáte a zda zadáváte heslo na zabezpečené doméně“. To prostě nefunguje. Je potřeba řešit to hardwarově.

Náš bezpečnostní tým v Mnichově studuje, jak lidé reálně používají technologie a jak se reálně chovají, když se setkají s bezpečnostním rizikem. Chceme dávat lidem skutečně použitelné nástroje, které zvýší jejich bezpečnost.

Neumím si moc představit, že by velké množství lidí používalo hardwarové klíče. Málokdo je dostatečně zodpovědný nebo paranoidní. Většina lidí nepoužívá ani dvoukrokovou autentizaci.
Ano, to je dlouhodobá otázka toho, jak lidé vnímají svou bezpečnost na internetu. Google musí spolupracovat s novináři, abychom pomohli lidem najít rovnováhu mezi pohodlím a paranoiou. V Googlu se snažíme zvýšit pohodlí hardwarových klíčů, aby jejich používání lidem nepřekáželo.

Před sto lety si lidé také nejspíše nezamykali auta. Dnes to bereme jako samozřejmost, že máme v kapse klíč, který odemyká naše vozidlo. Přišlo by nám divné, kdyby to bylo jinak. Pracujeme na tom, aby byly hardwarové klíče snadno použitelné, třeba aby byly součástí telefonu, nikoli nutně samostatná krabička. Stále pracujeme na tom, aby se uživatel nemusel zaobírat tím, jak hardwarový klíč funguje na pozadí.

Jak jsme se vůbec dostali do situace, kdy potřebujeme na všechno heslo? Pro lidi je prakticky nemožné pamatovat si desítky silných unikátních hesel.
Je to pravda. Ale dříve se předpokládalo, že máte jeden počítač, byla to velká nepřenosná bedna ve vaší kanceláři, a heslo v podstatě zajišťovalo, že se k němu přihlašujete vy, a ne váš soused. Byl to úplně jiný problém. Teď jsme v jiné situaci a je čas hledat nová řešení.

V Googlu se snažíme situaci s hesly zlepšit. V prohlížeči Chrome je správce hesel, který funguje i na mobilních telefonech s Androidem. Takže lidé nemusejí nad hesly tolik přemýšlet a stále mít pro každou službu unikátní heslo.

Jak pracovat s hesly? Používejte různá hesla pro různé služby Kdykoli to jde, využijte dvoustupňové ověření Využijte program pro správu hesel Pomozte svým blízkým zabezpečit jejich online účty a proveďte jim bezpečnostní audit podle našeho návodu.

Dále nabízíme možnost „přihlásit se přes Google“, což vám umožňuje využít účet Google k přihlášení se k dalším stránkám, aniž byste si museli vytvářet nová hesla. Zkoušíme teď novou verzi, kde už se ani nemusíte přihlašovat, jen kliknete „pokračovat jako Pavel“, pokud už jste přihlášený jinde. Je to pohodlnější než heslo, a využívá to otevřeného standardu OpenID Connect. Zvyšuje to pohodlí i bezpečí uživatelů.

Počítačové útoky nejsou jen dílem hackerů, kteří vydělávají na nepozornosti uživatelů. Řada útoků je také sponzorovaná velkými státy za účelem propagandy nebo hybridní války. Je také u těchto aktérů vidět snaha využít epidemie koronaviru k prosazení jejich agendy?
Ano, to bohužel mohu potvrdit. Státem sponzorovaní útočníci pochopitelně vědí, že probíhá pandemie. A vědí, že i klíčoví zaměstnanci důležitých organizací často sedí doma u počítače kvůli karanténě. Vědí, že i jim doma pláčou děti a že jsou ve vypjaté atmosféře. I toho umí při útocích využít.

Naše skupina pro odhalování hrozeb (Thrat Analysis Group) neustále studuje chování takovýchto útočníků. Zaznamenali jsme více než tucet státem sponzorovaných skupin hackerů, které využívají narativy spojené s pandemií covidu-19 jako zástěrku pro své útoky.

Toho, co o těchto útočnících víme, využíváme k tomu, abychom naše uživatele chránili před takovými hrozbami, nyní i v budoucnu.