Když se řekne nabourat se do PC nebo nějakého informačního systému, většina lidí si asi vybaví někoho, kdo sedí u počítače s více obrazovkami, na kterých mu běží Matrix kód. A nejspíš by měl sedět někde v temné místnosti, ze které již tři týdny nevylezl, a jíst pizzu. Dnešní kyberzločince tato charakteristika rozhodně nevystihuje. Používají pokročilé techniky a sofistikované algoritmy, které pracují za ně.

Data, jsou to nejcennější vlastnictví – a osobní dvojnásob. Proto se hackeři čím dál tím častěji zaměřují na krádež osobní identity, respektive uživatelské jméno a heslo. Dvě věci, které v případě, že jsou dobře chráněny, není možné jen tak zneužít. Lidé jsou však líní a nepoučitelní. Místo toho, aby používali silná hesla, a ještě lépe dvoufázové ověřování, volí hesla ve stylu svého jména kombinovaného s číslem či speciálním znakem. Až groteskně potom zní kombinace typu – qwerty, 123456, heslo, 111111 a jim podobné. Přitom tato a podobně směšná hesla se neustále objevují a vévodí žebříčkům nejhorších hesel.

Pokud někdo dokáže uhodnout heslo, nepotřebuje k provedení útoku znát speciální hackerské techniky ani vlastnit superpočítač. Prostě se prokáže, respektive k systému přihlásí a v tu chvíli je vámi. Jestliže jsou vaše hesla krátká, jednoduchá, znamená to pro vás „konec hry“. Mezi nejčastějšími běžnými taktikami, kteří hackeři používají k hacknutí vašeho hesla, přitom vévodí následujících osm praktik. Proto byste se jim měli bránit.

1. Slovníkový útok

Mezi zcela nejjednodušší taktiky pro získání hesla se řadí ten založený na tzv. slovníkovém útoku. Proč se mu říká právě takto? Protože automaticky zkouší každé slovo definované v „slovníku“ známých či nejpoužívanějších hesel, který je neustále vylepšován. Ve skutečnosti jde o malý soubor uložených kombinací hesel. Ano, mohou to být i již výše zmíněná hesla.

2. Hrubá síla

Další praktikou je útok hrubou silou, kdy útočník zkouší všechny možné kombinace znaků. Tedy písmen (malých i velkých), číslic i speciálních znaků. Samozřejmě se zaměřují na dnes již běžně vyžadované kombinace hesel, respektive náležitosti, kdy mají být hesla složena z určitého počtu znaků, obsahovat malá a velká písmena, čísla a znaky. I útok hrubou silou se nejprve zaměřuje na vyzkoušení nejčastěji používaných kombinací alfanumerických znaků. Patří mezi ně dříve uvedená hesla a také 1q2w3e4r5t, zxcvbnm, qwertzuiop atd. Zjištění hesla touto metodou je však časově velmi náročné. V řadě případů trvá velmi dlouho, a tím velmi dlouho máme na mysli měsíce či roky. Doba zcela záleží na složitosti hesla.

3. Phishing

Zatímco předchozí dvě metody nejsou založené na kooperaci s nějakým pomocníkem, tato na to jde jinak. Ve své podstatě nejde přímo o hack hesla, ale spíš způsob, jak ho vylákat přímo z osoby. Osoby, která ho zná a nevědomky v dobré víře vyzradí. Tato praktika začala rozesíláním různých e-mailů, které žádaly o sdělení přístupových údajů do bankovnictví, e-mailu apod. Následovaly sofistikovanější e-maily, které odkazovaly na web, který vypadal jako vaše banka, provozovatel e-mailu apod. Po zadání přístupových údajů putují přímo k útočníkovi a ten je potom použije v oficiálních webech. Metoda, které se říká phishing (a přestože je již hodně letitá), je stále jednou z nejoblíbenějších, jak zjistit něčí heslo. Stále se totiž najde někdo, kdo s ní ještě nepřišel do styku, nebo o ní neslyšel a tím pádem se nechá napálit. Když útočník rozešle stovky tisíc e-mailů, nějaké to promile jedinců, kteří naletí se najde, a to mu zcela postačuje. K tomu, aby vyvíjel tuto aktivitu.

Phishingový e-mail obecně funguje takto

Cílový uživatel obdrží podvržený e-mail, který předstírá, že pochází od velké organizace nebo firmy.

Falešný e-mail vyžaduje okamžitou pozornost a obsahuje odkaz na webovou stránku.

Tento odkaz se ve skutečnosti připojuje k falešnému přihlašovacímu webu, který je připraven tak, aby vypadal přesně stejně jako legitimní stránka.

Nic netušící cílový uživatel zadá své přihlašovací údaje a je buď přesměrován, nebo informován, aby to zkusil znovu.

Uživatelské přihlašovací údaje jsou odcizeny, prodány nebo zneužity.

Denní objem spamu odeslaného po celém světě zůstává vysoký a dosahuje více než poloviny všech celosvětově odeslaných e-mailů. Ještě v roce 2017 byla největším phishingovým lákadlem falešná faktura. V roce 2020 však pandemie Covid-19 dala vzniknout nové vlně škodlivých spamů a phishingových e-mailů na téma pandemie. Obrovské množství těchto e-mailů se veze na vlně oficiálních sdělení vlád nebo zdravotnických organizací a přistihne oběti nepřipravené.

4. Sociální inženýrství

Sociální inženýrství je další metodou, která funguje na velmi jednoduchém principu – důvěře. V podstatě jde o jiný druh phishing. Dejme tomu, že někdo zavolá do firmy, představí se, že je novým členem týmu technické podpory společnosti a potřebuje znát vaše přihlašovací heslo do nějakého konkrétního systému. Nic netušící jedinec tímto způsobem může vyzradit přihlašovací jména a hesla nejen k firemní IT infrastruktuře a systémům, ale také dokonce vlastní, třeba pro přístup do online bankovnictví. Děsivé přitom je, jak často to na oběti funguje.

Sociální inženýrství existuje po staletí. Získávání vstupu do nějakým způsobem zabezpečené oblasti je totiž běžný způsob útoku, před kterým se lze chránit pouze edukací a výchovou od mala. Cílem přitom nemusí být pouze heslo, ale třeba zmíněný podvodný technik přímo v kanceláři, který po vás bude vyžadovat abyste se před ním zalogovali do určitého systému. Při zadávání si zapamatuje heslo, a to mu stačí. Tato metoda je přitom v současné době z námi uvedených tou nejvíce fungující.

5. Duhová tabulka

V originále Rainbow table je obvykle forma offline útoku na heslo. Dejme tomu, že útočník například získá seznam uživatelských jmen a hesel, která jsou však nějakým způsobem šifrována. Zašifrované heslo je hashováno. To znamená, že vypadá úplně jinak než původní heslo (je skryto za smetí nesmyslných znaků – hash). Například heslo „123456“ (doufejme, že ho nepoužíváte) má MD5 hash „e10adc3949ba59abbe56e057f20f883e“. Jak vidíte, jde o matematickou funkci (resp. algoritmus) pro převod vstupních dat do jiného formátu.

Útočníkovi potom stačí vzít hesla v zašifrované podobě, a pokud zná hashovací algoritmus (v našem případě např. MD5 hash), tak je dešifruje. Proto kvalitní systémy používají vlastní hashovací algoritmy. I proto duhová tabulka obsahuje obrovskou sadu předem vypočítaných hash hodnot – specifických pro použitý algoritmus. Použití duhové tabulky drasticky zkracuje čas potřebný k prolomení zahashovaného hesla. Duhové tabulky – naplněné miliony potenciálních kombinací – je přitom možné běžně zakoupit na darknetu.

6. Malware a keylogger

Dalším jistým způsobem, jak uživatelé mohou snadno přijít o přihlašovací údaje, je napadení malwarem. Tento druh škodlivého počítačové kódu je všude a může způsobit obrovské škody. Navíc, pokud malware obsahuje keylogger, můžete dojít ke kompromitování všech vašich účtů. Alternativně by se malware mohl konkrétně zaměřit na soukromá data nebo zavést trojského koně, který útočníkovi dovolí počítač ovládat vzdáleně, díky čemuž snadno dojde ke krádeži přihlašovacích údajů.

7. Vyhledávací pavouk

Neboli spidering je metoda, která navazuje na slovníkový útok. Pokud se hacker zaměří na konkrétní instituci nebo firmu, může vyzkoušet řadu hesel souvisejících se samotnou firmou – útočník si o podniku nebo nějakém zaměstnanci zjistí maximu informací, přičemž mu pomáhá vyhledávač (vyhledávací pavouk, odtud označení spidering), který na internetu hledá požadovaná data. Ve své podstatě může být použít i běžný internetový vyhledávač (např. Google, Bing atd.), který prochází internet a indexuje obsah. Nalezené informace jsou následně využity v naději, že se najde shoda.

Závěrem

Jak je patrné, kromě toho, že byste měli používat opravdu silná hesla, nikomu je nesdělovat, tak si ještě musíte dávat pozor na různé podvodné metody. Zabránit hackerovi v ukradení hesla tak nemusí být zcela snadné. Nikdy tak neučiníte ze 100 procent. Nástroje a praktiky, které útočníci používají ke krádeži dat, se však neustále mění. Existuje přitom nespočet videí a návodů, jak uhodnout hesla nebo se naučit hacknout heslo. I proto firmy jako Apple, Google či Microsoft tlačí na to, aby se hesla stala minulostí. Než se to stane běžné, začněte, kde to jen lze, používat dvoufázovou autentifikaci.