Neděle 25. září 2022, svátek má Zlata
  • schránka
  • Přihlásit Můj účet
  • Neděle 25. září 2022 Zlata

Nejznámější praktiky vedoucí ke krádeži hesel

Chcete zjistit něčí heslo? Opravdu? Potom byste měli zvážit své životní nastavení. Ale teď jinak. Místo zjišťování něčích hesel se raději podívejte na to, jak je chránit. Možná zjistíte, že porušujete řadu pravidel.
ilustrační snímek

ilustrační snímek | foto: Depositphotos

Když se řekne nabourat se do PC nebo nějakého informačního systému, většina lidí si asi vybaví někoho, kdo sedí u počítače s více obrazovkami, na kterých mu běží Matrix kód. A nejspíš by měl sedět někde v temné místnosti, ze které již tři týdny nevylezl, a jíst pizzu. Dnešní kyberzločince tato charakteristika rozhodně nevystihuje. Používají pokročilé techniky a sofistikované algoritmy, které pracují za ně.

Data, jsou to nejcennější vlastnictví – a osobní dvojnásob. Proto se hackeři čím dál tím častěji zaměřují na krádež osobní identity, respektive uživatelské jméno a heslo. Dvě věci, které v případě, že jsou dobře chráněny, není možné jen tak zneužít. Lidé jsou však líní a nepoučitelní. Místo toho, aby používali silná hesla, a ještě lépe dvoufázové ověřování, volí hesla ve stylu svého jména kombinovaného s číslem či speciálním znakem. Až groteskně potom zní kombinace typu – qwerty, 123456, heslo, 111111 a jim podobné. Přitom tato a podobně směšná hesla se neustále objevují a vévodí žebříčkům nejhorších hesel.

Pokud někdo dokáže uhodnout heslo, nepotřebuje k provedení útoku znát speciální hackerské techniky ani vlastnit superpočítač. Prostě se prokáže, respektive k systému přihlásí a v tu chvíli je vámi. Jestliže jsou vaše hesla krátká, jednoduchá, znamená to pro vás „konec hry“. Mezi nejčastějšími běžnými taktikami, kteří hackeři používají k hacknutí vašeho hesla, přitom vévodí následujících osm praktik. Proto byste se jim měli bránit.

1. Slovníkový útok

Mezi zcela nejjednodušší taktiky pro získání hesla se řadí ten založený na tzv. slovníkovém útoku. Proč se mu říká právě takto? Protože automaticky zkouší každé slovo definované v „slovníku“ známých či nejpoužívanějších hesel, který je neustále vylepšován. Ve skutečnosti jde o malý soubor uložených kombinací hesel. Ano, mohou to být i již výše zmíněná hesla.

Vyšel seznam nejpoužívanějších hesel. Pokud tam najdete své, změňte ho

2. Hrubá síla

Další praktikou je útok hrubou silou, kdy útočník zkouší všechny možné kombinace znaků. Tedy písmen (malých i velkých), číslic i speciálních znaků. Samozřejmě se zaměřují na dnes již běžně vyžadované kombinace hesel, respektive náležitosti, kdy mají být hesla složena z určitého počtu znaků, obsahovat malá a velká písmena, čísla a znaky. I útok hrubou silou se nejprve zaměřuje na vyzkoušení nejčastěji používaných kombinací alfanumerických znaků. Patří mezi ně dříve uvedená hesla a také 1q2w3e4r5t, zxcvbnm, qwertzuiop atd. Zjištění hesla touto metodou je však časově velmi náročné. V řadě případů trvá velmi dlouho, a tím velmi dlouho máme na mysli měsíce či roky. Doba zcela záleží na složitosti hesla.

3. Phishing

Zatímco předchozí dvě metody nejsou založené na kooperaci s nějakým pomocníkem, tato na to jde jinak. Ve své podstatě nejde přímo o hack hesla, ale spíš způsob, jak ho vylákat přímo z osoby. Osoby, která ho zná a nevědomky v dobré víře vyzradí. Tato praktika začala rozesíláním různých e-mailů, které žádaly o sdělení přístupových údajů do bankovnictví, e-mailu apod. Následovaly sofistikovanější e-maily, které odkazovaly na web, který vypadal jako vaše banka, provozovatel e-mailu apod. Po zadání přístupových údajů putují přímo k útočníkovi a ten je potom použije v oficiálních webech. Metoda, které se říká phishing (a přestože je již hodně letitá), je stále jednou z nejoblíbenějších, jak zjistit něčí heslo. Stále se totiž najde někdo, kdo s ní ještě nepřišel do styku, nebo o ní neslyšel a tím pádem se nechá napálit. Když útočník rozešle stovky tisíc e-mailů, nějaké to promile jedinců, kteří naletí se najde, a to mu zcela postačuje. K tomu, aby vyvíjel tuto aktivitu.

Phishingový e-mail obecně funguje takto

  • Cílový uživatel obdrží podvržený e-mail, který předstírá, že pochází od velké organizace nebo firmy.
  • Falešný e-mail vyžaduje okamžitou pozornost a obsahuje odkaz na webovou stránku.
  • Tento odkaz se ve skutečnosti připojuje k falešnému přihlašovacímu webu, který je připraven tak, aby vypadal přesně stejně jako legitimní stránka.
  • Nic netušící cílový uživatel zadá své přihlašovací údaje a je buď přesměrován, nebo informován, aby to zkusil znovu.
  • Uživatelské přihlašovací údaje jsou odcizeny, prodány nebo zneužity.

Denní objem spamu odeslaného po celém světě zůstává vysoký a dosahuje více než poloviny všech celosvětově odeslaných e-mailů. Ještě v roce 2017 byla největším phishingovým lákadlem falešná faktura. V roce 2020 však pandemie Covid-19 dala vzniknout nové vlně škodlivých spamů a phishingových e-mailů na téma pandemie. Obrovské množství těchto e-mailů se veze na vlně oficiálních sdělení vlád nebo zdravotnických organizací a přistihne oběti nepřipravené.

4. Sociální inženýrství

Sociální inženýrství je další metodou, která funguje na velmi jednoduchém principu – důvěře. V podstatě jde o jiný druh phishing. Dejme tomu, že někdo zavolá do firmy, představí se, že je novým členem týmu technické podpory společnosti a potřebuje znát vaše přihlašovací heslo do nějakého konkrétního systému. Nic netušící jedinec tímto způsobem může vyzradit přihlašovací jména a hesla nejen k firemní IT infrastruktuře a systémům, ale také dokonce vlastní, třeba pro přístup do online bankovnictví. Děsivé přitom je, jak často to na oběti funguje.

Sociální inženýrství existuje po staletí. Získávání vstupu do nějakým způsobem zabezpečené oblasti je totiž běžný způsob útoku, před kterým se lze chránit pouze edukací a výchovou od mala. Cílem přitom nemusí být pouze heslo, ale třeba zmíněný podvodný technik přímo v kanceláři, který po vás bude vyžadovat abyste se před ním zalogovali do určitého systému. Při zadávání si zapamatuje heslo, a to mu stačí. Tato metoda je přitom v současné době z námi uvedených tou nejvíce fungující.

5. Duhová tabulka

V originále Rainbow table je obvykle forma offline útoku na heslo. Dejme tomu, že útočník například získá seznam uživatelských jmen a hesel, která jsou však nějakým způsobem šifrována. Zašifrované heslo je hashováno. To znamená, že vypadá úplně jinak než původní heslo (je skryto za smetí nesmyslných znaků – hash). Například heslo „123456“ (doufejme, že ho nepoužíváte) má MD5 hash „e10adc3949ba59abbe56e057f20f883e“. Jak vidíte, jde o matematickou funkci (resp. algoritmus) pro převod vstupních dat do jiného formátu.

Útočníkovi potom stačí vzít hesla v zašifrované podobě, a pokud zná hashovací algoritmus (v našem případě např. MD5 hash), tak je dešifruje. Proto kvalitní systémy používají vlastní hashovací algoritmy. I proto duhová tabulka obsahuje obrovskou sadu předem vypočítaných hash hodnot – specifických pro použitý algoritmus. Použití duhové tabulky drasticky zkracuje čas potřebný k prolomení zahashovaného hesla. Duhové tabulky – naplněné miliony potenciálních kombinací – je přitom možné běžně zakoupit na darknetu.

6. Malware a keylogger

Dalším jistým způsobem, jak uživatelé mohou snadno přijít o přihlašovací údaje, je napadení malwarem. Tento druh škodlivého počítačové kódu je všude a může způsobit obrovské škody. Navíc, pokud malware obsahuje keylogger, můžete dojít ke kompromitování všech vašich účtů. Alternativně by se malware mohl konkrétně zaměřit na soukromá data nebo zavést trojského koně, který útočníkovi dovolí počítač ovládat vzdáleně, díky čemuž snadno dojde ke krádeži přihlašovacích údajů.

7. Vyhledávací pavouk

Neboli spidering je metoda, která navazuje na slovníkový útok. Pokud se hacker zaměří na konkrétní instituci nebo firmu, může vyzkoušet řadu hesel souvisejících se samotnou firmou – útočník si o podniku nebo nějakém zaměstnanci zjistí maximu informací, přičemž mu pomáhá vyhledávač (vyhledávací pavouk, odtud označení spidering), který na internetu hledá požadovaná data. Ve své podstatě může být použít i běžný internetový vyhledávač (např. Google, Bing atd.), který prochází internet a indexuje obsah. Nalezené informace jsou následně využity v naději, že se najde shoda.

Závěrem

Jak je patrné, kromě toho, že byste měli používat opravdu silná hesla, nikomu je nesdělovat, tak si ještě musíte dávat pozor na různé podvodné metody. Zabránit hackerovi v ukradení hesla tak nemusí být zcela snadné. Nikdy tak neučiníte ze 100 procent. Nástroje a praktiky, které útočníci používají ke krádeži dat, se však neustále mění. Existuje přitom nespočet videí a návodů, jak uhodnout hesla nebo se naučit hacknout heslo. I proto firmy jako Apple, Google či Microsoft tlačí na to, aby se hesla stala minulostí. Než se to stane běžné, začněte, kde to jen lze, používat dvoufázovou autentifikaci.

Učiňte Google účet nedobytným, třeba i díky ověřování smartphonem

  • Nejčtenější

ANALÝZA: Poté, co neuspěl v té první, Putin chystá „Novou válku“

Premium Tváří v tvář dění posledních týdnů na ukrajinských frontách, vyhlásil Vladimir Putin částečnou mobilizaci. Jak...

Je redaktor užitečný idiot? Odpovídáme čtenáři rozčílenému elektromobily

Jen málokterá technologie polarizuje společnost tak jako elektromobilita. Někteří jí nekriticky fandí, jiní ji...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Nejjasnější pohled za 30 let. Webbův teleskop vyfotil prstence planety Neptun

Vesmírný teleskop Jamese Webba prokázal své další schopnosti. Americká vesmírná agentura NASA zveřejnila nové snímky...

Pozoruhodný projekt polského lehkého bitevníku Skorpion se neujal

V letech 1987 až 1995 se v Polsku pracovalo na projektu lehkého bitevního letounu PZL-230 Skorpion. Neortodoxní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

KVÍZ: Znáte historii československého letectva a jeho letadla?

Svého času se 17. září slavil Den československého letectva. Své znalosti z historie této složky československé armády...

Test kočičích kapsiček. I z krmiva za deset korun může zvíře dostat vše

Premium Kočky nám sice někdy připadají mlsné, ale ony jen v miskách hledají to, co jejich tělu prospívá nejvíc: maso plné...

Extra steh po porodu navíc? Rodičky děsí ponižující husband stitch

Premium Přivést dítě na svět znamená pro většinu žen prožít si mnoho vypjatých chvil. Vyrovnat se s průběhem porodu nemusí být...

Zesnulá královna bude i za stovky let vypadat jako živá, říká balzamovač

Premium Trvající pieta ve Velké Británii za zesnulou královnu Alžbětu II. a vystavení rakve vyvolává mimo jiné řadu otázek...

Nejznámější praktiky vedoucí ke krádeži hesel

Chcete zjistit něčí heslo? Opravdu? Potom byste měli zvážit své životní nastavení. Ale teď jinak. Místo zjišťování...

Když Windows nepracují správně, je čas využít pokročilé funkce

ASO, tři písmena, o kterých jste možná neslyšeli, a přesto v případě Windows znamenají hodně. Jde o nabídku pokročilých...

Při odstranění nápisu nebo vodoznaku z obrázku pomohou tyto služby

Vodoznak je užitečný mechanismus ochrany autorských práv. Ale také případný problém, pokud je součástí například...

Správci hesel mají spoustu úžasných funkcí, které možná nepoužíváte

Premium Správce hesel neslouží pouze k ukládání hesel. Umí je generovat na míru, poskytnout nouzový přístup či připojení...

Digitální závislost u dětí? Poradíme, jak je motivovat k pohybu
Digitální závislost u dětí? Poradíme, jak je motivovat k pohybu

V Česku proběhl rozsáhlý výzkum o digitální závislosti napříč populací. Jeho výsledky vás možná překvapí. Děti školou povinné totiž velkou část...

Jsem těhotná, potvrdila Agáta Hanychová. Čeká dítě Jaromíra Soukupa

Agáta Hanychová (37) je po čtyřměsíčním vztahu s podnikatelem Jaromírem Soukupem (53) podle informací bulváru těhotná....

Extra steh po porodu navíc? Rodičky děsí ponižující husband stitch

Premium Přivést dítě na svět znamená pro většinu žen prožít si mnoho vypjatých chvil. Vyrovnat se s průběhem porodu nemusí být...

Kvůli sousedům nemohu v bytě topit. Oni nemají problém, tak nic neřeší

Bydlím v bytovém domě, který spravuje společenství vlastníků. Letos jsem se přestěhovala z bytu číslo 9 do bytu číslo...

Český vynálezce samodofukovací pneumatiky vysoudil 1,6 miliardy

Firma Goodyear & Rubber musí českému vynálezci Františku Hrabalovi zaplatit 65 milionů dolarů (asi 1,6 miliardy korun)....

Rusové v panice skupují letenky za rekordní sumy. Zájem je o jednosměrné

Ruský prezident Vladimir Putin ve středečním projevu k národu vyhlásil částečnou mobilizaci. Začne platit okamžitě a...