Bezpečný internet – jak se bránit útokům

Den bezpečnějšího internetu

Připomíná se druhé úterý v únoru už od roku 2004 a vyzývá všechny zúčastněné strany, aby se spojily a připomenuly všechny aktivity, které mohou pomoci udělat internet lepším a bezpečnějším místem. Koordinátorem tohoto dne pro Českou republiku je národní Safer Internet centrum, které spravuje sdružení CZ.NIC .

Do této akce se opětovně zapojujeme i my, společnost Q – COM, která je již více než 20 let předním českým poskytovatelem konzultačních, analytických a auditních služeb v oblasti řízení podniků a informačních technologií.

Díky internetu nemusíme vytáhnout paty z domu, pracujeme vzdáleně, nákupy obstaráme v e-shopech, s učiteli dětí se domluvíme mailem. Kamarády máme na dosah v sociálních sítích. Prostřednictvím internetu si zřídíme bankovní účet nebo založíme novou společnost , aniž bychom museli podstoupit jedinou návštěvu jakéhokoliv úřadu.

Chceme se bavit, nakupovat, vzdělávat? Možnosti jsou nepřeberné, rychle dostupné a velmi pohodlné. Natolik pohodlné, že zapomínáme na to nejdůležitější. Na bezpečnost. Zapomínáme, že internet je dobrý sluha, ale zlý pán. Zapomínáme, že jsou mezi námi kyberzločinci, kteří vymýšlí nové a novější možnosti (phishing, vishing, spoofing), jak z nás vylákat to, co potřebují – peníze, přístupové údaje, osobní údaje, data nebo informace.

Slyšeli jste o phishingu? Jde o podvodné jednání, kdy se zločinci snaží z oběti vylákat nejrůznější údaje – hesla, čísla platebních karet a jejich bezpečnostních kódů, přístupové údaje. Jsme přesvědčeni, že jste se i  vy někdy stali terčem takového útoku. Jen o tom třeba ani nevíte.

Označení vzniklo z anglického slova fishing, tedy rybaření. Útočníci zasílají velké množství podvodných zpráv a čekají, kdo se chytí. A on se vždy někdo chytí. V dnešní době jde o nejrozšířenější podobu počítačové kriminality na světě. U nás je phishing chápán jako trestný čin podvodu, kdy pachateli hrozí dva roky odnětí svobody.

Nejčastěji se jedná o podvodné e-maily. „Doplaťte poštovné, abychom vám mohli doručit balíček!“ Kliknete a zobrazí se stránka požadující údaje o vaší platební kartě. Jiný e-mail může obsahovat odkaz snažící se oběť přesměrovat na falešné stránky. Ty se budou tvářit jako web patřící vaší finanční instituci. Pokud požadované přístupové nebo platební údaje zadáte, mají útočníci vyhráno. Získali, co potřebovali.

Ale nemusí jít nutně o vás. Skutečným cílem útoku může být vaše společnost nebo zaměstnavatel. Útočník po vás může požadovat změnu přístupových údajů nebo pošle přílohu která se bude tvářit jako Word, Excel nebo PDF dokument. Ve skutečnosti se vám do pracovního zařízení po jejím otevření stáhne škodlivý kód, který pachateli otevře dveře do sítě organizace. Nebo se vám do počítače nainstaluje ransomware, který zašifruje soubory a chcete-li je zpátky, nezbývá než zaplatit výkupné (obvykle v bitcoinech) a doufat.

Phishing bývá často jednou ze součástí sofistikovaných útoků na společnost a je jen první branou k získání vašich údajů.

Phishing se však netýká jen e-mailů. Podvodníci používají i SMS zprávy nebo hovor automatu, který vás třeba bude varovat, že na vašem účtu byla zaznamenána podezřelá aktivita. Pokud zavoláte na poskytnuté číslo, dovoláte se přímo podvodníkovi, který z vás bude lákat přístupové údaje.

Útočníci mají mnohdy k dispozici celá call centra, která se budou tvářit jako vaše IT podpora, váš poštovní doručovatel nebo vaše banka. Věděli jste, že takové fiktivní call centrum se dá koupit jako ne moc drahá služba? Chceme volat někomu takto placenému? 

A co vishing? Říká vám to něco? Cílem je pořád to stejné – dostat z vás přístupové údaje, ideálně peníze, a to prostřednictvím hovoru. Útočník se často vydává za zástupce instituce (třeba banky) nebo společnosti (zprostředkovatel výhodného nákupu akcií, kryptoměny, čehokoliv jiného). Bude na vás tlačit, abyste sdělili číslo platební karty, platnost, bezpečnostní kód nebo abyste si do počítače nainstalovali program, který mu umožní vzdálený přístup.

Jedná se o užitečný program, kdy vám třeba IT oddělení nebo servisní podpora účetního softwaru či kdokoliv jiný, komu to dovolíte, dokáže vzdáleně na počítači zprovoznit to, co jste si pokazili. Jen koukáte na obrazovku, jak vám po ní jezdí myš, otevírají se okna a odklikávají tlačítka.

Útočník se vás bude snažit přimět k instalaci takového programu, abyste mu sdělili vygenerovaný kód, pod kterým se k vašemu zařízení dostane, pak vás nechá přihlásit se do elektronického bankovnictví a potom už jen sledujete jak rychlostí blesku zadává platební příkaz. 

Stejně tak není dobré slepě důvěřovat, když vám zavolá pan Novák, který se představí jako pracovník IT oddělení společnosti, ve které pracujete s tím, že je potřeba provést upgrade, ale protože je to jednoduché, zvládnete to společně vzdáleně. Přece kvůli tomu nebudete jezdit na centrálu!

Pamatujte, že pokud má útočník na mušce vaši společnost, není problém zjistit si předem co nejvíc informací a zaměřit se na nejslabší článek – na zaměstnance (na vás).

Znáte spoofing ? Útočníci často disponují informací o skutečné bankovní instituci, ve které má volaný svůj účet. Je pak pro ně velmi snadné napodobit jakékoliv telefonní číslo, třeba i infolinku banky (také emailovou adresu či identitu), aby byl jejich hovor věrohodnější.

Pozdě v noci vám volá někdo z banky a tvrdí, že z vašeho účtu právě odchází podezřelé platby zadané platební kartou. Aby ty platby mohl dotyčný zastavit, požaduje od vás pro ověření číslo platební karty, datum platnosti a bezpečnostní kód, který je na kartě uveden na druhé straně. Ale rychle, další platba odejde za dvě minuty, ať to stihneme zastavit!

Jak se bránit když metody útoku jsou čím dál sofistikovanější? V první řadě, je potřeba používat zdravý selský rozum.

Pracovník banky po vás nikdy nebude vyžadovat přístupové údaje, PIN, bezpečnostní prvky z platební karty či sdělení autorizačního kódu, který vám přišel prostřednictvím SMS. A to platí také o emailech, které vám banka pošle.

Při každém přístupu do elektronického bankovnictví nebo i jinam, kam zadáváte své přihlašovací údaje, kontrolujte, zda odpovídá doména přihlašovací stránky a jestli je připojení zabezpečené. Na začátku příkazového řádku, kam zadáváte internetovou adresu, by měl být zámeček, na který když kliknete, zobrazí se údaje o platnosti certifikátu.
 

Software, antivirový program a firewall pravidelně aktualizujte.

Používejte silná hesla. Ověřte si, zda vaše e-mailové adresy a hesla nejsou na seznamu uniklých přístupových údajů
HaveIBeenPWNed.com, který je neustále rozšiřován. I my jsme si tam našli naše e-mailové adresy a hesla, ale o tom jsme už psali Ukradená hesla – vaše možná také .  

Kontrolujte adresu odesílatele, zda je věrohodná. Společnosti používají v e-mailových adresách svou doménu a ne veřejně dostupnou jako gmail.com či zvláštně vypadající ninfan.pw. 

Může vás zarazit špatná čeština v textu e-mailu, i když překladače odvádí čím dál lepší práci, nebo podezřele výhodná nabídka, informace, že jste něco vyhráli atd. U takových zpráv neklikejte na odkazy ani neotevírejte podezřelé přílohy. 

Pokud se vás někdo snaží dostat do časového presu a vyžaduje vaši rychlou reakci, mělo by to být pro vás znamením, že něco není v pořádku. Neklikejte, nesdělujte!

Cizím osobám nepovolujte vzdálený přístup k vašemu zařízení. Nikdy! A pokud pan Novák tvrdí, že je z vašeho IT oddělení a vy ho neznáte, zajisté mu nebude vadit, když ho požádáte o jiný termín s tím, že potřebujete čas na ověření, zda u vás skutečně pracuje a je-li takový postup schválen. Naopak by vás měl pochválit za obezřetnost.

V rámci firmy se vyplatí investovat do IT školení. 

Vzdělávejme zaměstnance!
Vzdělávejme sami sebe!
Kdy jindy, když ne teď?

Jdete do toho s námi? 
Třeba prostřednictvím školení a kurzů, které připravujeme dle vašich požadavků. Jsme akreditovanou společností pro vzdělávání. Kurzy realizujeme online nebo prezenčně ve vaší organizaci (pokud to situace dovoluje). Zajišťují je naši lektoři s dlouholetou praxí v oboru. Nač jsou zaměřeny?

Q - COMObecné internetové bezpečnosti
Q - COMSprávy hesel
Q - COMCloudů a jejich bezpečnosti
Q - COMPhisingů, virů a kyberútoků
Q - COMOchrany osobních údajů
Q - COMeGovernmentu a datových schránek
Q - COMElektronického podpisu
Q - COMÚvodu do šifrování
Q - COMSociálních sítí

Již několikátým rokem zdarma zasíláme našim klientům, ale i zaregistrovaným odběratelům nepravidelné informační emaily týkající se problematiky informační bezpečnosti, GDPR či jiných zajímavostí z oblasti řízení podniků a informačních technologií.

I vy a vaši kolegové se můžete zaregistrovat k odběru a naše novinky využívat třeba pro školení svých zaměstnanců, jako to již činí mnozí jiní.

V minulosti jste si mohli přečíst:

Kolik zemí se zabývá ochranou osobních údajů? Proč je to důležité? Nač se používají peníze z pokut? Jak spolu souvisí GDPR, cookies a whistleblowing?

Proč zvýšení odolnosti měkkého cíle není primárně otázkou investic do technologií? Proč si Q – COM myslí, že jde jen o jiný pohled na bezpečnost organizace?

Co nás čeká dle chystaného zákona o ochraně oznamovatelů? Proč bychom měli zřídit vnitřní oznamovací systém? Kolik to bude stát, když se včas nepřipravíme?

Také na vás ze všech webů útočí cookie lišty? A proč bychom se jimi měli zabývat i my? Opt-out je pasé, získejte aktivní souhlas uživatele, nastala doba opt-in. 

Jak poskytovatelé nejrůznějších systémů hází svým uživatelům klacky pod nohy? A proč není dobré podmiňovat nákup SW úhradou licence za jednotlivého uživatele? 

Vybrané novinky zveřejňujeme také na našich sociálních sítích.

V rámci naší podpory při provozování již zavedeného systému řízení bezpečnost informací (ISMS), nebo při přípravě na audit ISMS či certifikaci GDPR (více na našich stránkách ), poskytujeme na poli informační bezpečnosti tyto služby:

Q - COMPraktické prověření zaměstnanců (sociální inženýrství) a rozbor závěrů.
Q - COMPraktická analýza bezpečnosti a prezentace výstupů.
Q - COMŠkolení informační bezpečnosti. 

Myslíte to s bezpečností vážně? Garantujte ji také svým zákazníkům – implementujte a certifikujte systém řízení bezpečnosti informací dle ISO 27001 (ISMS).

Nastal čas na změnu…
Využijte našich zkušeností v oblastech implementace systémů řízení, revizí systémů řízení, auditů a školení.