Přejít k obsahu | Přejít k hlavnímu menu

Připojování na veřejné Wi-Fi sítě – hrozba nebo strašení?

Bez VPN se nepřipojujte k žádné veřejné Wi-Fi! Vyhýbejte se provádění bankovních transakcí na veřejných sítích – zejména na letištích! Útočník vám může odcizit přihlašovací údaje nebo sledovat vaši komunikaci! Opravdu je to tak?

13. 10. 2017 Dávid Magušin

S těmito hrozbami (nebo strašením?) jste se už určitě setkali v desítkách článků, které každoročně kolují internetem před dovolenkovou sezónou. Je to ale opravdu tak, že pokud útočník vytvoří falešnou Wi-Fi, vidí všechno, co na internetu děláte, a dokáže dokonce ukrást vaše bankovní nebo přihlašovací údaje? Právě o tom je tento článek, kde si vše uvedeme na pravou míru. Postupně si rozebereme tři nejčastější mýty spojené s připojováním na veřejné Wi-Fi a ukážeme vám, jaká je realita. A jako bonus jsme pro vás v praxi otestovali, co může útočník vidět, když vytvoří falešnou Wi-Fi síť a vy se připojíte.

Mýtus 1

Na veřejné Wi-Fi vidí útočník všechno, co děláte.

Realita: Pokud jste na legitimní stránce (např. https://www.google.com), která používá protokol HTTPS (poznáte to podle „https://“ v adrese a zámku vedle ní), vaše komunikace se serverem je šifrovaná – to znamená, že útočník nevidí obsah stránky, texty, hesla ani údaje, které zadáváte. Přesto ale může vidět některé informace „zvenčí“, jako například:

  • na jakou doménu se připojujete (např. google.com),
  • kdy a jak často, - kolik dat posíláte a přijímáte,
  • nebo technické informace o vašem zařízení (IP a MAC adresu zařízení).

Naopak nemůže vidět:

  • obsah navštívené stránky (texty, obrázky, formuláře),
  • hesla a osobní údaje z formulářů,
  • zprávy, přihlašovací tokeny apod.

Shrnutí: Pokud navštěvujete legitimní stránku s HTTPS vaše komunikace je šifrovaná, takže útočník nevidí obsah stránky, vaše hesla ani osobní údaje, které zadáváte. Přesto může sledovat některé informace, jako je webová stránka, kterou navštěvujete, a některé technické detaily o vašem zařízení, například IP adresu a v některých případech i MAC adresu. Moderní zařízení přitom často mění svou MAC adresu při připojování na různé Wi-Fi sítě, aby bylo těžší sledovat uživatele.

Mýtus 2

Nikdy nevykonávejte finanční transakce přes veřejnou Wi-Fi – útočník vás může snadno přesměrovat na svou podvodnou stránku.

Realita: Za prvé, většina lidí provádí bankovní transakce přes oficiální aplikaci banky. Bankovní aplikace jsou navrženy tak, aby byly bezpečné i při používání na nezabezpečených veřejných sítích, například na Wi-Fi v kavárně nebo na letišti. Používají silné šifrování, které chrání vaše data během přenosu, a často mají další bezpečnostní vrstvy, jako je ověřování uživatele a kontrola certifikátů. To však platí pouze v případě, že používáte oficiální bankovní aplikaci staženou z důvěryhodného zdroje (Google Play, App Store) a že máte své zařízení pravidelně aktualizované — aktualizace totiž často opravují bezpečnostní chyby.

Za druhé, téměř totéž platí i v případě, že přistupujete ke svému internetovému bankovnictví přes webový prohlížeč nebo navštěvujete jakýkoli jiný web s HTTPS. Možná jste slyšeli o situaci, kdy vás útočník na veřejné Wi-Fi může přesměrovat na falešnou webovou stránku, i když zadáte správnou adresu. Jak to může vypadat v praxi? Podívejte se na následující příklad.

Příklad

Představte si, že jste připojeni na útočníkovu Wi-Fi, otevřete prohlížeč a zadáte csob.cz. Útočník se vás pak může pokusit poslat na stránku cs0b.cz (místo písmena „o“ je nula). Pokud ale web používá HTTPS, váš prohlížeč dokáže zkontrolovat, jestli certifikát, který stránka předkládá, patří právě té doméně, kterou jste chtěli navštívit. Pokud se certifikát neshoduje s adresou stránky, prohlížeč vás upozorní varováním, například „Vaše připojení není soukromé“ nebo „Certifikát neodpovídá doméně“. Toto varování neignorujte a v žádném případě neklikejte na možnost „Pokračovat na web cs0b.cz“. Ocitli byste se na phishingové stránce. Také se ihned odpojte z Wi-Fi sítě, protože se jedná o síť ovládanou útočníkem, který se snaží zachytit nebo manipulovat s vaším připojením.

Jiná situace nastává, pokud zadáte špatnou adresu sami nebo kliknete na odkaz v podvodném e-mailu či SMS – například na již zmíněnou cs0b.cz místo csob.cz. Tato doména může být zaregistrovaná útočníkem, může mít platný HTTPS certifikát a vizuálně napodobovat originál. V takovém případě vás prohlížeč nevaruje – protože technicky je vše v pořádku, jen jste na špatné stránce.

Shrnutí: Pokud používáte internetové bankovnictví přes webový prohlížeč a navštěvujete stránky zabezpečené HTTPS (což platí pro drtivou většinu webů, které běžně používáte), prohlížeč vás chrání před přesměrováním na falešné servery tím, že při problémech s certifikátem zobrazí varování. Největší riziko však hrozí v okamžiku, kdy uživatel sám navštíví falešnou adresu – například kliknutím na phishingový odkaz v e-mailu nebo SMS, nebo když se dostane na web bez zabezpečení HTTPS (tedy pouze HTTP). Proto je vždy důležité důkladně kontrolovat celou adresu v prohlížeči, nejen ikonku zámku. Více o tom, jak se chránit před phishingovými útoky, se dozvíte v našem kurzu Kyberkompas v modulu Phishing.

Mýtus 3

VPN je jediná ochrana na veřejné Wi-Fi.

Realita: VPN je velmi užitečný nástroj, ale není jediným způsobem, jak se chránit. Šifruje veškerý datový provoz mezi vaším zařízením a VPN serverem, takže útočník na stejné Wi-Fi nevidí obsah komunikace, ani metadata – jako například jaký web navštěvujete, kdy, a kolik dat přenášíte. To výrazně zvyšuje bezpečnost, zejména na nezabezpečených veřejných sítích.

Díky VPN se také chráníte proti útokům na DNS (např. DNS spoofing). Místo toho, aby váš telefon nebo počítač posílal dotazy na webové adresy přes místní síť, kterou může útočník ovládat, posílá je přes VPN server přes zabezpečené spojení. Tím znemožníte útočníkovi, aby vás přesměroval na falešnou stránku změnou DNS odpovědi.

Ale i bez VPN se můžete chránit:

  • Používáním HTTPS webů, které šifrují komunikaci mezi vámi a serverem – útočník tak nevidí, co na stránce děláte ani co zadáváte (pozor – to platí pouze u legitimních stránek; podvodná stránka může mít také HTTPS a platný certifikát, jak uvádíme u Mýtu 2).
  • Pravidelnými aktualizacemi operačního systému, prohlížeče a aplikací, které opravují bezpečnostní chyby zneužitelné útočníky.
  • Obezřetností – dávejte si pozor, kam klikáte, a vždy si kontrolujte adresní řádek v prohlížeči (např. že jste opravdu na „com“, a ne na „facepook.com“).
  • Používáním oficiálních aplikací – například bankovní aplikace jsou navržené tak, aby fungovaly bezpečně i bez VPN.
  • A pokud byste chtěli VPN využívat, Masarykova univerzita ji nabízí studentům i zaměstnancům zdarma. Nastavit si ji můžete jednoduše podle návodu zde: https://it.muni.cz/sluzby/eduvpn

Shrnutí: VPN je silný bezpečnostní nástroj, zejména na veřejných Wi-Fi sítích, protože šifruje veškerou komunikaci a chrání vás například před útoky na DNS. Ale ani VPN vás neochrání před podvodnými stránkami, pokud například kliknete na phishingový odkaz z e-mailu nebo SMS.

 

Slovo závěrem

Veřejné Wi-Fi sítě samy o sobě nejsou automaticky nebezpečné, ale riziko vzrůstá, pokud ignorujete důležitá varování v prohlížeči nebo nevěnujete pozornost bezpečnostním signálům. Mnoho varování, která kolem veřejných Wi-Fi sítí kolují, vychází z reálných možností útoků — ale často jsou prezentována přehnaně. Dnešní moderní zařízení, aplikace i webové prohlížeče mají celou řadu bezpečnostních ochran: šifrování přes HTTPS, certifikáty, firewally, automatické aktualizace apod. I bankovní aplikace jsou navržené tak, aby bezpečně fungovaly i na nezabezpečených sítích. VPN je výborný doplněk ochrany, ale není všemocná — ani ta vás neochrání před vaší vlastní nepozorností (phishingem). Pokud vás zajímá více z kyberbezpečnosti, projděte si některý z našich kurzů nebo mrkněte na další zajímavé články.

Bonus pro zvědavé: rozdíl mezi HTTP a HTTPS

V rámci experimentu jsme si založili vlastní Wi-Fi síť a připojili se k ní. Zároveň jsme si vytvořili webovou stránku s registračním formulářem – nejdříve bez certifikátu (tedy přes HTTP), a později jsme na stránku nainstalovali certifikát, takže fungovala přes HTTPS. Pomocí programu pro monitorování a analýzu síťového provozu jsme sledovali data, která mezi naším zařízením a internetem putovala.

HTTP

Pohled uživatele
Předchozí Následující
Pohled správce (útočníka)
Předchozí Následující

HTTPS

Pohled uživatele
Předchozí Následující
Pohled správce (útočníka)
Předchozí Následující

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info