VYSOCE DŮLEŽITÉ
Možná třeba?
Internetové bankovnictví
Profily na soc. sítích
(Pracovní) e-mail
Školní a pracovní informační systémy
SEBEOBRANA
Jak se nenechat ošálit v kyberprostoru?
O čem bude tato lekce?
Obelstít, zmanipulovat a podvést člověka je levnější, rychlejší a celkově výhodnější než se o totéž pokoušet u všelijak zabezpečených technologií. Tuto speciální oblast manipulace nazýváme sociální inženýrství.
V lekci dostanete šanci vyzkoušet si, zda rozeznáte manipulativní e-mail nebo podvodnou webovou stránku. Seznámíte se se vším, co vám pomůže nenechat se obelstít: s kontrolou adresního řádku, s bezpečností veřejných WiFi sítí i s bezpečnějším sdílením osobních údajů na internetu. Ani tentokrát četba lekce nezabere přes patnáct minut, využijte každou z nich k odpálkování pokoutných manipulátorů!
EXTRA 30 MIN
2 VÝZVy
1 návod
Odpovídáte IT pracovníkovi, když vám zavolá do kanceláře?
A je to určitě on? Specifickou oblast manipulace nazýváme sociální inženýrství. Zahrnuje řadu technik a metod, kterými útočníci podvedou člověka a donutí jej vykonat předem naplánovanou činnost (kliknout na odkaz, odpovědět na žádost o informace, provést platbu). Jejich pokusy bývají zákeřně nenápadné.
Na kancelářský telefon vám zavolá IT univerzitní pracovník: může se optat na konkrétní zařízení, upozornit vás na problém s neplatnou licencí a přitom se odkáže na kolegu (jméno najde snadno na internetu). Odpovědí útočníkovi nechtěně poskytnete byť drobnou informaci, střípek do mozaiky, kterou pečlivě sestavuje z vícera zdrojů. Manipulativní techniky se liší podle cíle, kterým může být cokoliv od nabourání se do firemní sítě nebo vykradení bankovního konta. Nejznámější technikou zůstává phishing, v češtině tzv. r(h)ybaření. Ročně řeší Masarykova univerzita deset phishingových kampaní, přičemž se nechá napálit nezanedbatelné množství uživatelů. Opravdu se to děje – věnujte proto extra pět minut průvodci phishingem, abyste se nechytili na příští háček.
V každodenní rychlé pracovní rutině nezbývá tolik času na kontrolu každého detailu v e-mailu nebo na webu. Bezpodmínečně a vždycky ale musíte prohlédnout adresní řádek.
Na falešné nebezpečné weby vás často dostanete právě kliknutí na odkaz v podvrženém e-mailu (podívejte se na průvodce phishingem), proto se vyplatí otevřít nové okno prohlížeče a webovou adresu si přepsat vlastnoručně. Každá byť drobná změna webové adresy indikuje podvržený web. Mezi typické příklady těchto změn patří nahradit tečku za pomlčku, respektive spojovník (www.is-muni.cz), vypustit hlásku (www.is.mni.cz) nebo třeba vyměnit podobná písmena (www.is.munl.cz). Před falešnými weby vás chrání také správce hesel. Pokud vám totiž nenabídne vyplnění přihlašovacích údajů, web očividně nepoznal a něco není v pořádku. Pamatujte, kontrola adresního řádku je základ.
Http, https a zelený zámeček?
V aktualizovaném prohlížeči už nenajdete rozlišení na http/https (hypertext transfer protocol/secure). Stejně tak postupně vymizí klasická ikonka (zeleného) zámečku a název certifikátu (například Masarykova univerzita [CZ]). To nás vrací k původní radě: vždycky si zkontrolujte podobu adresy v adresním řádku.
Kdo vás vidí na WiFi – a jak se skrýt?
Ne na každou WiFi je radno se bezmyšlenkovitě připojit, koneckonců, nikdy ani nevíte, zda se náhodou nepřihlašujete k podvržené WiFi (útočník snadno WiFi pojmenuje názvem kavárny, banky, dopravce atd.). WiFi bez hesla, ale i s heslem, skrývají velká bezpečnostní rizika pro vaše citlivé údaje. Dobrá zpráva je, že řešení je ultra jednoduché – jmenuje se VPN.
Všichni vidí, co děláte
Veřejné WiFi sítě bez hesla jsou opravdu nebezpečné. Dáváte data z provozu všanc komukoliv, kdo je také připojen (a je aspoň trošku šikovný). Vypněte proto funkci automatického připojování na dostupné WiFi bez hesla (automatické připojování je vhodné pro domácí či pracovní WiFi síť).
Správce vidí, co děláte
Veřejné WiFi sítě s heslem zaručují už bezpečnější práci – ostatní připojení nevidí, čím se zabýváte. Nezapomeňte ale, že správce k tomu stále přístup má. V současnosti se vás většina zařízení dokonce zeptá, zda WiFi síti důvěřujete a chcete se připojit k veřejné (nezabezpečené) síti.
Jste (takřka) neviditelní
VPN (virtual private network) je aplikace, která zajišťuje bezpečné připojení odkudkoliv. Vytvoří takový pomyslný tunel, ve kterém není vidět, co děláte. Proto byste ji měli používat na každém zařízení. Věřte, instalace je jednoduchá. Podrobnější informace o VPN najdete v páté lekci.
Co po vás zůstává na internetu za informace?
Na internetu za sebou zanecháváte informace různé delikátnosti a důležitosti – obsah e-mailových schránek, zveřejněné fotky, interní firemní soubory, cookies, historii vyhledávání atd. Čím více (soukromých) informací se dobrovolně vzdáváte, tím snáz mohou být zneužity proti vám (krádež identity, kyberšikana, cílení reklamy).
Abyste se z toho nezbláznili, naučte se přemýšlet, jaké informace po vás kde zůstávají a eliminujte je. Mezi obranné základy patří:
- nastavit si profil na sítích na soukromý (ani to nezaručuje stoprocentní ochranu),
- zkontrolovat seznam přátel (znáte je všechny?),
- nesdílet očividně zneužitelné informace (číslo občanky, termín dovolené: to je stejné, jako kdybyste zloději napsali SMS "Od 15. do 25. června můžeš!").
Obecně vzato byste si také měli pomyslně roztřídit zveřejňované informace, ale především účty podle jejich důležitosti. Účty si rozdělte do tří skříněk: červená je výborně zabezpečený trezor, do kterého patří účty se skutečným rizikem zneužití. Do žluté skříňky umístěte účty, které pro vás nejsou kriticky důležité, ale zároveň je nechcete nechat volně ležet v zelené otevřené skříňce. Zvažte vaše soukromé i pracovní či jiné účty, k nimž máte přístup. Jak se pustit do třídění? Odpovězte si na otázku: k jakým datům a informacím by se potenciální útočník dostal a co by to pro mne znamenalo?
TAK NĚJAK
Možná třeba?
Telefonní číslo
Adresa trvalého bydliště
NEDŮLEŽITÉ
Možná třeba?
E-mail s reklamními nabídkami
Pamatujte, že není důležité si pamatovat termíny jako phishing. A možná je celé téma sociálního inženýrství pro vás nepředstavitelné. Co si z lekce (a potažmo celého kurzu) odneste především, je vlastní obezřetnost a ostražitost. Sociální inženýři jsou značně kreativní a záludní. Ověřujte si požadavky (telefonní, e-mailové) a používejte bezpečné připojení (ideálně přes VPN).
Bonusy pro zvídavé uživatele
Koblihy pro FBI: kdo je pravděpodobně nejznámější sociální inženýr?
Kevin Mitnick patří mezi nejslavnější útočníky, kteří využívali techniky sociálního inženýrství. V průběhu 80. a 90. let se díky nápadité výmluvnosti dostal od odposlechu telefonních linek až do vládních systémů. Tři roky se skrýval před FBI a jelikož lidi a společnosti neokrádal, hackování pro něj byla výzva, nabyl popularity napříč společností. Kevin je autorem několika knih a nyní pracuje jako expert bezpečnosti firemních systémů. Přečtěte si o něm například zde (a dozvíte se o koblihách).
Phishing se týká i MUNI
Samozřejmě! Jen v roce 2019 se kyberbezpečnostní tým CSIRT-MU zabýval například vlnou vydíracích e-mailů, řešil falešnou výzvu k přihlašování do Microsoft Office, která byla přímo cílená na české univerzity, dále útočníci nabízeli prodloužení licencí. Došlo i k e-mailovým výzvám pro fakultní přihlašovací údaje. V roce 2018 útočníci vypustili falešnou kampaň, která dokonce nabádala pozornosti k phishingu.
Phishingová NEJ
Nejčastější typy phishingových zpráv bývají informace o neprovedení platby, výzva k aktualizaci bezpečnostních údajů nebo výzkum klientské spokojenosti. Nejtypičtěji útočníci cílí na emoce jako strach, důvěra, autorita. Více o phishingu najdete třeba na webu internetembezpecne.
MITM: nepěkná hrozba současnosti
MITM aneb Man in the Middle (muž uprostřed) je poměrně vychytralý způsob napadení zařízení. Představte si spojení: na jednom konci jste vy (vaše zařízení), na druhém aplikace, se kterou chcete komunikovat (internetové bankovnictví). Nepozorovaně se doprostřed dostává útočník – odtud název útoku – který začne měnit toky a hodnoty dat. U vyřizování online platby dokáže změnit částku i účet, na který ji pošlete. Náchylná pro MITM je veškerá nešifrovaná komunikace (adresy http, veřejné wifi – s heslem, i bez). Dobrá zpráva je, že nešifrované komunikace ubývá; prozatím se ale stále vyplatí používat zmiňované VPN.
Ramsomware: škodlivý kód šifrující data
Do zařízení se dostane třeba otevřením neznámé přílohy v e-mailu, k nakažení ale může dojít i přes jiný infikovaný stroj v síti (jako když si z čekárny od doktora, kam jste zaskočili jen na kontrolu, odnesete pořádnou chřipku). Zařízení nahlásí potřebu opravy a kontroly disku, jakmile ji potvrdíte, zašifrují se data a vyskočí požadavek na výkupné. Doporučíme jej neplatit a počítač (už při podezření) vytáhnout ze sítě, vypnout a zavolat odbornou IT pomoc. Z preventivních opatření zopakujeme: pravidelné aktualizace (hlavně antiviru) a zálohování dat.