Nebezpečný nákup přes internet
Češi neumějí chránit své internetové účty a nedodržují základní bezpečnostní pravidla. I to je důvod, proč jsou pro hackery poměrně snadným terčem. Podvody v digitálním prostoru jsou navíc den ode dne zákeřnější, mnohdy se tváří jako služba bankovních institucí nebo zpráva od správců Facebooku či jiných sociálních sítí. Jakých chyb se čeští uživatelé nejčastěji dopouští při ochraně svých internetových účtů a na co si dát největší pozor?
Česká republika byla v průzkumu společnosti Surfshark označena za 13. nejhorší zemi světa v počtu prolomených internetových účtů. Oproti minulému čtvrtletí se objem hackerských útoků a podvodů zvýšil dokonce o 135 procent. To znamená dva až čtyři prolomené účty za minutu.
„Tento velký nárůst zaznamenáváme hlavně ve formě cílených a sofistikovanějších útoků, tzv. spear phishingu. Stojí za tím větší návratnost investice pro útočníky, kteří cílí na citlivá data, peníze, ale také možnost využití dat pro vydírání či špionáž,“ řekl redakci CNN Prima NEWS Dominik Hádl, IT expert a ředitel pražské pobočky Monstarlab.
Právě krádež účtů formou phishingu patří k nejčastějším technikám podvodníků na internetu. Hned v závěsu se nachází „scamy“, které jsou populární především v oblasti kryptoměn. Na ty lze narazit i na inzertních bazarech, ať už ze strany prodávajícího, či kupujícího.
„Pod scamy si lze představit podvodný podomní prodej, šmejdy nebo pyramidové schéma. Akorát v on-line světě. Stále častějším útokem je i tzv. ransomware, což je vydírání pod výhružkou ztráty dat. To se ale týká převážně prospektivních firem nebo například státních institucí,“ pokračoval Hádl.
Útoky mohou mít různou formu, vždy si ale pohrávají s emocemi člověka, které experti tradičně považují jako nejslabší článek v zabezpečení. Typicky se jedná o zprávu oznamující nedoplatek na daních či pojištění. Podvody ale mohou na sebe vzít formu výhrůžky o zveřejnění (neexistujících) kompromitujících fotografií. Dále pracuje i s pocitem možné ztráty ve formě slibu rychlého výdělku či obdržení finanční výhry pod časovým tlakem. E-mail ale není jediný kanál, kde mohou lidé čelit kyberútokům. Časté jsou i SMS a hovory, třebaže podle jiných odborníků „už vyšly trošku z módy“.
[#varovani]❗Některým klientům se při vyhledávání našich stránek zobrazují podvodné odkazy. Jejich cílem je získat přístup k internetovému bankovnictví. Doporučujeme proto zadávat do adresního řádku prohlížeče rovnou https://t.co/Mru74M5sdJ nebo https://t.co/Tl8mSxZ1YT. pic.twitter.com/i5MrE8AN0G
— Komerčka (@komercka) August 12, 2022
„Útočník hledá slabiny, na jejichž základě staví útok. Dále získává například za pomoci sociálního inženýrství podrobnější informace. Ty může zpeněžit na černém trhu, nebo přikročí ke zneužití účtů a zacílí například ransomware útok, který lidem zašifruje data a za rozšifrování útočník požaduje výkupné,“ přiblížil problematiku Jan Zmítko, bezpečnostní konzultant ze společnosti Trask.
Ověřovat, prověřovat, nedůvěřovat
Čeští uživatelé se při ochraně svých účtů dopouštějí řady chyb. Tou nejčastější je přehnaná důvěra a neznalost rizik i internetového prostředí. „Většina lidí by nikomu ve fyzickém světě nedala kopii svého klíče od domu. Ale nechápou, že to samé často dělají na internetu,“ zmínil jeden z nejběžnějších přešlapů Hádl. Základem je tedy nepsat hesla ani údaje ke kreditní kartě na podezřelých webech.
Problém se ovšem ani zdaleka netýká jen Čechů – třebaže nedopadli ve světových bezpečnostních průzkumech příliš hvězdně – ale internetových uživatelů obecně. „Jednoznačné chyby jsou slabá a opakující se hesla napříč platformami, nedostatečné zabezpečení přístupových údajů, otevírání nedůvěryhodného webového obsahu, jako jsou různá vyskakovací okna nebo klikání na neověřené odkazy,“ doplnil do výčtu rizik Zmítko.
Více než kdy dříve proto platí, že je na místě důkladně kontrolovat e-mailové komunikace, především adresy odesílatelů. Podvodníci se totiž velmi často vydávají za známé společnosti a instituce, jako jsou banky, správci sociálních sítí či e-shopy. Často je odhalí formát či překlepy v e-mailové adrese. V momentě, kdy si například nejste jistí pravostí příchozí zprávy, není od věci si veškeré informace ověřit s danou firmou. Například banky pravidelně posílají svým klientům upozornění před různými internetovými podvody.
Velice užitečným bezpečnostním opatřením je dvoufázové ověřování. V praxi jde o proces, kdy je nutné po přihlášení na účet heslem ještě potvrdit pravost uživatele skrze kód ze SMS zprávy nebo e-mailu. Techničtí velikáni jako Google či Microsoft rovněž nabízejí mobilní aplikace, které po každém přihlášení na cizím stroji vygenerují na telefonu majitele účtu unikátní kód. Pokročilejší uživatelé mohou také sáhnout po virtuálních správcích hesel, díky kterému není problém pro každý účet použít jiné přihlašovací údaje.
Výuka internetové gramotnosti patří do škol
Internetová gramotnost není v případě ČR na té nejvyšší úrovni. Podle oslovených expertů na bezpečnost zaspaly i školní osnovy, které neupozorňují na rizika digitálního prostoru a neučí děti, jak si chránit své účty. Přitom společně se seniory patří k častým cílům podvodníků. Zahrnutí internetové gramotnosti by proto IT odborníci uvítali.
„Lidé by měli lépe chápat možnosti a zároveň i rizika, minimálně pak u rozšířených médiích. Uživatelé se musí naučit, jak rozpoznávat podvody a na co si dát pozor. To ostatně platí pro jakoukoliv jinou technologii,“ konstatoval Hádl.
Se zahrnutím internetové gramotnosti do školních osnov by souhlasil také Zmítko. „Jedná se o široké téma, kde je třeba vštípit uživatelům potřebu neustálého osobního vývoje nejen v oblasti technologií, ale právě i v přístupu k osobním údajům. Je na místě si uvědomit, že uživatel by neměl být jen slepým konzumentem služeb. Moderní technologie nás obklopují stále víc a s tím přibývají vektory útoku pro útočníky a jejich případné možnosti zneužití,“ vysvětlil svůj názor bezpečnostní konzultant.
Zde by svou roli měl ovšem sehrát i stát. Téma kyberbezpečnosti by měly instituce komunikovat nejen ve vlastních řadách, ale rovněž směrem ven k veřejnosti. „Umím si představit, že by pomohlo založit jedno informační centrum, které by mělo i vlastní telefonní linku. Na té by mohli občané získat pomoc či více informací,“ navrhl jako příklad ředitel pražského Monstarlabu.
Současné snahy ze strany státu totiž zdaleka nestačí k šíření bezpečnostní osvěty v digitálním prostoru. V této rovině je komerční sféra výrazně napřed. „Dle mého osobního názoru jsou vidět pokroky ve státní správě směrem kupředu, ale je třeba napnout síly k inteligentní digitalizaci a posunout veřejnou správu jednoznačně do 21. století. Na druhou stranu musím pochválit práci Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB, pozn. red.), která je příkladná,“ uzavřel Zmítko.