5 způsobů jak hackeři nejčastěji kradou hesla (a jak jim předejít)

by | Led 26, 2022 | Bezpečná domácnost, Bezpečná firma, Cyber wiki, Nejnovější | 0 comments

Hesla mohou být často achillovou patou digitální bezpečnosti mnoha lidí. Řada z nás má přitom desítky účtů s různými kombinacemi hesel (v tom lepším případě, v tom horším máme všude heslo stejné). Do budoucna se zároveň bude počet uživatelských účtů na narůstajícím počtu platforem i nadále zvyšovat. Jaké jsou aktuálně nejčastější techniky, které útočníci pro prolomení hesel využívají?

Někteří z nás mají uživatelských účtu hromady – Netflix, HBO, Uber, sociální sítě, elektronické bankovnictví, herní konzole, internetové televize, fóra, zpravodajské weby, emaily, online tržiště a spousty dalších. Není proto divu, že lidé často pohříchu používají slabá hesla či je opakují, čímž ohrožují bezpečnost svého zabezpečení. Vzhledem k tomu, že heslo je často jedinou překážkou mezi hackery a Vašimi osobními či finančními údaji, podvodníci se na jejich prolomení zaměřují naprosto nejčastěji.

Jak může hacker hesla zneužít?

Heslo je vstupní branou do Vašeho digitálního světa – umožňuje přístup k uživatelským účtům a nebo např. k datům uložených na cloudu. Prolomením hesla útočník může například:

  • ukrást Vaši virtuální identitu a vydávat se za Vás, případně ji také nabídnout k prodeji;
  • změnit Vám hesla, takže už se ke svým účtům nedostanete;
  • vykrást zůstatky nebo cenné informace;
  • prodat přístup k Vašim údajům;
  • prodat balíček všech účtů se stejným heslem na dark webu (existuje mnoho portálů speciálně zaměřených na nákup a prodej ukradených účtů);
  • a nebo Vás také zkrátka řádně “vytrollit” a zaspamovat účty na sociálních sítích (což mimochodem řada útočníků dělá čistě pro zábavu).
Jakým způsobem hackeři hesla získávají?
1) Phishing a sociální inženýrství

Dávejte pozor na podezřelé phishingové emaily nebo podezřelé telefonáty (viz např. článek Zásilkovna upozorňuje na phishingové praktiky nebo 7 nových praktik social engineeringu).

Je důležité mít na paměti, že tyto podvodné maily už dávno nemusejí nutně obsahovat gramatické chyby nebo zřejmé hlouposti a nepřesnosti. Tato technika se za uplynulých pár let neuvěřitelně posunula a umí vypadat věrohodně. Pokud si nejste jistí, zda phishingový mail rozpoznáte na první dobrou, zkuste své znalosti otestovat např. pomocí Kybertestu.

2) Malware

Malware (neboli škodlivý kód) ve Vašem zařízení může být důsledek nedostatečné obezřetnosti. Dostane se k Vám právě např. kliknutím na odkaz ve phishingovém mailu nebo naskenováním podvodného QR kódu. A když už se ve Vašem počítači, mobilu či tabletu usadí, umí napáchat citelné škody. Včetně krádeže přihlašovacích údajů.

3) Brute forcing

Průměrný počet hesel, která musí běžný člověk spravovat, se v roce 2020 meziročně zvýšil o 25 %. Mnozí z nás proto používají snadno zapamatovatelná (a proto také jednodušeji napadnutelná) hesla a opakovaně je používají na více účtech. Takové jednání otevírá dveře tzv. technice brute force (neboli hrubá síla – použití generátoru kombinací znaků k prolomení hesla).

Jedním z nejběžnějších nástrojů je credential stuffing, při kterém útočníci vkládají do automatizovaného softwaru velké množství dříve prolomených kombinací uživatelských jmen a hesel. Nástroj následně zkouší přihlašovací údaje na různých platformách s cílem najít shodu. Tímto způsobem mohou hackeři odemknout několik vašich účtů pomocí jediného hesla. Podle jednoho z odhadů bylo v loňském roce celosvětově zaznamenáno 193 miliard takových pokusů. Jednou z největších obětí tohoto podvodu se nedávno stala např. kanadská vláda.

Další technikou hrubé síly je password spraying. Při něm hackeři pomocí automatizovaného softwaru vyzkouší k přihlášení do Vašeho účtu seznam běžně používaných hesel .

4) Guesswork

Přestože útočníci mají k dispozici širokou paletu automatizovaných nástrojů, v některých případech je vlastně ani nepotřebují. Na rozdíl od systematičtějšího přístupu používaného při útocích hrubou silou může stačit i pouhý odhad. Nejčastějším heslem roku 2020 bylo “123456”, následované “123456789”. Na čtvrtém místě se umístilo heslo “password”.

5) Shoulder surfing

Všechny výše uvedené způsoby získaní hesla jsou virtuální. Riziko představují ale i některé běžné osvědčené techniky – odposlouchávání, opisování, špehování nebo koukání přes rameno (shoulder surfing). Jak jednoduché je tímto způsobem hacknout např. někoho účet na Snapchatu ukazuje Jake Moore ze společnosti ESET v tomto videu.

Hi-tech verze shoulder surfingu je známá jako “man-in-the-middle”. Útok nabourání se do Wi-Fi, může umožnit hackerům na veřejných Wi-Fi “odposlouchat” vaše heslo, když ho zadáváte, zatímco jste připojeni ke stejnému rozbočovači. Obě techniky jsou známé již několik let a přesto představují stále silnější hrozbu.

Jak se chránit?

O tématice zabezpeční hesel Vás CyberBlog informoval již v několika článcích (Desatero kybernetické bezpečnosti, 5 pravidel heslové politiky, měnit heslo pravidelně je zbytečné). Existuje ale i řada dalších opatření:

  • používejte pouze silná a jedinečná hesla nebo přístupové fráze ke všem online účtům, zejména bankovním, e-mailovým a účtům na sociálních sítích;
  • vyhněte se opakovanému používání přihlašovacích údajů k více účtům;
  • nastavte dvoufaktorové ověřování (2FA) na všech svých účtech;
  • používejte správce hesel pro úschovu a generování hesel;
  • pokud zjistíte, že mohlo dojít k narušení vašich dat, okamžitě si změňte všechna hesla;
  • pro přihlašování používejte pouze weby s protokolem HTTPS;
  • neklikejte na odkazy ani neotvírejte přílohy v nevyžádaných e-mailech;
  • stahujte aplikace pouze z oficiálních tržišť s aplikacemi;
  • investujte do bezpečnostního softwaru;
  • ujistěte se, že všechny operační systémy a aplikace jsou aktualizované;
  • nikdy se raději nepřihlašujte na důležité uživatelské účty, pokud jste zrovna na veřejné síti Wi-Fi (a pokud opravdu musíte, použijte raději pro přihlášení VPN – virtuální privátní síť, která chrání vaše údaje a soukromí vytvoření šifrovaného tunelu čímž skryje Vaši IP adresu).

Ale hlavně, čtěte Cyberblog!

Autor: Michael Fanta / Ondřej Vanáč

Zdroj: WeLiveSecurity

Foto: Pixabay

0 Comments
Submit a Comment
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.