5 způsobů jak hackeři nejčastěji kradou hesla (a jak jim předejít)

Někteří z nás mají uživatelských účtu hromady – Netflix, HBO, Uber, sociální sítě, elektronické bankovnictví, herní konzole, internetové televize, fóra, zpravodajské weby, emaily, online tržiště a spousty dalších. Není proto divu, že lidé často pohříchu používají slabá hesla či je opakují, čímž ohrožují bezpečnost svého zabezpečení. Vzhledem k tomu, že heslo je často jedinou překážkou mezi hackery a Vašimi osobními či finančními údaji, podvodníci se na jejich prolomení zaměřují naprosto nejčastěji.

Jak může hacker hesla zneužít?

Heslo je vstupní branou do Vašeho digitálního světa – umožňuje přístup k uživatelským účtům a nebo např. k datům uložených na cloudu. Prolomením hesla útočník může například:

• ukrást Vaši virtuální identitu a vydávat se za Vás, případně ji také nabídnout k prodeji;
• změnit Vám hesla, takže už se ke svým účtům nedostanete;
• vykrást zůstatky nebo cenné informace;
• prodat přístup k Vašim údajům;
• prodat balíček všech účtů se stejným heslem na dark webu (existuje mnoho portálů speciálně zaměřených na nákup a prodej ukradených účtů);
• a nebo Vás také zkrátka řádně “vytrollit” a zaspamovat účty na sociálních sítích (což mimochodem řada útočníků dělá čistě pro zábavu).

Jakým způsobem hackeři hesla získávají?

1) Phishing a sociální inženýrství

Dávejte pozor na podezřelé phishingové emaily nebo podezřelé telefonáty (viz např. článek Zásilkovna upozorňuje na phishingové praktiky nebo 7 nových praktik social engineeringu).

Je důležité mít na paměti, že tyto podvodné maily už dávno nemusejí nutně obsahovat gramatické chyby nebo zřejmé hlouposti a nepřesnosti. Tato technika se za uplynulých pár let neuvěřitelně posunula a umí vypadat věrohodně. Pokud si nejste jistí, zda phishingový mail rozpoznáte na první dobrou, zkuste své znalosti otestovat např. pomocí Kybertestu.

2) Malware

Malware (neboli škodlivý kód) ve Vašem zařízení může být důsledek nedostatečné obezřetnosti. Dostane se k Vám právě např. kliknutím na odkaz ve phishingovém mailu nebo naskenováním podvodného QR kódu. A když už se ve Vašem počítači, mobilu či tabletu usadí, umí napáchat citelné škody. Včetně krádeže přihlašovacích údajů.

3) Brute forcing

Průměrný počet hesel, která musí běžný člověk spravovat, se v roce 2020 meziročně zvýšil o 25 %. Mnozí z nás proto používají snadno zapamatovatelná (a proto také jednodušeji napadnutelná) hesla a opakovaně je používají na více účtech. Takové jednání otevírá dveře tzv. technice brute force (neboli hrubá síla – použití generátoru kombinací znaků k prolomení hesla).

Jedním z nejběžnějších nástrojů je credential stuffing, při kterém útočníci vkládají do automatizovaného softwaru velké množství dříve prolomených kombinací uživatelských jmen a hesel. Nástroj následně zkouší přihlašovací údaje na různých platformách s cílem najít shodu. Tímto způsobem mohou hackeři odemknout několik vašich účtů pomocí jediného hesla. Podle jednoho z odhadů bylo v loňském roce celosvětově zaznamenáno 193 miliard takových pokusů. Jednou z největších obětí tohoto podvodu se nedávno stala např. kanadská vláda.

Další technikou hrubé síly je password spraying. Při něm hackeři pomocí automatizovaného softwaru vyzkouší k přihlášení do Vašeho účtu seznam běžně používaných hesel .

4) Guesswork

Přestože útočníci mají k dispozici širokou paletu automatizovaných nástrojů, v některých případech je vlastně ani nepotřebují. Na rozdíl od systematičtějšího přístupu používaného při útocích hrubou silou může stačit i pouhý odhad. Nejčastějším heslem roku 2020 bylo “123456”, následované “123456789”. Na čtvrtém místě se umístilo heslo “password”.

5) Shoulder surfing

Všechny výše uvedené způsoby získaní hesla jsou virtuální. Riziko představují ale i některé běžné osvědčené techniky – odposlouchávání, opisování, špehování nebo koukání přes rameno (shoulder surfing). Jak jednoduché je tímto způsobem hacknout např. někoho účet na Snapchatu ukazuje Jake Moore ze společnosti ESET v tomto videu.

Hi-tech verze shoulder surfingu je známá jako “man-in-the-middle”. Útok nabourání se do Wi-Fi, může umožnit hackerům na veřejných Wi-Fi “odposlouchat” vaše heslo, když ho zadáváte, zatímco jste připojeni ke stejnému rozbočovači. Obě techniky jsou známé již několik let a přesto představují stále silnější hrozbu.

Jak se chránit?

O tématice zabezpeční hesel Vás CyberBlog informoval již v několika článcích (Desatero kybernetické bezpečnosti, 5 pravidel heslové politiky, měnit heslo pravidelně je zbytečné). Existuje ale i řada dalších opatření:

• používejte pouze silná a jedinečná hesla nebo přístupové fráze ke všem online účtům, zejména bankovním, e-mailovým a účtům na sociálních sítích;
• vyhněte se opakovanému používání přihlašovacích údajů k více účtům;
• nastavte dvoufaktorové ověřování (2FA) na všech svých účtech;
• používejte správce hesel pro úschovu a generování hesel;
• pokud zjistíte, že mohlo dojít k narušení vašich dat, okamžitě si změňte všechna hesla;
• pro přihlašování používejte pouze weby s protokolem HTTPS;
• neklikejte na odkazy ani neotvírejte přílohy v nevyžádaných e-mailech;
• stahujte aplikace pouze z oficiálních tržišť s aplikacemi;
• investujte do bezpečnostního softwaru;
• ujistěte se, že všechny operační systémy a aplikace jsou aktualizované;
• nikdy se raději nepřihlašujte na důležité uživatelské účty, pokud jste zrovna na veřejné síti Wi-Fi (a pokud opravdu musíte, použijte raději pro přihlášení VPN – virtuální privátní síť, která chrání vaše údaje a soukromí vytvoření šifrovaného tunelu čímž skryje Vaši IP adresu).

Ale hlavně, čtěte Cyberblog!

Autor: Michael Fanta / Ondřej Vanáč

Zdroj: WeLiveSecurity

Foto: Pixabay