Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.
Nárůst kriminality v kyberprostoru je alarmující, říká pplk. Ondřej Kapr z Úřadu kriminální policie a vyšetřování
Jaké jsou aktuální nejčastější kybernetické podvody?
Obecně lze říci, že se setkáváme stále se stejnými typy útoků, ale tyto útoky jsou čím dále zákeřnější a jsou distribuovány v masovém měřítku a tím jsou úspěšnější. Bohužel je zde mnoho lidí, kteří jsou přesvědčeni, že podvod v kybernetickém prostoru okamžitě odhalí, jenomže už to není tak jednoduché, jako to bývávalo. Zapomeňte na to, že se budete řídit poučením o špatné češtině a chybějícím zámečku SSL certifikátu. Vzhledem k obrovskému nárůstu kriminality páchané v kyberprostoru se již nikdo nevyhne nutnosti sebevzdělávání a je potřeba dbát opatrnosti. Naletět může opravdu každý. Stačí, když Vás pachatel zastihne v určitém rozpoložení, nebo se jen trefí do správné situace a kontextu.
I tak jsou však v současnosti útoky, se kterými se setkáváme častěji. Některé přicházejí a odcházejí ve vlnách. Již delší dobu se potýkáme s Vishingem, neboli s podvodným navoláváním. Pachatel se může vydávat za bankéře, investičního poradce s nabídkou úžasné investice, nebo třeba pracovníka technické podpory. Buďto z vás chce pachatel peníze přímo vylákat, kdy často využívá psychologii zaměřenou na ziskuchtivost a strach před ztrátou hodnoty vašich finančních prostředků na běžném účtu. Nebo ve vás vyvolá strach o všechny vaše úspory a snaží se vás vmanipulovat do převodu na „bezpečný“ účet, či dokonce vložení peněz do vkladomatu na virtuální měny. Tyto útoky jsou často doprovázeny spoofingem, neboli napodobením prakticky jakéhokoliv tel. čísla. Často jde o tel. číslo infolinky banky, nebo dokonce i Policie ČR.
Velmi mnoho útoků je zaměřeno na vylákání vzdáleného přístupu do vašeho zařízení. Zde často upozorňujeme, aby přístup do svého zařízení lidé dávali pouze osobám, kterým zcela důvěřují. Pachatel si pak může s vaším zařízením dělat, co se mu zachce a často si pak sám převádí vaše peníze na nastrčené účty.
Policie stále upozorňuje inzerenty na inzertních portálech. Když od vás někdo něco kupuje, tak nepotřebuje kompletní údaje z Vaší platební karty, včetně sdělení pinu. Bohužel tento typ útoku je postaven na neznalosti lidí a na faktu, že se objevují stále nové a nové regulérní možnosti a lidé v tom ztrácejí přehled. Když od vás někdo něco kupuje, tak mu bohatě stačí číslo vašeho bankovního účtu.
Velké množství útoků je svázáno s náborem legalizátorů. Lidé si často ani neuvědomí, že reagují na inzerát s nabídkou práce, kde nejde o lehkou práci s kryptoměnami, ale jen o zneužití jejich bankovního účtu. Nikdy nepřistupte na přeposílání finančních prostředků přes váš bankovní účet. Za legalizaci výnosů z trestné činnosti hrozí až 5 let vězení a to v případě nedbalosti. Když to uděláte vědomě, tak vám hrozí odnětí svobody až na 10 let. Pachatelé se často v náborech zaměřují na ukrajinské uprchlíky, kdy zneužívají jejich neznalosti prostředí a faktu, že mohou hledat práci.
Bohužel se stále setkáváme s podvody typu tzv. Romance Scam a Nigerijské dopisy. Tyto podvody jsou založeny na zasílání nějaké cenné zásilky, která se někde po cestě zasekne a je na vás zaplatit první poplatek. Pak už pachatelé jen využívají principu tzv. utopených peněz. Když nepošlete další a další peníze, tak přijdete o vše. Jak se do toho ještě přimíchá láska, KTERÁ Vás zaslepí, tak už není prakticky cesty zpět a končí to nezřídka škodou v milionech korun. Nejedná se však o nic nového, ale o typ podvodů, který funguje již minimálně sto let. Jen se teď díky internetu šíří v masovém měřítku. Zapomeňte tedy na americké vojáky, dělníky na ropných věžích a pohádkové dědictví. Jinak přijdete o všechno.
Podle statistik za rok 2021 eviduje policie v oblasti kyberbezpečnosti přibližně 9.500 trestných činů, přičemž vyřešena byla asi ¼. Jakým směrem se vyvíjí časová řada počtu těchto útoků?
Nárůst detekované kriminality páchané v kyberprostoru je až alarmující. Například v polovině letošního roku jsme již překonali počet registrovaných trestných činů tohoto typu za celý rok 2020 a to víme prakticky jen o špičce ledovce, protože mnoho skutků pro nás zůstává latentních a dozvíme se prakticky jen o těch, kde již došlo k nějaké škodě, nebo ohrožení jiného zájmu. Takovýto nárůst je pro nás velkou výzvou hlavně v oblasti metodiky a prevence.
Dá se v přicházejících vlnách kybernetických podvodů sledovat pravidelný trend nebo sezónnost? Např. vysoký nárůst incidentů před Vánocemi?
Mění se spíše legenda zaměření podvodů, než že by rapidně narůstal jejich počet. Obměňují se hlavně právě legendy užívané pachateli. Samozřejmě před Vánocemi je to doručování balíčků a vše co s tím může souviset. Máte objednané větší množství dárků, a když vám přijde žádost o platbu nebo nedoplatek za doručení, tak to často lidé zaplatí. V únoru a březnu během daňového období zase přicházejí podvodné pokusy o platby na daně apod. Je to vždycky sezonní záležitost v návaznosti na tu danou situaci. I např. na nenadále situace jako válka na Ukrajině, kdy z počátku chodily podvodné žádosti o příspěvky na charitativní sbírky a do budoucna to budou jistě podvody s příspěvky na energie apod.
Jak z Vašeho pohledu vnímá rostoucí trend kybernetických hrozeb společnost?
Vzhledem k tomu, že většina podvodů páchaných v kyberprostoru cílí na fyzické osoby a vzhledem k tomu, že se jedná o latentní projevy kriminality, tak si myslím, že si společnost jen tak nevšimne narůstající tendence těchto podvodů. Nenastane situace jako například při sofistikovaném kyber útoku na Benešovskou nemocnici, kdy si společnost uvědomila, že se děje něco nebezpečného a je potřeba jednat. My jako policie ten nárůst však vnímáme. Snažíme se na nebezpečí upozorňovat v rámci tiskových zpráv a preventivních kampaní s dalšími subjekty, kterých se toto týká.
Co by tedy lidé měli a naopak neměli policii hlásit?
Kapacity policie nejsou zkrátka přizpůsobené k tomu, aby lidé hlásili naprosto každou věc typu spam nebo každý očividný phishing. Nejlepší je v takovém případě na takové pokusy nereagovat a ihned je mazat. Nejde totiž zpravidla o pokus o útok na jednoho člověka, ale přicházejí spíše ve vlnách a policie o nich většinou ví. Pokud tedy o sobě člověk nevyzradí žádné citlivé informace a nic se nestalo, není potřeba kontaktovat policii. Hlavní je si uvědomit, že je nesmírně důležité být nadále obezřetný. Hlásit policii je žádoucí veškeré podvody, které se dostaly do určitého pokročilého stádia, nebo zejména když už došlo ke škodě.
Určitě se do budoucna neobejdeme bez zavedení automatizovaného informačního systému, kam budou moci lidé i anonymně hlásit různé pokusy o podvody a osobní poznatky. Člověk si zde najde problém, který řeší, upozorní tím policii a zároveň dostane automatizované poučení, aby dokázal rychle zakročit. To znamená, když už vyzradil informace o své platební kartě. Okamžitě se obrátit na banku, zablokovat kartu, změnit heslo atd. Nám následně systém zprávu automaticky vyhodnotí a zařadí do dané kategorie. S jednotlivými kategoriemi už pak mohou dále pracovat specializované policejní složky. Takovýto systém nenahradí trestní oznámení, ale bude sloužit jen jako poznatek pro policie, že se něco takového děje.
Co např. chatboty nebo podobné nástroje?
Určitě to chceme nějakým způsobem automatizovat v co největší míře, protože samozřejmě my chápeme, že lidé chtějí tyto skutečnosti oznamovat. Policie se o tom chce dozvídat, ale na druhou stranu to musí fungovat udržitelným a efektivním způsobem.
Je pravda, že v principu vycházíme primárně z čísel, která vycházejí ze statistik o trestních oznámení. Proto se dozvídáme prakticky jenom o špičce ledovce, kde opravdu dojde ke škodě, nebo kde dojde k nějakému posunu do kritické fáze. Případy ve kterých došlo k intenzivnější škodě jsou zpravidla poměrně komplikované a jejich vyřešení vyžaduje značné úsilí. Proto potřebujeme automatizovaný nástroj, který by nám s administrací a vyhodnocováním oznámení pomohl.
Jak na nové trendy v oblasti kyberkriminality reaguje policie ve smyslu interního vzdělávání?
Vzhledem ke značnému přesunu kriminality do kyberprostoru je potřeba, aby i policie držela s tímto krok. Musíme si ale uvědomit, že prověřování a vyšetřování protiprávního jednání v kyberprostoru je výrazně náročnější na vědomosti a zkušenosti policistů a proto dobře víme, že je potřeba fundovaně policisty školit a předávat jim informace o aktuální situaci a hrozbách. Valnou většinu oznámení přijímají základní články policie, kde jsou policisté asi nejvíce univerzální a musejí znát od každého něco. I proto chceme pracovat na zefektivnění vzdělávání a předávání informací. Zjednodušení jejich práce vidíme ve vytvářených interních metodických webech. Školení policistů bude prospěšné nejen pro zkvalitnění výstupů jejich práce, ale zároveň to je i pro ně ochranou před útoky.
Fungují také ze strany policie preventivní aktivity zaměřené na veřejnost?
Prevence je pro nás velmi důležitá a nadále se jí chceme věnovat ještě ve větší míře. Z podstaty podvodů páchaných v kyberprostoru vyplývá, že vektorem útoku je právě člověk, který bývá i tím nejslabším článkem na kterého je potřeba se zaměřit a to právě prevencí. Každý člověk by měl znát minimálně základní pravidla, která ho mohou ochránit před značnou škodou. Již vím, že prevence musí být jasně srozumitelná a přehledná.
Na rizika spojená s kyberprostorem se snažíme upozorňovat. K prevenci jsou využívány zejména tiskové zprávy a preventivní kampaně, na kterých spolupracujeme například s Českou bankovní asociací. Právě s ČBA pracujeme na kybertestu, který bude prezentován po prázdninách. Kouzlo kybertestu je v tom, že každému ukáže, kde má mezery, na které je potřeba se cíleně zaměřit a dovzdělat se. V letošním roce by měl být test koncipován jako jakási hra, ale více nebudu prozrazovat. Spolupracujeme i s dalšími subjekty jako jsou jednotlivé banky, či mobilní operátoři.
Jak dostat informace např. mezi seniory, kteří nejsou tolik aktivní na internetu?
I senioři, kteří nemají internet, se mohou stát obětí kyber podvodů, protože jsou do těchto typů podvodů zahrnuty i telekomunikační nástroje, jako třeba mobilní telefon. Na seniory cílíme zejména srozumitelnou letákovou a plakátovou kampaní. Bohužel si pachatelé právě seniory často vybírají, jak své oběti a nezastaví se před jejich zranitelností. Často jsou na ně v současnosti zaměřovány telefonáty s legendou vnuk a nabídky různých exklusivních investičních nástrojů, které jsou dost často podvodné.
Dá se nějakým způsobem zobecnit kdo je typickým cílem podvodníků? Kolik let je např. v průměru osobám co nejčastěji naletí?
Je to různé. I to podle toho, jestli útoky jsou cílené nebo ne. Žádná skupina obyvatel není v bezpečí a to právě ani osoby, které nemají online bankovnictví, nebo děti. I děti mohou být okradeny v rámci mobilních plateb. Existují útoky zaměřené na konkrétní skupiny obyvatel. Jde například o celosvětově užívanou legendu Vnuk, kdy pachatelé navolávají seniorům a vydávají se za vnoučata, či osoby blízké vnoučatům a vyžadují peníze pod různými legendami. Možná jste takový podvod mohli vidět v seriálu Simpsonovi (33. série 1. díl) – nádherně vymyšlený díl zaměřený na to proč si dávat pozor. Dědovi podvodníci zavolali se zprávou, že Bart leží někde zraněný nebo zavřený a on musí zaplatit. Prarodič pod nátlakem a ve strachu o své vnouče samozřejmě často peníze někam pošle. Pak tady máme třeba rusky mluvícího falešného bankéře, který volá prakticky výhradně rusky hovořícím osobám na našem území. Nicméně cílem útočníků jsou často lidé v produktivním věku, kteří mají pravidelný příjem, a lze si na ně vzít např. před-schválený úvěr.
Útočníkům může být prakticky jedno, koho zrovna chtějí okrást. Důležité je pro ně však útočit na osoby, o kterých mají nějaké zdrojové informace. Čím více informací o vás útočník má, tím jste zranitelnější.
Je tedy pravda, že nejslabším článkem v kybernetické bezpečnosti je stále člověk, nikoliv technologie?
Největším problémem je, že si často lidé rizika vůbec nepřipouštějí. Říkají si, že jsou pro útočníky nezajímavý, že jim na účtu nezbývá tolik peněz atd. Neuvědomují si, že mají třeba v elektronickém bankovnictví před-schválené úvěry. Na druhou stranu. Člověk, který má na účtu více peněz je zranitelnější na sociální inženýrství, zejména při vyvolání strachu. Pod vlivem strachu mozek pracuje výrazně jinak. I proto je důležité znát techniky, které pachatel využívá. Namátkou jde o vyvolání strachu, časového nátlaku, zvědavosti, pocitu exklusivity, zdánlivého bezpečí vyvolaného autoritou a v neposlední řadě proti nám hraje ziskuchtivost, až hamižnost. Vždy existuje možnost nějakého ověření, a když to ověřit nejde, tak by se toho měl raději člověk zdržet, jinak vás to může přijít hodně draho.
Lidé si také často myslí, že oni samotní by se nikdy nachytat nenechali a že se nachytají pouze hlupáci a nevzdělanci. Stačí si přečíst komentáře u mediálních zpráv o obětech v kyberprostoru. Lidé už ale asi nevědí, že typů útoků je velké množství a to i z pohledu kvantity. Je to o statistické pravděpodobnosti. Když odešlete 100.000 podvodných zpráv, tak se vždy najde někdo, kdo je v takovém aktuálním rozpoložení a v neznalosti, že třeba čísla ze své karty do phishingového formuláře napíše a vůbec si neuvědomí rizika.
Když už se někdo stane obětí podvodu a dojde k větší finanční ztrátě, existuje šance na odškodnění?
Velmi malá. Ve většině případech si myslím že ne. Banky vědí v jaký moment své klienty proškolili nebo informovali o rizikách phishingu, vishingu atd. Jakmile je příčina chyby evidentně na straně klienta z důvodu jeho nepozornosti, banka není povinna provádět odškodnění. Muselo by se jednat skutečně o ojedinělý případ, např. kdyby vám někdo opravdu vzdáleně hacknul mobilní telefon nebo účet a došlo ke ztrátě bez vašeho přičinění. Mohlo by se pak jednat o systémovou chybu ze strany banky, nicméně většina těch útoků je založená na tom, že vás nějak pachatel přelstí.
Co byste na závěr doporučil čtenářům? Jak se pokusům o podvod vyvarovat?
Na prvním místě je třeba používat zdravý rozum a vždy se zamyslet. Klást si otázky. Je vůbec reálné, aby po mě někdo něco takového chtěl? Je to regulérní? Základem je také alespoň rámcově se orientovat v tom co se právě děje a co podvodníci zkouší. To znamená vědět, že existuje phisning, smishing, vishing atd. Když už se stanou terčem pokusu o podvod bez vážných následků, tak na něj dále nereagovat a být dál obezřetný. Pokud pak někdo reálně přijde o větší množství peněz, má zajímavý poznatek, nahrávku hovoru apod., tak neprodleně kontaktovat policii. Ideálně fyzicky na nejbližším pracovišti, mít vše připravené – zprávy, maily atd. Dávat si také pozor na investice a podobné finanční instrumenty, prověřovat instituce. Zkrátka se co nejlépe informovat a informace aktivně hledat, protože i recenze mohou být podvodné. I takové na první pohled zcela racionální chování by spoustu podvodů odvrátilo.
Každý občan by si měl opravdu uvědomit, že i on se může stát terčem útoku těchto kyber zločinců. Je to jen otázka času, kdy i na něj někdo zaútočí a pak už je to jen o jeho připravenosti a odolnosti proti principům sociálního inženýrství, které pachatelé zdatně ovládají. Ovládají ho proto, protože jedou na pokus a omyl a vždy se dokáží poučit. Například legenda falešného bankéře, který vám navolává a chce z vás vylákat peníze je již tak propracovaná, že nepoznáte rozdíl od regulérního hovoru z banky, avšak je potřeba uvědomit si, že banka nikdy takto nepostupuje. Je dobré vědět, že pachatelé toto provádějí a že existuje něco jako spoofing. To znamená vědět, že pachatel dokáže napodobit nejen jakoukoliv e-mailovou adresu, ale třeba i jakékoliv telefonní číslo.
Lidé se hlavně nesmí nechat ukonejšit faktem, že jim na účtu nezbývá moc peněz z výplaty a že jim teda nehrozí žádné riziko. Stačí, když se Vám pachatel dostane do vašeho bankovnictví a vezme si na vás předschválený úvěr. Pak splácíte statisíce, které si již užívá někdo jiný. A nepomůže vám ani to nejsilnější heslo na světě a dokonalá antivirová ochrana, protože pachatel nepřekonává zabezpečení systému, ale vás. To vy se necháte zmanipulovat a vše mu umožníte.
Michael Fanta, redakce Cyberblog
Na otázky odpovídal pplk. Ondřej Kapr z Úřadu služby kriminální policie a vyšetřování
Foto: Unsplash
Malware Anatsa pro Android se dočkal přes 150 000 stažení přes Google Play
Bankovní trojský kůň Anatsa se zaměřuje na uživatele v Evropě a infikuje zařízení se systémem Android prostřednictvím malwarových dropperů umístěných na Google Play.
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?
S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.
„AI přítelkyně” jsou noční můrou pro soukromí
Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.
4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA
Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.
Jak být anonymnější online
Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.
Nejhorší hacky roku 2023
Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.
0 Comments