7 tipov, ako sa chrániť pred phishingom

O tom, že phishingové nástrahy nehrozia len veľkým korporátom, sme písali už niekoľkokrát. Nachytať sa na ne, nieje až také ťažké. Aby ste sa chránili pred takýmito útokmi aj vy a vaši najbližší, prinášame niekoľko tipov, ktorých sa môžete vo svojom súkromí držať. Vďaka nim sľubujeme, že sa na žiaden phishingový háčik nechytíte, ale budete vo vodách kybernetického bezpečia plávať slobodne ako ryba vo vode. A navyše – s ochránenými dátami.

Obsah

  1. Rozpoznanie phishingového emailu
  2. Pokročilá ochrana od Google
  3. Compartmentalizacia
  4. Webové rozšírenia
  5. Passkey
  6. Bezpečnostný FIDO kľúč
  7. Dôležitosť aktualizácií 

1. Rozpoznanie phishingového emailu

1.1 Text

Obsah a text záleží od druhu phishingového emailu. Ak je phishinogvý email cielený na masu, obsahuje gramatické chyby, aby zachytil iba tých ľudí, ktorí sa dajú nachytať. Hacker nechce strácať čas s obeťou, ktorá vie útok rozpoznať. Na druhej strane -  ak je útok cielený, je gramaticky bezchybný. Hackeri sa v e-mailoch vydávajú za dôveryhodné inštitúcie ako je Slovenská pošta, Daňový úrad, Ministerstvo vnútra atď. a snaží sa vytvoriť urgenciu, napr. nedoplatok alebo ponúknuť dobrý “deal”.

ochrana pred phishingom

1.2 Podozrivé odkazy 

Ak prejdete myšou nad podozrivý link (neklikať), tak vľavo dole sa zobrazuje link na ktorý budete presmerovaný. Týmto dokážete zistiť, či link je podozrivý ešte pred tým, než na neho kliknete. 

Taktiež hackeri často využívajú prílohy s koncovkami pdf.exe alebo .rar dokumenty zašifrované v archíve, aby antivírus nezachytil malware. 

1.3 Odosielateľ 

Často je odosielaný z e-mailu, ktorý sa tvári podobne ako legitímny provider, napríklad grnail.com. Nie vždy je to však pravidlo.  Kvôli tzv. Unicode, vám môže prísť aj email, ktorý sa vyzerá rovnako ako oficiálny e-mail webu.

Unicode sú znaky, ktoré vyzerajú podobne ako naše písmo. Kliknite na:

https://www.аррӏе.com

,čo vyzerá ako oficiálna stránka Apple-u, ale ak kliknete zistíte, že to tak nie je. 

1.4 Zmyselnosť 

Položte si otázky: "Prečo mi prišiel daný email? Objednával som si niečo " Ak si nie ste istý, zavolajte na telefonickú linku danej inštitúcie, od ktorej e-mail dorazil, napr. Slovenská pošta a opýtajte sa, či je skutočne e-mail od nich, či je daný nedoplatok ozaj potrebné uhradiť alebo to, čo sa tvrdí v e-maile. 

TIP: Na webe je dostupný phishingový test, kde si môžete vyskúšať, ako viete rozoznať phishingový e-mail. 

Zaujímavosť: Dvojfaktorové overenie pomocou SMS/ TOTP kódov* nechaní pred phishingom. Cháni pred únikom databázy hesiel, brute force útokmi a zlepšuje celkové zabezpečenie. Kódy majú časovú platnosť a hacker ich v prípade cieleného phishingu vie použiť.

*TOTP kód je kód generovaný aplikáciou napr. Google Authenticator: google authentifikátor

2. Pokročilá ochrana od Google

Zapnutím pokročilej ochrany bude váš Google účet zabezpečený na maximálnu ochranu. Ide o bezplatnú ochranu pre tých, ktorí sú najviac zraniteľní. Patria tu politici, aktivisti a biznismeni, ale aj mnoho iných, ktorým záleží na bezpečnosti a ochrane. Okrem Gmailu pokročilá ochrana zabraňuje hackerom aj k neoprávnenému prístupu do Google Disku, kalendára, ku kontaktom, polohe a iným, viac informácií

2.1 Aktivácia pokročilej ochrany

Na aktiváciu pokročilej ochrany je potrebných pár FIDO bezpečnostných kľúčov. Prečo sa to vyžaduje? Posledné výskumy od Google ukazujú, že bezpečnostné FIDO kľúče sú najúčinnejšou bežnou metódou proti hackerom.

TIP: Ako hlavný bezpečnostný kľúč odporúčame model s NFC, napríklad K9P. S K9P sa budete prihlasovať pravidelne a vďaka NFC ho viete využiť aj s mobilnými zariadeniami. Ako záložný kľúč môžete použiť cenovo dostupný A4B, s ktorým sa prihlásite v prípade, ak stratíte hlavný bezpečnostný FIDO kľúč.

2.2 Mobilný telefón ako bezpečnostný kľúč

Možnosťou je použiť aj mobilný telefón ako bezpečnostný kľúč. Touto možnosťou však aktuálne neviete aktivovať pokročilú ochranu od Google. Tú je možné aktivovať len párom FIDO bezpečnostných kľúčov a následne dokážete telefón použiť ako tretie, záložné riešenie.

Použitie telefónu ako bezpečnostného kľúča je potrebné zvážiť, keďže telefóny sú určené na komunikáciu a nie na bezpečnosť. 

Problémom u mobilných telefónov sú najmä zraniteľnosti, ktoré môže útočník využiť. Aktualizácie mobilných zariadení slúžia ako záplaty na takéto zraniteľné miesta. Odporúčame používať telefóny od Google Pixel alebo Apple iPhone. Tie poskytujú bezpečnostné aktualizácie až na niekoľko rokov.

Pre bezplatné tipy nás sleduj na Instagrame alebo Linkedine

sledovat

3. Compartmentalizácia

Compartmentalizácia, alebo tzv. rozškatuľkovanie, je bezpečnostná stratégia, pri ktorej na prístup do IS alebo webového účtu potrebujeme viacero na sebe nezávislých zariadení (škatuľky). 

Čo to znamená v praxi? Prestavte si používateľa, ktorý má všetko uložené v Keychain (vstávaný správca hesiel pre produkty Apple). Ak mu niekto hackne Apple účet,  dostane sa k heslám, TOTP kódom (TOTP kód je 6 ciferný kód) a súkromným kľúčom od Passkey. Prečo? Pretože nie sú rozškatuľkované. Tým sa hacker vie jednoducho prihlásiť do akejkoľvek služby a obísť tak dvojfaktorové overenie, keďže má prístup aj ku TOTP kódom a súkromným kľúčom Passkey. 

Ak by mal používateľ rozškatuľkované svoje heslá napríklad do správcu hesiel Bitwarden (prvá škatuľka) a následne bezpečnostného FIDO kľúča (druhá škatuľka), hacker sa ďaleko sa nedostane. Aj keď sa mu podarí hacknúť Apple účet, zistí, že heslá tam nie sú a posnaží sa hacknúť Bitwarden. Ak sa mu aj to podarí, musí vám ukradnúť fyzický FIDO kľúč, ktorý je častokrát chránený PINom alebo odtlačkom prsta ako BioPassFIDO kľúč totiž funguje offline a súkromný kľúč je uložený bezpečne v Secure Elemente, ktorý je stavaný na rôzne útoky. 

Zaujímavosť: TOTP kód sa väčšinou generuje na základe algoritmu: hashu x aktuálny čas a dátum. Daný hash je uložený vo vašom telefóne a na serveri služby, kde sa prihlasujete. Ak hacker útočí, snaží sa získať hash, nie aktuálne kódy. Pre predstavu ako vyzerá hash: VN6EB3QIDN64TJ4JG4YA3MWSUQYFRXAK. Medzi najznámejšie TOTP aplikácie patrí: Google Authenticator a Authy. 

ochrana pred phishingom

4. Webové rozšírenia

4.1 HTTPS everywhere

Ide o rozšírenie pre webový prehliadač, ktoré automatický prepína tisíce webov z nezabezpečeného „http“ na zabezpečený „https“. Vďaka tomu bude komunikácia bude vždy šifrovaná a ochráni vás pred mnohými formami phishingu a MITM útokov.

4.2 Edge Aplication Guard

Pri vyššej verzii Windows 10/11 Professional je možné použiť aplikáciu Edge Application Guard od Microsoftu. Tá vám umožňuje prezerať web alebo spúšťať aplikácie v bezpečnom virtuálnom prostredí, ktoré je úplne izolované od zvyšku počítačového systému. Táto funkcia sa vám bude hodiť, pokiaľ chcete spúšťať podozrivé alebo nedôveryhodné internetové odkazy. Po zatvorení okna Application Guard, bude všetko bezpečne vymazané.

4.3 Bitwarden

Bitwarden je E2E**, open source a auditovaný správca hesiel. Uchováva a vypĺňa heslá automaticky podľa URL vo webovom prehliadači. Ak ide o podvodnú phishingovú URL, Bitwarden nevyplní žiadne prihlasovacie údaje, čím vás chráni.

Okrem toho správca hesiel Bitwarden umožňuje mať silné a unikátne heslá pre každú službu, ktorú využívate. Vďaka tomu si nemusíte pamätať každé heslo, ale len jedno- a to do Bitwardenu. Je kompatibilný s iOS, Androidom, Windowsom, MacOS a inými operačnými systémami. Odporúčame si pozrieť 5 tipov ako vytvoriť silné heslo

Výhodou je najmä to, že v premium verzii je možné použiť na prihlásenie bezpečnostné FIDO kľúče ako dvojfaktorové overenie. Tie využívajú asymetrickú kryptografiu, vďaka ktorej eliminujete phishing, brute force a MITM útoky. Platená verzia stoji 10 $ na rok, čo je oproti ostatným správcom hesiel niekoľkonásobne lacnejšie.

TIP: V prípade webového rozšírenia Bitwarden – viete ho odomykať pomocou PIN, pri ktorom stačí kombinácia 4 čísel a ste v databáze. Brute force (útok silou) v tomto prípade nehrozí. Pokiaľ niekto zadá PIN trikrát po sebe zle, Bitwarden žiada opäť heslo. Je to jednoduché, rýchle a bezpečné riešenie.

**End-to-end (E2E) šifrovanie zaručuje, že k údajom nemá prístup ani poskytovateľ služby.

5. Passkey

Koncom roka sa Google, Microsoft a Apple zaviazali, že zlepšia dostupnosť prihlasovania bez hesla tzv. Passkey. To znamená, že v blízkej budúcnosti už nebudete musieť zadávať žiadne heslo, len oskenujete QR kód (vygenerovaný vo vašom PC) fotoaparátom od telefónu a ste prihlásený. Je to bezpečné? Áno, pretože za tým všetkým je asymetrická kryptografia. Tá zvyšuje zabezpečenie a eliminuje phishing. Problémom je len, že súkromné kľúče sú uložené v iCloude a ľahko kopírovateľné. 

5.1 Čo je to asymetrická kryptografia? 

Je to vytvorený unikátny pár kľúčov - jeden je súkromný a druhý je verejný. Pre lepšiu predstavu, verejný kľuč je ako zámok a súkromný je ako kľúč na otvorenie toho zámku. Kombináciou týchto kľúčov získate prístup do služby. 

Verejný kľúč je uložený na serveri a je iný pre každú službu. Slúži len na overenie podpisu súkromným kľúčom. Ak ho hacker získa, nič sa nedeje (získa zámok, nie kľúč). Súkromný kľúč je uložený v zariadení a je potrebný na podpisovanie vygenerovanej challange. Nikdy neopúšťa zariadenie, keďže to, čo opúšťa zariadenie je podpísaná challange. 

FIDO U2F FIDO2 security key keeprivacy.sk_1

Prihlásenie pomocou asymetrickej kryptografie (Passkey, FIDO bezpečnostný kľúč) prebieha v 4 krokoch: 

  1. Server, napr. Gmail vyšle challange (náhodne generované číslo) a app ID (čo je URL adresa servera, v našom prípade gmail.com).
  2. To prechádza do webového prehliadača, kde sa pridá origin (čo je aktuálna URL adresa, ktorá je zobrazená v prehliadači). Ak by to bolo grnail.com, autentifikácia zlyhá.
  3. Potom challange (náhodne generované číslo) ide na podpis a užívateľ pomocou súkromného kľúča akciu podpíše.
  4. Tak to putuje na server Gmailu, kde sa overuje, či app ID a origin sú rovnaké. Ak áno, overuje sa podpis pomocou verejného kľúča. Ak je všetko v poriadku, autentifikácia je úspešná.

5.2 Výhody Passkey

  • Bezplatné riešenie dostupné pre všetkých
  • Je bezpečnejšie než bežné dvojfaktorové overenie pomocou SMS alebo Google Authentificator
  • Chráni účinne pred phishingom

5.3 Nevýhody Passkey

  • Súkromné kľúče sa nachádzajú v telefóne a sú ľahko obnoviteľné na inom zariadení
  • Nie vždy prihlásenie funguje (nestabilita) 
  • Zraniteľnosti Bluetooth
  • Synchronizovanie cez iCloud
  • Je ich ľahko naklonovať 

6. Bezpečnostný FIDO kľúč

FIDO bezpečnostný kľúč je malé USB zariadenie, ktoré využíva princípy asymetrickej kryptografie. Dokáže rozpoznať a zabrániť cieleným útokom do vašich webových účtov. Pomocou FIDO kľúča sa prihlásite do webových služieb ako je Gmail, Facebook, Yahoo, Twitter, Dropbox, Microsoft a mnoho iných. Medzi najznámejšie patrí: 

Podpora sluzieb-min keeprivacy

Group 296

Tu treba spomenúť, že nie všetky webové služby podporujú FIDO bezpečnostné kľúče. To by sa malo zmeniť tento rok implementáciou Passkey. Celkový zoznam služieb nájdete na webe: katalóg (zvoľte protokol FIDO U2F a FIDO2). 

Zaujímavosť: Bezpečnostná štúdia od Google skúmala metódy prihlásenia a ich účinnosť ochrany pred cielenými útokmi.

  • FIDO bezpečnostné kľúče poskytujú 100 % ochranu pred cielenými útokmi
  • Push notifikácie 90 % pred cielenými útokmi
  • Overenie pomocou SMS 76 % pred cielenými útokmi

6.1 Výhody FIDO bezpečnostného kľúča oproti Passkey:

  • Odolnosť (IP67)
  • Životnosť viac ako 10 rokov
  • Ochrana pred klonovaním
  • Na uloženie súkromného kľúča využíva Secure element. Čip, ktorý je stavaný na rôzne formy hackerských, ale aj fyzických útokov
  • Funguje offline bez pripojenia na Wi-Fi
  • PIV, TOTP, HOTP a OpenPGP funkcie u vyšších verzií

6.2 Nevýhody FIDO bezpečnostného kľúča oproti Passkey:

  • Počiatočná investícia

7. Dôležitosť aktualizácií 

Veľa ľudí má spojené aktualizácie len s pridávaním nových funkcií alebo krajšej grafiky operačného systému. Tu si treba uvedomiť, že tieto aktualizácie obsahujú často aj bezpečnostné záplaty

Ak vás hacker chce hacknúť, nájde si verziu vášho operačného systému a zistí, aké zraniteľnosti sú dostupné. Ak nemáte aktualizovaný systém, hacker tieto zraniteľnosti vie využiť a dostať sa tak do vášho zariadenia. 

Ako to súvisí s phishingom? Tento blog je predovšetkým o tipoch, ako sa chrániť, jednotlivé útoky a techniky by sme mohli spracovať v samostatnom článku. Jednou z techník, ktoré útočník vie využiť, je však napríklad Pharming, keď malware zmení DNS, čím sa vami zadané linky do webového prehliadača zmenia na zobrazené phishingové verzie.  Inač povedané ak zadáte google.sk do prehliadača, tak budete presmerovaný na phishingovú URL bez toho aby ste si to všimli. 

Pravidelné aktualizácie a vstavaný antivírus Defender vám poskytne vysokú ochranu. Na Githube nájdete bezplatný nástroj na bezpečnejšiu konfiguráciu Defendera. ConfigureDegender vám pomôže nastaviť antivírus na vyššiu úroveň ochrany, čím sa zlepší celkové zabezpečenie PC. Možnosťou je zvážiť aj bezplatnú inštaláciu Malwarebytes  Windows Firewall Control na správu firewallu alebo TinyWall