Ako ochrániť svoje účty pred phishingom a keyloggermi?

Obrovský technologický pokrok nám pomáha uľahčovať si život v mnohých oblastiach. Veľkým negatívom takého rýchleho pokroku je nárast cyberhrozieb, ktoré nás ohrozujú čím ďalej, tým viac.  

Dnes už neplatí, že antivírusový program vás o chráni pred všetkými digitálnymi hrozbami. Medzi najrýchlejšie rastúce hrozby v digitálnom svete, kde antivírusy zlyhávajú, je najmä phishing a keyloggery. Posledné štúdie poukazujú na nárast phishingu od začiatku roku 2020 o 350 %. Okrem firemných zákazníkov sa hackeri zameriavajú už aj na bežných užívateľov a majiteľov kryptomien. 

Nádejou je vznik nových spôsobov, ako sa chrániť voči týmto hrozbám. Medzi ne patrí najmä dvojfaktorové overenie, ktoré zlepšuje zabezpečenie, ale zlyháva pri ochrane pred phishingom

Jediným overeným spôsobom ochrany ostávajú hardvérové bezpečnostné kľúče FIDO2 a FIDO U2F (security key). To potvrdzuje aj správa Googlu, ktorý zaviedol v roku 2017 povinné používanie týchto kľúčov pre viac ako 85 000 zamestnancov a odvtedy nezaznamenali ani jeden úspešný phishingový útok.  V tomto blogu sa dozviete:

  1.  Čo je to phishing ?
  2.  Čo je to keylogger ?
  3.  Prečo silné heslo dnes už nestačí?
  4.  Prečo dvojstupňové overenie nechráni ?
  5.  Ako sa chrániť pred phishingom a keyloggermi?

 

Phishing account-cuate

Čo je to phishing a prečo je taký nebezpečný?

Phishing je jedným zo spôsobov útoku, pri ktorom sa hacker snaží získať vaše prihlasovacie údaje (meno a heslo). Útočník Vám zašle falošný odkaz prostredníctvom emailu, SMS správou alebo iným oznámením (push notifikáciou). Tento odkaz pripomína dôveryhodnú službu, ako napríklad prihlásenie do Facebooku, Google účtu alebo banky, a je veľmi ťažké ho rozoznať od pravého. Po kliknutí na tento odkaz a vyplnení údajov (bez ohľadu na to, ako bezpečné bolo vaše pôvodné heslo), útočník získa prístup k účtu, ktorý dokáže zneužiť a vydierať vás. Najnovšie prieskumy poukazujú na to, že: 

  • od začiatku roka 2020 phishingové útoky narástli o 350 %
  • 90 % ľudí má problémy s rozpoznaním phishingového mailu,
  • 30 % všetkých phishingových mailov, ktoré sú odoslané hackermi, je aj otvorených a ľudia na ne aktívne klikajú, 
  • 93 % všetkých cyberútokov z rokov 2019 – 2020 priamo alebo nepriamo súviselo s phishingom, 
  • 66 % všetkých inštalácií malwaru v roku 2020 bolo výsledkom phishingových e-mailov s podozrivými linkami, ktoré boli rozoslané zamestnancom. 

Problém, ktorý nastáva je, že phishingové útoky sú čím ďalej, tým sofistikovanejšie a je ich o to ťažšie odhaliť. Namiesto lámaného jazyka a zlej grafiky (čo boli v minulosti ukazovatele toho, že niečo nie je v poriadku), hackeri využívajú služby profesionálnych prekladateľov a grafikov. Preto rozdiel medzi napr. phishingovou stránkou Facebooku a jeho oficiálnou stránkou je na nerozpoznanie.

Nárastom phishingových útokov sa zvýšila aj sofistikovanosť, kde bežný antivírusový software nestačí. Antivírus reaguje na hrozby, ktoré už rozpoznal, ak daný link bol nahlásený ako phishing. Vytvára si potom určitú databázu nebezpečných linkov. Tieto linky sú zverejnené napríklad tu. Ak je daný link v antivírusovej databáze, stránku zablokuje. Pokiaľ nie je, antivírus vás neochráni. 

Aké druhy phisingových útokov poznáme?

Poznáme základných 5 druhov phishingu. 

  • Email phishing

Väčšina phishingových útokov sa deje prostredníctvom mailov. Podvodník si zaregistruje falošnú doménu, ktorá vyzerá ako skutočná, a zašle tisícky všeobecných žiadostí. Táto falošná doména často zahŕňa zámenu znakov, napríklad namiesto písmena „m“ použije hacker kombináciu „rn“, ktoré vyzerajú podobne. 

Ďalšou z vecí, ktoré sa často stávajú je, že názov organizácie je v prvej časti mailovej adresy, napríklad paypal@hocičo.com v nádeji, že práve PayPal sa zobrazí ako odosielateľ mailu. 

Existuje mnoho spôsobov, ako odhaliť phishingové maily, ale všeobecným a základným pravidlom je vždy si skontrolovať odosielateľa, ktorý vás žiada o kliknutie na nejaký link alebo stiahnutie prílohy. 

  • Spear phishing

Existujú však aj viac sofistikované druhy e-mailového phishingu. Spear phishing sa používa na označenie škodlivých mailov, ktoré sú odoslané konkrétnym adresátom (obchodný partner, nadriadený v práci). Kriminálnici, ktorí stoja za týmto druhom phishingu, zväčša o svojich obetiach už majú isté informácie, najčastejšie: 

  • meno
  • názov zamestnávateľa
  • pozíciu, na ktorej pracujú
  • špecifické informácie ohľadom náplne práce

Jedným z najznámejších únikov informácií v nedávnej minulosti bol hackerský útok na Democratic National Committee, a stal sa práve vďaka spear phishingu. Počas prvej úspešnej vlny útoku bolo odoslaných viac než 1 000 e-mailov so škodlivými prílohami, kde sa podarilo získať prístupové heslá a preniknúť do účtov. Tento druh phishingu je ťažko detektovateľný pre antivírusový software.  

  • Whaling

Útoky whalingu sú ešte konkrétnejšie cielené, než predchádzajúce dva spôsoby a zameriavajú sa primárne na vyšší management. Aj keď je cieľ whalingu v podstate rovnaký, ako pri každom phishingovom útoku, táto technika je omnoho menej nápadná. Triky ako falošné linky či škodlivé URL sú bezpredmetné, keďže útočníci sa snažia napodobniť seniorných zamestnancov. Tieto podvody zvyčajne používajú ako lákadlo falošné platenie daní, keďže práve tu sa dá získať mnoho informácií, ako mená, adresy a údaje o bankových účtoch.

  • Smishing a vishing

Pri smishingu a vishingu je hlavným komunikačným kanálom telefón (namiesto e-mailu). Pri smishingu útočníci používajú SMS správy, pri vishingu zasa telefonické hovory, pričom obsahovo sú veľmi podobné e-mailovému phishingu. 

Najčastejším scenárom je predstieranie, že volajúci útočník je pracovník banky a snaží sa varovať adresáta pred narušenou bezpečnosťou v jeho účte. Následne volajúci získa citlivé údaje, alebo požiada o transfer zostatku na účte na nový „bezpečný“ účet, ktorý často práve patrí útočníkovi. 

  • Angler phishing

Relatívne nový druh útokov cez sociálne siete, ktoré poskytujú širokú škálu možností:

  • falošné URL, 
  • fake e-maily,
  • webové stránky, 
  • posty, 
  • Tweety,
  • súkromné správy na týchto sieťach, 

aby z obetí získali citlivé informácie. Okrem toho, útočníci môžu využiť aj údaje, ktoré o sebe obete zdieľajú na sociálnych sieťach dobrovoľne a verejne. 

V roku 2016 mnoho používateľov Facebooku obdržalo správu, že ich ktosi spomenul v príspevku. To ich presmerovalo na stránku, kde sa automaticky spustilo sťahovanie malwaru alebo nebezpečného rozšírenia do ich prehliadača. Akonáhle sa obeť prihlásila, kontrolu nad týmto účtom získal útočník, čím nadobudol prístup k osobným údajom a mnohým ďalším informáciám. 

Čo je to keylogger a prečo antivírus zlyháva ?

Keylogger môže byť škodlivý softvér, ktorý je nainštalovaný do PC užívateľa a zaznamenáva každé stlačenie klávesnice. Taktiež to môže byť hardvérové zariadenie, ktoré sa pripojí ku klávesnici a nie je rozpoznateľné pomocou antivírusu. 

Toto externé zariadenie ma vnútornú pamäť a je pripojené pomocou Wi-Fi, kde útočník dokáže ľahko získať meno a heslo používateľa. Jedným zo spôsobov, ako sa pred týmito útokmi chrániť, je dvojfaktorové overenie, a to najmä pomocou kľúča FIDO2 alebo FIDO U2F (tkz. security key).

Prečo silné heslo dnes už nestačí?

Medzi najpoužívanejšie heslá v roku 2018 patrí 123456, druhé najpoužívanejšie password. Prieskumy poukázali na dôležitosť osvety a vytvorenia silného hesla, čo naozaj viedlo k tvorbe silných hesiel, ale kvôli komplikovanosti ho užívatelia používali na prihlasovanie do všetkých služieb. 

Problém nastal, ak aspoň jedná služba mala nedostatočné zabezpečenie. Došlo tak k úniku používateľských dát a hesiel a hacker sa dokázal dostať do všetkých služieb užívateľa.

Veľkým pozitívnym krokom bolo používanie password manageru ako Lastpass, Bitwarden, Keepass, čo poskytlo možnosť mať silné špecifické heslo pre každú službu. Bohužiaľ, nová doba prináša nové hrozby a dnes, keď všetci riešia silu hesla, sú tým najväčším problémom sofistikované phishingové útoky, kde silné heslo a ani dvojfaktorové overenie nestačí.

Medzi ďalšie známe spôsoby, ako môže heslo uniknúť, je:

  • Únik hesiel od poskytovateľa webovej služby, napr. prednedávnom, ako informuje portál ZDnet, bolo hacknutých 23 600 databáz.  
  • Man-in-the-middle je útok, kedy útočník vstupuje do komunikácie medzi užívateľom a serverom.
  • Malware. Do webových služieb sa prihlasujeme pomocou PC alebo mobilu, ktoré sú náchylné na malware, keylogger, spyware. 

Jediný účinný a overený spôsob ochrany je používanie hardvérových kľúčov FIDO2 alebo FIDO U2F (security key). 

Prečo dvojstupňové overenie nechráni pred phishingom?

Dvojstupňové overenie neslúži ako ochrana pred phishingom, ale ako dodatočný faktor na overenie. To znamená, že ak sa niekto dostane k menu a heslu od webovej služby, potrebuje SMS kód alebo OTP (one time password) kód, ktorý je generovaný z aplikácie, napr. Google authentificator. 

Tieto kódy majú časovú platnosť. Väčšinou je to 30 sekúnd, do ktorých musí byť použité. V prípade phishingu, kde sa hacker tvári ako webová služba, vy zadáte meno, heslo a OTP kód a hacker ho použije na prihlásenie do webovej služby, čím získa prístup do vášho účtu.

phishing keeprivacy.sk 

FIDO kľúč ako ohrana pred phishingom

Čo je to FIDO2 a FIDO U2F ?

Je to USB kľúč, ktorý obsahuje secure element (bezpečnostný čip). Secure element si predstavte ako super bezpečný čip, na ktorom sa nachádzajú bezpečnostné kľúče (public key a private key), ktoré sú potrebné na prihlásenie sa do webovej služby, napr.  Facebook, Gmail, Binance atď. 

Výhodou je, že tento čip (secure element) je stavaný proti rôznym formám hackerských útokov a to vrátane fyzických útokov na hardware kľúča ako klonovanie, prečítanie bezpečnostných kódov atď. 

Secure element je vyrábaný svetovými výrobcami, ako napr: NXP, Infineon, Stmicroelectronics, a to zaručuje maximálne zabezpečenie. Títo výrobcovia vyrábajú aj čipy do kreditných kariet ako Visa, MasterCard a podobne. Výhodou je tiež odolnosť týchto bezpečnostný kľúčov voči vode, prachu a životnosť viac ako 10 rokov.

Aký FIDO bezpečnostný kľúč vybrať?

Medzi najznámejších výrobcov patrí Feitian a Yubikey. Na základe toho, čo od kľúča potrebujeme, máme na výber:

  • Bluethoot a NFC – pokiaľ chceme používať s mobilnými zariadeniami a laptopom,
  • NFC – pokiaľ máme NFC čítačku,
  • USB – bežný spôsob dostupný pre desktopové počítače a laptopy. Môže byť použitá kompatibilita s USB-C alebo USB-A. 

Yubikey

Yubico (Yubikey) je švédsko-americká spoločnosť založená v roku 2007 špecializujúca sa na hardvérovú autentifikáciu. Vo svojich produktoch používa čipy od renomovaných výrobcov ako je NXP (USA), Infineon ( Nemecko) a podobne. Je jednou z najznámejších firiem, ktoré ponúkajú autentifikačné zariadenia pre B2C trh. Má vytvorené svoje meno a veľa ľudí ju pozná, čo sa odráža na vysokej cene. 

Feitian

Jeden z najväčších globálnych lídrov v oblasti zabezpečenia a autentifikácie založený v roku 1998. Zameriava sa predovšetkým na B2B trh a vyrába hardvérové kľúče pre Google (Google Titan), Symantec a mnoho iných. Pri výrobe používa iba čipy od renomovaných ýrobcov ako je NXP (USA) , STMicroelectronics (Švajčiarsko), Infineon (Nemecko) atď.

Feitian vs Yubikey

Tak, ako sme povedali, najdôležitejšou a najdrahšou súčiastkou na FIDO kľúči je secure element. Na týchto fotkách vidíme, že obaja výrobcovia používajú iba renomované značky, v tomto prípade ide o americkú firmu NXP.

feitian inside

yubikey inside

                                                                             Zdroj: hexview.com

Záverom

"Najslabším článkom v cyber bezpečnosti je ľudský faktor"- Kevin Mitnick

Veríme, že je lepšia prevencia, ako reakcia a budúcnosť bezpečnosti a ochrany podľa nás spočíva v proaktívnom prístupe. Takýto prístup je prispôsobený na to, aby škodám predchádzal, než na ne len reagoval po tom, čo sa už stali. 

V dnešnej dobe už nestačí len silné heslo, antivírus a pravidelné aktualizácie. Tie vás v prípade sofistikovaného phishingu a keyloggerov neochránia. Najväčším rizikom je ľudský faktor a človek si to uvedomí, až keď sa stane obeťou. Vtedy už čas nedokážeme vrátiť späť. Obrovský nárast phishingu za posledné roky  je znepokojujúci, a to je len jeden z dôvodov, prečo sme sa rozhodli vzdelávať v tejto oblasti – či už formou blogu, alebo jednoduchých YouTube návodov.

Aj keď nám dvojstupňové overenie pomôže zlepšiť zabezpečenie, nedokáže nás ochrániť pred sofistikovaným phishingom. Investícia do FIDO kľúčov nie je finančné náročná, a je to jediná prevencia, o ktorej vieme, že funguje, a dokáže ochrániť vaše účty a digitálny svet.

 

Prihláste sa prosím znovu

Ospravedlňujeme sa, ale Váš CSRF token pravdepodobne vypršal. Aby sme mohli Vašu bezpečnosť udržať na čo najvyššej úrovni, potrebujeme, aby ste sa znovu prihlásili.

Ďakujeme za pochopenie.

Prihlásenie