Tentokrát sme sa porozprávali s Ondrejom Kubovičom, špecialistom v spoločnosti ESET na populárnu tému digitálnej bezpečnosti. Ondrej nám uviedol veľa praktických príkladov nástrah na internete a ponúkol aj riešenie, čo robiť v prípade, že sa stanete obeťou týchto nástrah. Príjemné čítanie a dúfam, že vás dĺžka článku neodradí, stojí to za to.

Ondrej, s akými nástrahami sa môžeme stretnúť v digitálnom svete?

Najmä od začiatku pandémie je tých nástrah mimoriadne veľa. Bežný používateľ sa asi najčastejšie stretne s tzv. sociálnym inžinierstvom – čo sú v podstate netechnické útoky, pri ktorých sa útočníci rôznymi trikmi snažia zmanipulovat obeť, aby im odovzdala citlivé údaje, prístupy, poslala peniaze alebo urobila na svojom zariadení niečo, čo obeť poškodí.

Za touto teoretickou poučkou sa skrývajú napríklad útoky, ktoré nazývame sextortion. Pri nich mi útočník pošle email, v ktorom mi tvrdí, že prenikol do môjho emailového účtu, nainštaloval na môj počítač škodlivý kód a nahral si ma ako sledujem nevhodný obsah na internete. Za utajenie nahrávky žiada výkupné v tisíckach eur a vyhráža sa zverejnením videa (jeho rozposlaním známym, rodine, kolegom) v prípade, že odmietnem zaplatiť. Znie to strašidelne, ale je to len klamstvo útočníka, ktoré sa nezakladá na pravde. Jediná vec, čo sa mu totiž podarila je, že vám doručil tento email a tam to končí. Mnohí užívatelia sa ale zľaknú a peniaze okamžite pošlú. Útočníci tak za málo práce zarábajú desaťtisíce eur.

Ďalším útokom sociálneho inžinierstva, ktorý sa stále viac objavuje aj na Slovensku sú falošné telefonáty technickej podpory. Útočníci sa najčastejšie vydávaju za pracovníkov Microsoftu a v jeho mene od obete žiadajú prístup k citlivým údajom, heslám, prístup k ich bankovému účtu či dokonca vzdialený prístup a kontrolu nad ich zariadením. Opäť platí, že čokoľvek vám povedia je klamstvo a stačí zložiť telefón. Mnohých ľudí ale vystrašia a tí im nakoniec dobrovoľne odovzdajú svoje údaje či dokonca peniaze.

Pokiaľ ide o firmy, asi najväčším strašidlom týchto dní je ransomware – škodlivý kód, ktorý zašifruje cenné dáta, a potom žiada výkupné za ich odšifrovanie. V tomto prípade bohužiaľ k zašifrovaniu naozaj prichádza a útočníci sú natoľko prefíkaní, že si cenné a zákonom chránené údaje aj stiahnu. Robia to pre prípad, že obeť nespolupracuje. Môžu sa jej totiž vyhrážať ich zverejnením na internete – čo znamená vysoké pokuty od úradov a poškodené dobré meno. Výkupné v týchto prípadoch sa pohybuje v priemere v stovkách tisíc eur, no objavili sa už aj také arognatné skupiny, ktoré si od firiem pri podobnom útoku vypýtali 70 miliónov dolárov.

My obetiam odporúčame tieto výpalnícke praktiky neakceptovať a výkupné neplatiť. Dôvodom je, že zaplatením akejkoľvek sumy v podstate podporujete ďalšie aktivity zločincov a zároveň vám ako obeti nikto negarantuje, že si útočníci nenechali vo vašom systéme zadné vrátka a nevrátia sa v najbližších týždňoch s ďalšou žiadosťou o peniaze. Ideálne je, ak firma má dobré zálohy a dokáže zasiahnuté systémy relatívne rýchlo obnoviť a pokračovať v bežnom fungovaní aj bez komunikácie so zločincami.

Svet ale ani v tomto smere nie je čiernobiely. Chápeme, že ak sú v hre ľudské životy, zdravie či bezpečnosť, niektoré organizácie môžu zvážiť aj možnosť, že zaplatia. Spolupracovať s útočníkmi by však mala byť posledná možnosť, ktorú obeť zvažuje.

Vo firme ESET pracuješ ako Security Awareness Specialist. Čo zahŕňa tvoja pracovná náplň? 

Hlavne veľa písania a rozprávania.:) Moja primárna úloha je šíriť povedomie o aktuálnych hrozbách a pomáhať našim výskumníkom pri príprave ich článkov pre náš blog WeLiveSecurity či slovenský web Bezpečnenanete. Pripravujem ale aj reporty z našich štatistík a množstvo ďalších materiálov. Okrem toho tiež pomerne často pripravujem odpovede pre slovenské aj zahraničné médiá, prezentujem na rôznych verejných aj menej verejných akciách a snažím sa ľuďom s rôznym pracovným pozadím ľudským jazykom vysvetliť, aké riziká im hrozia v digitálnom svete a učiť ich, ako sa im brániť.

Kto je najviac ohrozenou skupinou na internete?

Každá z týchto skupín môže skončiť v hľadáčiku útočníkov, každá ale trochu inou formou a s iným cieľom.

Rodičia a celkovo dospelí používatelia su cieľom útočníkov najmä z finančných dôvodov a snaha je ukradnúť ich citlivé či prístupové údaje, zneužiť ich identitu prípadne im zašifrovať dáta a žiadať výkupné. Objavujú sa aj škodlivé kampane aké som opísal vyššie (sociálne inžinierstvo), ale aj také, ktoré sa im snažia nainfikovať zaridenie a následne nabúrať do bankového účtu a vytiahnuť odtiaľ peniaze.

Pri deťoch sa riziká mierne líšia a často sa spájajú skôr so sociálnymi sieťami, oversharingom – teda prílišným zdieľanim aj súkromných informácií a fotografií – respektíve s kyberšikanou. Aj cesty, akými na hrozby deti narazia sa spájajú skôr s tým, že si stiahnu z internetu nebezpečnú appku, kliknú na nevhodný link na YouTube alebo inej sociálnej sieti, prípadne sa ich niekto pokúsi zmanipulovať pri komunikácii cez chat alebo počas hrania online hier. Mnohé deti tiež sledujú seriály a filmy na neoficiálnych stránkach, ktoré tento obsah ponúkajú nelegálne, a aby zarobili, využívajú obrovské množstvo reklamy – ktorá môže obsahovať aj škodlivé odkazy. Pri deťoch je tiež dôležité upozorniť na vážne psychické dôsledky, ktoré sa môžu spájať s niektorými typmi útokov. Myslím tým najmä kyberšikanu či hate na internete ale aj útoky tzv. predátorov (tu by som odporučil pozrieť film V sieti).

Ak hovoríme o online bezpečnosti starších ľudí musíme si uvedomiť, že oni využívajú technológie inak ako deti či rodičia. Sociálne siete, webstránky či rôzne online služby pre nich nepredstavujú takú neoddeliteľnú súčasť života, a teda im nevenujú ani toľko času a pozornosti. Útočníci sa preto v ich prípade sústreďujú skôr na spomínaný social engineering a priamu komunikáciu. Častým príkladom sú telefonáty, v ktorých sa útočníci vydávajú za vzdialených rodinných príslušníkov, známych či dokonca za zdravotníkov, ktorí ošetrujú ich blízkych po vymyslenej autonehode či úraze, a žiadajú urýchlenú platbu vo výške stoviek až tisícok eur. Starší ľudia sú tiež častým cieľom už spomínaných podvodných telefonátov technickej podpory. Útočníci pritom vedia byť veľmi presvedčiví a často dokážu “ukecať” aj nedôverčivých ľudí. Ostražitosti teda ani vo vyššom veku nikdy nie je dosť.

Ako odhalím, že som stal obeťou digitálneho útoku a čo vtedy robiť?

Ak mám šťastie, uvedomím si to veľmi rýchlo – hneď po tom, ako niekomu prezradím alebo napíšem svoje heslo, odovzdám údaje z mojej kreditky alebo kliknem na inštaláciu niečoho podozrivého. V týchto prípadoch mám ešte možnosť zareagovať a heslo rýchlo zmeniť a zabezpečiť dvojfaktorovou autentifikáciou, zablokovať bankovú kartu či odinštalovať si zo zariadenia zlú aplikáciu a nainštalovať bezpečnostný softvér.

V horšom prípade si útok všimnem príliš neskoro – teda vo chvíli, keď mi už niekto ukradol peniaze, napadol môj počítač a zašifroval dáta alebo zneužil moje heslo. Vtedy sa reaguje ťažšie, keďže náhradu financií musím riešiť s bankou a políciou, zmenu hesla a zabezpečenie účtu či uniknutých informácií s viacerými online službami a opravu počítača či zariadenia s podporou antivírusovej spoločnosti alebo už so IT servisom.

Mimoriadny význam má preto prevencia. Ak mám antivírus, šanca že sa infikujem škodlivým kódom alebo kliknem na niečo podozrivé je výrazne nižšia. Ak sa naučím pred každou odpoveďou na email, v online chate či na sociálnych sieťach na moment zastaviť a zamyslieť sa nad tým, čo idem odoslať alebo zdieľať, tak sa viem vyhnúť množstvu rizík. Stojí ma to pritom len pár sekúnd času a trochu sebazaprenia. Ďalším dobrým preventívnym krokom je pravidelne vytváranie záloh dôležitých dokumentov a obsahu na externom disku, ktorý nemám neustále pripojený k počítaču. Práve takáto záloha ma môžu zachrániť v prípade, že moje zariadenie napadne škodlivý kód a napriklad zašifruje mi všetky fotky a videá z posledných rokov.

Aký poznáš najbizarnejší, najzaujímavejší prípad kybernetického útoku?

Pre mňa medzi najzaujímavejšie patril prípad, v ktorom útočníci dokázali napadnúť distribútorov elektriny na Ukrajine a na niekoľko hodín vypnúť elektrinu pre veľké časti Ivano-Frankivska. Odrezali tým od prúdu stovky tisíc domácností naraz. Zaujímavé na tomto prípade bolo, že sa útočníci do systémov firiem dostali tým, že zmanipulovali zamestnancov, aby otvorili infikovanú prílohu emailu a nainštalovali si do zariadenia škodlivý kód. Následne útočníci v systémoch niekoľko mesiacov v podstate nečinne sedeli a sledovali ako veci fungujú, ktorý softvér na čo slúži a ako sa vlastne všetko ovláda. Až po tejto dlhej prípravnej fáze naplno a koordinovane udreli a ukázali, čo všetko sa naučili. Technickí pracovníci v distribučných spoločnostiach sa len bezmocne pozerali ako im skupina útočníkov na diaľku ovláda kľúčové počítače, kliká na jednotlivé okruhy a postupne vypína elektrinu.

Tento incident nazvaný našimi výskumníkmi BlackEnergy sa odohral ešte v roku 2015 a bol ukážkou, ako môže v budúcnosti vyzerať “vojna” v digitálnom priestore. Tú istú skupinu monitorujeme dodnes a vidíme, že stále prichádza s novými, vylepšenými formami škodlivého kódu a útočí na strategické ciele. Keďže sa ukazuje, že ich hlavným cieľom nie je zarobiť, ale skôr sledovať obete a sabotovať ich aktivity, môže ísť o štátom sponzorovaných hackerov.

Zlou správou je, že ich techniky už preberajú aj mnohí kybernetickí kriminálnici vďaka čomu dokážu napáchať obrovské škody za krátky čas. Len za posledný rok su toho dokonalou ukážkou spomínané útoky ransomwaru.

Nejaké ďalšie tipy ako sa správať bezpečne na internete?

Viaceré som spomenul vyššie, ale dodám ešte zopár bodov – hlavne udržiavať svoje zariadenie aktualizované. Platí to rovnako pre operačný systém, prehliadač, mailovú appku, bezpečnostný softvér, ale aj hry a akýkoľvek iný softvér.

Mimoriadne dôležité v tejto dobe, kedy všetko robíme z domu, sú aj heslá. Tie by mali byť čo najdlhšie – ideálne aspoň 8 alebo 16 znakov a unikátne pre každú dôležitú službu. Keďže takýchto hesiel má bežne človek aj stovky, je dobré používať password manažéra, teda softvér na správu hesiel. Ak sa chcete spoliehať na svoju pamäť môžete heslá nahradiť tzv. bezpečnostnou frázou. Príkladom je veta v slovenčine s medzerami a pripadne jedným vloženým číslom či špeciálnym znakom na spôsob “to co zjem to mi uz nikt@ nevezme”. Pre útočníka je takmer nemožné ju uhádnuť hrubou silou a pre vás je ľahšie si ju zapamätať. Len dodám, že tento môj príklad už nie je vhodný, keďže si ho online môže ktokoľvek prečítať. Samozrejmosťou by pri heslách malo byť aj použitie druhého faktora, teda ďalšie potvrdenie môjho prihlásenia cez mobil, email, appku či iný kanál.

Bezpečnostné riešenie (zastarane tiež nazývané antivírus) by malo byť už štandardom na každom počítači a zariadení, ktoré to umožňuje. Ideálny softvér tohto druhu by mal mať dobré hodnotenia v nezávislom testovaní a ponúkať ochranu s použitím veľkého množstva rozličných technológií. Práve vďaka týmto vrstvám potom dokáže blokovať hrozby, ktoré sa snažia nabúrať do zariadenia po sieti, útočia cez webstránky, pristanú vo vašom emaili alebo sa snažia na človeka útočiť priamo na sociálnych sieťach či inde na internete.

Ondrejovi veľmi pekne ďakujeme a čitateľom prajeme, nech ich takéto hrozby na internete iba obchádzajú!