Bezpečnostní tipy
Oblast kyberbezpečnosti je velice široká a útočníci jsou většinou o krok napřed. Ve většině případů jim jde o finanční obohacení. Sebelepší ochrana ale stojí a padá na každého z nás. Proto musíme všichni společně přistupovat k této problematice zodpovědně.
Co vlastně zahrnuje oblast kyberbezpečnosti? Je toho hodně! Pro představu je potřeba chránit počítače nebo chytrá zařízení proti vniknutí dovnitř systému (heslo, PIN, otisk prstu). Musíme dobře chránit přístupové údaje ke službám, které využíváme (heslo do emailu, banky aj.). Rovněž je důležitá ochrana proti virům, ransomware, SPAMU apod. (bezpečnostní antivirové řešení). V neposlední řade je důležitá obrana proti sociálnímu inženýrství (zjišťování osobních dat pro cílené útoky). A hlavně se snažte neustále vzdělávat ke kyberbezpečnosti, třeba pomocí kurzu kyberbezpečnosti.
Zodpovědným chováním v kyberprostoru chráníte nejen své citlivé osobní údaje, ale také vaše a firemní data. Útočníkovi totiž nedáte šanci, aby se dostal k potřebným informacím a následně k vaším penězům. Navíc chráníte soukromý nebo firemní majetek a v krajních případech také své zdraví. Níže vám ukážeme pár nejběžnějších tipů, které vám pomohou zvýšit vaši ochranu v kyberprostoru.
Neotvírejte pochybné emaily nebo přílohy
Obecně nejen na PC platí, že neotevíráme žádné přílohy s koncovkou .exe, .iso, .apk, .bat, .cmd. V drtivé většině se jedná o přílohy, ve kterých se nachází škodlivá příloha (virus, ransomware).
Neklikej na podivné odkazy v chatu aplikací nebo emailech
Nikdy neklikejte na odkazy, které Vás nabádají k zadávání přihlašovacích údajů (např. pro odblokování internetového bankovnictví). Stejně tak nevyplňujte osobní údaje, kde po kliknutím na odkaz získáte finanční obnos, nebo vyhrajete nějakou věc zdarma (např. poukázku na nákup do nějakého obchodu).
Pamatujte si, že Vám nikdo nedá nic zadarmo. Proto buďte obezřetní a na tyto zprávy nereagujte. Vím, jsou to lákavé nabídky, ale o to přesně podvodníkům jde – nalákat vás.
Nebojte se, že útočník posílá email „z vaší emailové schránky“
Ohání se útočník tím, že získal přístup k vaší emailové schránce, ze které poslal email? Nebojte se, emailovou adresu jde totiž jednoduše podvrhnout. A pokud se ohání i heslem, které používáte, tak si heslo co nejrychleji změňte. Útočník ho pravděpodobně získal z nějaké databáze hesel. Heslo totiž mohlo být zkompromitováno (vyzrazeno, ukradeno, odhaleno) díky útoku na nějakou službu, kde jste registrováni. Z uniklé databáze hesel útočník většinou získává vaši emailovou adresu a heslo, které máte v dané službě nastaveno.
Zaměřte se na tvar webového odkazu a neklikejte na něho bezhlavě
Jednoduchou záměnou písmen v adrese lze vyrobit falešnou (podvrhnutou) webovou stránku. Stačí nahradit podobná písmena – malé písmeno l (L) za velké písmeno I (i), m za rn nebo nn, n za m apod. Například prohozením písmenek L a I na webové adrese www.lidl.cz (www.LIDL.cz) dostaneme úplně jinou webovou adresu, na které se může nacházet podvodná stránka – www.IidI.cz (www.LIDI.cz).
Neotevírejte výzvy k odblokování internetového bankovnictví
Stejně jako u výše uvedeného platí i zde, že pokud Vám dojde email s informací, že došlo k zablokování vašeho internetového bankovnictví a jeho opětovnou aktivaci provedete na nějakém odkaze, mějte se na pozoru. Rozhodně na nic neklikejte a raději zavolejte hned do banky.
Útočníci se často vydávají za někoho jiného
Velice často se útočník vydává za někoho jiného – útoky maskuje z „pravého“ telefonního čísla (vishing), e-mailu (phishing), ale také z věrohodně vypadající webové stránky, například vaší banky. Takovému útoku se říká obecně spoofing. Nejčastěji zneužívanou skupinou jsou starší lidé. V současnosti používají útočníci ale velice sofistikované nástroje, takže i pozorný uživatel může naletět. Kromě ztráty citlivých dat to většinou končí i finanční ztrátou v řádech desítek až stovek tisíc korun.
Obecně lze na obranu proti spoofingu říci: „buďte obezřetní při tom, co a jak po vás osoba na druhém konci žádá“.
Pamatujte si, že pravý hovor, email nebo sms, především z banky, policie nebo počítačové podpory po vás nebude nikdy žádat:
- váš věk,
- přístupové údaje do služeb (např. do emailu) nebo do bankovnictví, např. PIN, heslo, zákaznické číslo,
- potvrzení přístupu nebo platby v bankovní aplikaci,
- vyplnit číslo kreditní karty, platnost a CVC kód (trojmístné číslo na zadní straně),
- poskytnutí přístupu do zařízení nebo instalaci aplikace pro vzdálenou podporu,
- stažení a spuštěni aplikace z divných webových stránek,
- osobní údaje, například datum narození, rodné číslo a místa narození,
- provedení okamžité akce, jinak se stane něco špatného (například odeslání bankovní platby na podivný účet v zahraničí).
Když si nejste jistí, jestli se jedná o podvod, nereagujte na výzvy, neklikejte na odkazy nebo zavěste. Lepší je třeba položit pravý hovor z banky, než naletět a přijít o životní úspory. Pokud ale přece jen naletíte, neprodleně kontaktujte policii, případně také banku. Pokud je to možné, změňte si co nejdříve přístupové údaje do těchto služeb.
Útočník se snaží nalákat uživatele na zajímavá videa
Možná se vám to už stalo. Na Faceboom Messenger vám od kamaráda dojde zpráva, jestli jste na tom videu vy. Zvědavost Vám nedá a kliknete na odkaz, který směruje na podvodnou stránku, tvářící se jako známá služba, například Facebook. Nachází se zde i zmíněné video, které je možno spustit až po přihlášení do nějaké služby, kterou používáte, např. Facebook. Po ťuknutí na video se zobrazí přihlašovací okno, které se tváří jako legitimní stránka dané služby, např. Facebooku.
Vy zadáte přihlašovací údaje a ty se předají útočníkovi, který se během chvilky přihlásí na váš účet a začne rozesílat podobné odkazy vašim přátelům. Na Facebooku navíc zjistí, jestli máte navedenou platební kartu v platebním portále (například pro správu reklam na Facebooku) a pak ji zneužije pro své aktivity.
Neukládejte hesla do prohlížečů a nikomu ho nesdělujte
Hesla si nezapisujte na žádné papírky po šuplících ani nelepte na monitor. Také zapomeňte na ukládání do MS Word nebo MS Excel. Hesla si ukládejte do zabezpečené aplikace na správu hesel (např. Bitwarden nebo KeePass), která je šifruje. Hlavně si neukládejte heslo do webového prohlížeče. Dají se vcelku lehce získat.
Používejte dvoufaktorové přihlašování
Pokud to služba umožňuje, používejte dvoufaktorové přihlašování. Po zadání hesla vám ještě dorazí potvrzovací kód pomocí SMS nebo emailu, který musíte přepsat také, jinak se nepřihlásíte. Využívá se například u internetového bankovnictví.
Nainstalujte si kvalitní antivirus
Vyberte si jedno bezpečnostní řešení, a to si na vaše zařízení nainstalujte. Hlavně si pamatujte, že se instaluje pouze jeden antivirus! U počítačů je od Windows 10 do systému integrováno antivirové řešení Microsoft Defender. V současnosti se jedná o kvalitní bezplatné řešení.
Placené verze pak nabízí celou řadu pokročilých technik a funkcí, které umí efektivněji detekovat útoky. Doporučuji řešení ESET, Avast nebo AVG.
Ověřujte si zabezpečení webové adresy platební brány
Při zadávání platebních údajů si ověřte, že webová adresa má tvar https://webovaAdresa a svítí u ní zelený zámek.
Kliknutím na zámeček a dále na informace o zabezpečení se zobrazí společnost, pro kterou je certifikát vydaný.
Na předchozím a následujícím obrázku můžete vidět webovou stránku, která nemá platné zabezpečení.
Na následujícím obrázku také není webová adresa v zabezpečeném režimu. Navíc je i tvar webové adresy velice zvláštní. Pokud je webová adresa v podivném tvaru, tak rovněž na této stránce NIKDY NEZADÁVEJTE údaje z vaší platební karty.
Pokud je webová adresa v podivném tvaru nebo v nezabezpečeném režimu (na začátku nemá „https“), nezobrazuje se u ní zámek, zámeček je s výstrahou, tak na této stránce NIKDY NEZADÁVEJTE žádné údaje, ani z vaší platební karty.
Reagujte pouze na známé výzvy k platbě
V případě, že Vám dojde do emailu výzva k platbě nebo budete na nějaké webové stránce vyzváni k provedení platby, o které nic nevíte, tak nic nevyplňujte a webovou stránku zavřete.
Ignorujte výzvy k ověření platební karty
Pokud Vám dojde email nebo SMS s informací, že musíte z nějakého důvodu ověřit platnost vaší karty, mějte se na pozoru a rozhodně nikde nic nevyplňujte a webovou stránku zavřete!
Ještě jednou to nejdůležitější
Předchozí části textů v této kapitole vám měly ukázat, že osvěta v oblasti kyberbezpečnosti je velice důležitá. Možná vás to vystrašilo a máte chuť mobil nebo tablet vyhodit. Nebojte se, když se budete chovat bezpečně, nemusíte se bát. Dle mého jsou klíčová tři pravidla, která vás ochrání proti většině útoků:
- Chránit se antivirem
- Zaměřit se na odkazy na webové stránky
- Neinstalovat aplikace z neoficiálních zdrojů
- Nesdělovat žádné osobní a citlivé informace
Nainstalujte si antivirus
Základní věc, kterou bychom si měli nejen na chytrém zařízení nainstalovat, je ověřený antivirus. Na trhu je spousta různých antivirových společností, které nabízejí své antivirové řešení nejen pro klasické počítače, ale rovněž na mobilní platformu Android v placené verzi i zdarma. Instalujte POUZE JEDEN antivirus!
Klasický antivirus pro počítače je nástroj sloužící k detekci škodlivého kódu, který se do zařízení může dostat mnoha způsoby. K obraně proti infikování zařízení jsou typicky určeny jiné technologie (např. firewall), samotný antivirus tedy není všespásný – je to jakási poslední linie obrany. Často však antivirová řešení v sobě obsahují i další nástroje pro zajištění komplexní bezpečnosti.
Mobilní antivirus ale nedokáže analyzovat škodlivý kód aplikací tak, jako to dělají klasické počítačové antiviry. Mobilní antivirus je spíše takový kontrolní prvek, který vás může varovat a zastavit v situacích, kdy si budete chtít instalovat nějaký závadný kód nebo navštívit nebezpečnou webovou stránku. V operačním systému Android jsou ale integrovány různé systémové ochrany, které brání virům v napadení a jejich šíření, jako je tomu na počítačích. Tyto ochrany tedy zastupují část funkcí klasického antiviru na počítačích a umí včasně varovat, že si instalujete nebo používáte něco zavirovaného.
U většiny mobilních antivirů získáte celou řadu doplňkových funkcí. Kromě skenování stažených souborů a kontroly aplikací z neoficiálních úložišť umí také skenovat nainstalované aplikace a hledat případné chyby v průběhu používání. Dále analyzují nastavení zabezpečení systému a přístup k důležitým částem – např. přístup k SMS, fotkám, videím atd. Můžou také ukazovat bezpečnostní tipy ohledně vhodného nastavení ochrany soukromí a zabezpečení. Některé antivirové aplikace rozšiřují možnosti ochrany a mazání zařízení při ztrátě nebo krádeži, dokážou upozornit na připojení k nebezpečné Wi-Fi síti, vytvářet šifrovanou složku nebo kontrolovat kompromitované přístupové údaje (útočník je nějak získal).
Slezská univerzita v Opavě od roku 2022 využívá bezpečnostní řešení ESET PROTECT (dále ESET). Toto řešení skýtá mnoho výhod:
- pomáháte s kolektivní bezpečností – šířená nákaza bude rychleji detekována,
- jste lépe chráněni proti phishingu – rizikové stránky a přílohy budou bezpečnostním týmem blokovány,
- můžete chránit své počítače
- jsou podporovány operační systémy Windows i MacOS
- správcovský přístup na zařízení je zakázán politikami a není tedy možný.
Pokud si chcete nainstalovat ESET s licencí SU, kontaktujte svého fakultního správce, který instalaci a integraci dokončí.
Na co se zaměřit u odkazů webových stránek
Každá internetová stránka má svou adresu, přes kterou se k ní lehce dostanete. Této adrese se říká url adresa a rozděluje se na několik částí.
Protokol říká, co se má zobrazit. Pro nás jsou podstatné dva – http (nešifrovaný) a https (šifrovaný). Protokol do adresního řádku zadávat nemusíte, prohlížeč si ho doplní sám.
Doménová adresa a cesta ke stránce jsou klíčové pro zobrazení požadované webové stránky. Doménová adresa je de facto adresa serveru, na kterém je požadovaná webová stránka uložena. Na serveru může být uloženo více stránek. Takže pokud zadáte špatný název stránky, zobrazí se pravděpodobně úplně jiná stránka nebo hlášení o chybě (že nebyla stránka nalezena).
Je dobré ještě říci, že se doménová adresa dělí na tři úrovně – první (nejvyšší) až třetí. Na obrázku výše je ukázána webová adresa www.seznam.cz, kde:
- www je doména třetího řádu
- .seznam je doména druhého řádu
- .cz je doména prvního (nejvyššího) řádu
Především se musíte zaměřit na tvar webové adresy. Pokud Vám dojde jakákoliv informace „z vaší banky“, třeba podobná té, jako na dalším obrázku (Rozbor tvaru webové adresy), tak se primárně zaměřte na tvar webového odkazu. Nejdůležitější je, co je napsáno v první a druhé úrovni webové adresy. Na dalším obrázku (Rozbor tvaru webové adresy) to je označeno jako doména prvního a druhého řádu.
Na dalším obrázku (Rozbor tvaru webové adresy) je evidentní snaha odesílatele, aby příjemce (vy) kliknul na odkaz, který na první pohled vypadá jako odkaz na web banky ČSOB. Jenže to není tak úplně pravda.
Když si rozebereme webovou adresu https://www.csob.cz, tak postupujeme vždy z pravé strany:
- .cz je národní doména prvního řádu (úrovně),
- .csob je doména druhého řádu (úrovně),
- www je doména třetího řádu (úrovně).
- https:// je protokol zabezpečené komunikace
Webová stránka csob.cz může být ve vlastnictví pouze jednoho majitele na celém světě, tedy Československé obchodní banky. Platí pravidlo, kdo dřív koupí, ten má vlastnické právo na doménu, a to dokud platí. Útočník si ale může zakoupit podobnou doménu, jen s jinou koncovkou domény prvního řádku, pokud ji nevlastní někdo jiný. Například csob.online, csob.com atd. Proto je důležité pamatovat si webovou adresu vaší banky nebo jiné služby, kterou využíváte a útočník se snaží získat citlivé údaje.
Teď už víme a je to zjevné, že odkaz https://csob.cz-portali.online na předchozím obrázku (Rozbor tvaru webové adresy) asi nebude odkazem na webové stránky ČSOB, i když se snaží navodit míru důvěry tím, že používá zabezpečený protokol https://.
- .online je doména prvního řádu (úrovně),
- .cz-portali je doména druhého řádu (úrovně),
- csob je doména třetího řádu (úrovně).
- https:// je protokol zabezpečené komunikace
Dávejte si pozor na podvodné weby, falešné soutěže a nákupy
Většina pokusů o napadení zařízení se provádí na základě sociálního inženýrství – pracuje se s důvěřivostí, neopatrností a neznalostí lidí.
Typickým příkladem, jak se můžete dostat do problémů, je zpráva od známého člověka – například s podvodným odkazem https://csob.cz-portali.online. Na první pohled se může zpráva o zablokování tvářit důvěryhodně. Ale když se zamyslíte, tak už adresa bankovní instituce ČSOB ve tvaru csob.cz-portali.online je podivná (adresa banky www.csob.cz). Zde musí zapracovat obezřetnost – protože nabídka je lákavá a útočník na to spoléhá. Po kliknutí na daný odkaz se otevře webová stránka a můžou nastat dva scénáře – do telefonu si nainstalujete škodlivou aplikaci, která odešle vašim známým v kontaktech tuto zprávu dál (nebo placenou Premium SMS). Nebo se otevře webová stránka, která se snaží napodobit vzhled firmy Lidl a může Vám dokonce naoko přidělit nějaký kód. Vy vyplníte citlivé údaje, které získá útočník. V horším případě budete pro výhru nucení zadat číslo platební karty, díky čemuž útočník získá možnost stahovat z vašeho účtu peníze.
Na aplikace z neoficiálních obchodů pro mobily si nechejte zajít chuť
Jak už jsem uvedl výše, na neoficiálních úložištích si můžete stáhnout řadu zajímavých placených aplikací a her zdarma. Pamatujte si ale jednu věc: útočník se chce dostat k vašim datům a bankovním údajům. Instalací aplikace z neoficiálního obchodu útočníkům otevíráte zadní vrátka. Raději podpořte výrobce, pokud o aplikaci stojíte. Útočník Vás totiž může připravit o daleko víc.
Co dělat, když se necháte napálit?
Hlavně zachovejte chladnou hlavu!
Pokud už kliknete na nějaký odkaz a vyplníte údaje na zmíněném odkazu (Phishing), tak okamžitě změňte přístupové údaje do všech služeb, kde tyto údaje používáte. V případě bankovních údajů okamžitě kontaktujte vaši banku. Také můžete kontaktovat podporu služby nebo Policii ČR.
V případě, že jste klikli na nějaký odkaz a mobil/tablet vám začal odesílat zprávy, odpojte ho od sítě mobilního operátora (ať se neposílají drahé SMS), například pomocí Režimu letadlo. Dále překontrolujte, že máte vypnuté datové připojení a WiFi (Whatsapp, Messenger aj., které fungují přes WiFi) a vyhledejte odbornou pomoc.
Pokud nikoho v dosahu nemáte, tak nejprve odinstalujte aplikace, které jste v posledních chvílích instalovali. Podrobně si projděte seznam nainstalovaných aplikací stažených z internetu. Ty, které nepoužíváte, nebo se tváří podezřele, odinstalujte. Dále spusťte antivirovou kontrolu. Pokud žádný antivirus v zařízení nemáte, tak se připojte k internetu a z obchodu Play nainstalujte nějaký antivirus (ESET, Avast, Kaspersky…) a nechte telefon překontrolovat.
Pokud si nainstalujete virus do chytrého zařízení nebo do počítače, vypněte ho co nejdříve a požádejte o pomoc IT specialistu. Mobilní telefon/tablet odpojte od sítě mobilního operátora a WiFi. Počítač zase klidně vypněte „natvrdo“ – vytažením ze zásuvky nebo odpojením baterie. U chytrých zařízení se většinou snaží útočník získat přístup k ovládání zařízení a jeho datům, které pak třeba dokáže využít k prolomení do vašeho bankovnictví, k placení služeb a dalších aktivit. U počítačů se většinou hraje o čas, než útočník získá vaše data nebo zašifruje soubory a vy tak o ně přijdete nebo zaplatíte výkupné. O pojmu HOAX, poplašných zprávách, řetězových zprávách a emailech se můžete dozvědět více na webové adrese www.hoax.cz.
Další zajímavé odkazy:
Co se může stát po otevření nebezpečné přílohy
Aplikaci si můžete nevědomky do zařízení stáhnout z nějakého odkazu nebo z přílohy v emailu. U počítačů zde musí zapracovat bezpečnostní mechanismy. U mobilů v novějších verzích Androidu je ve výchozím nastavení blokována instalace aplikací z neoficiálních zdrojů. Pokud si tedy stáhnete nějakou aplikaci a spustíte instalaci, zobrazí se hláška podobné té níže.
V případě počítačů můžete aplikace z internetu stahovat běžně. Pokud ale po otevření přílohy budete výslovně požádáni o povolení, aby aplikace mohla v počítači provádět změny nebo se zobrazí hláška o spuštění makra, tak nic nepovolujte. Příloha může obsahovat škodlivý kód, který může dále škodit.