Jak neskočit na „udičku“
Ing.
Milan
Hausner
bývalý ředitel ZŠ Lupáčova, ambasador projektu eSafetyLabel v České republice, působil i jako pověřenec pro ochranu osobních údajů orgánů veřejné správy a příspěvkových organizací
Školní výuka se přesunula do online prostředí, a vlastně jsme se tam přesunuli i ve svém soukromém životě. E-shopy, maily, online konference se staly běžnými termíny téměř pro každého z nás. Tato zásadní změna však s sebou přinesla i další, a ne právě příjemný jev. Útoky na soukromí přešly od prostého „rozhození sítí“ k individuálním, přímo zacíleným aktivitám, které už mnoha školám přinesly opravdové trable. Spear phishing (forma sociálního inženýrství) se společně s „phishingem“ stala metlou současnosti.
Když se podíváte do statistik, velmi často zjistíte, že takových útoků valem přibývá. Nemocnice, obecní úřady, ale i školy jsou terčem nevybíravého vydírání. A bohužel, v mnoha případech si za podobné katastrofy můžeme sami. Svou důvěřivostí, neopatrností i lajdáctvím.
Národní úřad pro kybernetickou bezpečnost hodnotí tuto „aktivitu“ jako vysoce nebezpečnou činnost, proto vydal souhrnný materiál, který je k dispozici pod odkazem v patě článku. Tento text jen shrnuje některé obecné poznatky, jež vyplynuly z celé řady školení v učitelských kolektivech.
Slevové programy, ověřování bankovních údajů, falešné e-shopy, identity bohatých cizinců na seznamkách, dopisy z Nigerie k pozůstalostem, to už nejspíše nepřekvapí žádného uživatele online nástrojů. Když se podíváte na přiložený grafem (zcela nevalidní, jen dokreslující problematiku), většina učitelů vnímá takové e-maily spíše jen jako spam. Přesto je úspěšnost podobných útoků velmi vysoká, protože v rozsahu rozhozené sítě nepochybně nějaká rybička uvízne.
Hrozby v „učitelských“ e-mailech (2018–2020, n = 175)
Leč doba postoupila k mnohem promyšlenějším a přímo zacíleným rhybařením pomocí virtuálních „harpun“, neuběhne týden, aby se v médiích neobjevil nějaký případ zašifrování veškerých dat (nemocnice, městský úřad, ministerstva, ale také školy). Nikoho nepřekvapí, že školy jsou velmi snadným cílem, protože míra digitální „preve-gramotnosti“ je bohužel v pedagogické veřejnosti velmi malá a mnohé školy nejsou na podobné útoky připraveny skoro vůbec. Preventivní semináře z této oblasti mělo v loňském roce jen zhruba 10 % ze škol, se kterými jsem měl možnost mluvit.
Ten útok vypadá tak nenápadně:
*
Jste chovatelem vybraného plemene psů a najednou se vám ve vaší e-mailové schránce objeví odkaz na nové webovky?
*
Hledáte lék na různé neduhy, a ejhle…
*
Na služební mail píše rozzlobený (sice anonymní, nebo i konkrétní) rodič a odkazuje do stížnost, která je přiložena?
*
Nové informace k očkování ke covidu uložené na „zkrácené adrese“ jistě přitáhnou leckterého čtenáře.
*
Zaručené zprávy o „utajovaných“ informacích v přiloženém dokumentu také nenechají nikoho spát.
*
Přichází urgentní přípis dodavatele s odkazem na fakturu.
Pravou podstatou takto sofistikovaných útoků je
dřívější průnik do osobních údajů adresáta, tak aby útočník znal preference, zázemí i jeho kontakty a vazby
. Pak už útok může nabrat libovolný rozměr. Úspěšnost takových útoků pak není velkým překvapením.Všimněte si prosím hned prvního rysu všech těchto udiček… vedou vás k tomu, abyste klikli na odkaz, webovou stránku, ale hlavně na přílohu…
A v tom právě spočívá podstata všech těchto útoků!Je tedy zřejmé, že jako prvotní krok k ochraně kredibility školní sítě i soukromého mailu nejvíce přispívá
smysluplné využívání online prostředí, selský rozum a nepolevující obezřetnost k výzvám a nabídkám
, které virtuální svět přináší.A co s tím?
*
Není nad smysluplnou prevenci
Kdy naposledy jste prošli nějakým školením podobného charakteru? V „online“ podobě školní docházky je toto téma více než aktuální, či spíše už hodně opominuté. Sdílení obecných zkušeností s kolegy, přáteli a vzájemná varování jsou jednou z nejlépe fungujících forem prevence. Jistě si sami uvědomujete, „co všechno“ se v poslední době sdílí a jak jsme náchylní se leccos nového dozvědět. Správci či administrátoři, metodici ICT, ale i vedení škol by měli ve služebních mailech informovat o nových hrozbách. Na webech najdete i různé profesionální nástroje, na kterých si můžete ověřit „odolnost“ vašich zaměstnanců či rodinných příslušníků na podvržené maily. Průchodnost okolo 20 % je docela běžná.
1.
Filtry
Spamové, antivirové, antimalwarové filtry jsou v mnoha případech schopny blokovat běžné phishingové útoky. Aplikace využívají reputační systémy, neustále se učí a dnes už je nepochybně nutností takový software využívat nejen ve služební komunikaci, ale i v té soukromé.
Žádný takový nástroj však uživatele neochrání před sociálním inženýrstvím a spear phishingem, jehož pravou podstatou je „učící se“ útočník. Poznání „oběti“ je cílem k využití Achillovy paty každého z nás. Je proto nezbytně nutné chránit své soukromí, protože v opačném případě otvíráme padouchovi dveře dokořán.
2.
Hrozby a jak je „alespoň“ minimalizovat
Prvním krokem virtuální obrany je naše pozornost a nedůvěra. Pokud přijde mail z neznámé (vlastně dnes i známé) adresy, zvažte následující kroky:
*
Příloha je vždy maximální riziko a ten největší „neřád“. Než si ji stáhnete do digitální stanice, měli byste si být jisti, od koho zpráva je, odkud přišla a zda je její předmět znám. Jinak ji neotvírejte, případně rovnou smažte.
*
Ověřujte reálné odesílací adresy. Stačí kliknout na adresní řádek a zkontrolovat plnou „skutečnou“, nikoli podvrženou odesílací adresu. Dnes není problém odeslat e-mail i jménem vaší „vlastní“ schránky.
*
Stejným způsobem ověřujte jednotlivé linky i odkazy v textu e-mailu. Než na odkaz kliknete, prohlédněte si jej znovu a pozorně.
*
Pokud vám někdo posílá peníze, nabízí výhru či jinou výhodu, lze s naprostou jistotou konstatovat, že do vás zasekl rybářský háček. Dárky od Applu, poukazy na zboží zdarma i v rámci narozeninové kampaně jsou nejspíše útokem.
*
U jednotlivých stránek ověřujte jejich certifikáty. Stačí jeden klik na zámeček v adresním řádku.
*
Zkontrolujte také loga. Nezapomeňte ani na rozlišení obrázků.
*
Podezřelé subdomény jsou dalším rizikem. Mnoho útoků pochází ze zdánlivě domovské organizace, protože nese ve jménu regulérního poskytovatele (například reiffeissen.gloogle.com).
*
Webové stránky, které oznamují, že našly ve vašem zařízení virus, raději nevyužívejte. Opět jde o pokus skenovat vaše zařízení, a tudíž se přesvědčit, jaká kořist se nabízí.
*
Špatná gramatika či slovosled dnes již nejsou příliš obvyklé. Podobné hrátky jsou už spíše výjimkou. Věnujte ale pozornost celkové stylistice, protože to je oblast, kterou zase tak snadno nejde strojově zpracovat.
*
Nic nedělejte ve spěchu. Urgence vyžadující okamžitý klik je tou nejlepší cestou do pekel.
1.
Phishingové stránky
Webové stránky navlas podobné těm originálním nabízejí okamžité prokliky na soubory obsahující malware, ransomware či přinejmenším trasovací software. Významnou roli zde hrají reputační systémy (antivir, doplňky do prohlížečů apod.), které pomohou vyhnout se těmto tůním obloukem.
1.
Osobní údaje jsou jen vaše osobní
Jakýkoli požadavek na zasílání osobních údajů (v textu mailu či v odkaze) je rizikovou aktivitou. Veškeré takové kroky je třeba prověřit. Odesílání např. čísla občanského průkazu například na výpovědi do pojišťovny v nezajištěném mailu je na samotné hraně bezpečnosti. Stojí za to připomenout, že mnozí učitelé posílají elektronickou poštou seznamy žáků s osobními údaji, aniž by tyto přílohy byly jakkoli zajištěné.
2.
Podezřelé výzvy a nabídky patří do koše
I zde platí klasické „Důvěřuj, ale prověřuj.“.
3.
A jsme zase na začátku:
Hesla a správci hesel
Bezpečnostní prvky při využívání online nástrojů jsou dnes alfou a omegou, rozhodujícím prvkem virtuální sebeobrany. Základní pravidla najdete na nejednom webu.
Nakonec u správce hesel, ať už v jakékoli podobě, stejně skončíme všichni.