Jak se vyhnout podvodům na internetu a nestát se obětí - 2. část

27. 9. 2024 | Jindřich Zechmeister

Na internetu na vás čeká riziko podvodu na každém kroku a nemůžete nikomu a ničemu věřit. Peníze jsou vždy na prvním místě, proto je chtějí i útočníci. Náš článek vám pomůže tyto hrozby odhalit, pochopit, zorientovat se v nich a ukáže vám, jak se bezpečně chovat v internetovém prostředí.

Bezpečnost

Jak se chránit před podvody na internetu

V první části článku jste se seznámili s nejčastějšími formami podvodů na internetu. Nyní se podíváme na to, jak se jim účinně bránit.

Je dobré osvojit si několik základních návyků. Neklikejte přímo na odkazy, které vám chodí, ale navštěvujte internetbanking a ostatní služby přímo. Nejvíce škodlivých odkazů chodí stále e-maily. Pokud nějaký odkaz chcete použít, tak se podívejte, kam míří. V HTML je velice snadné namířit odkaz na jinou doménu, než je v odkazu napsaná.

E-mail používáme více než 50 let a tato technologie při vzniku nepočítala s posíláním spamu a podvrhováním identity odesílatele. Podvrhnout jméno a adresu odesílatele je v e-mailu mimořádně triviální, co si napíšete, to tam máte. V reakci na podvody tak vznikla řada technologií, které nás mají před těmito podvody bránit. Jsou už dosti rozšířené, ale přesto nedoporučujeme otevírat odkazy v e-mailech neznámých odesílatelů. A rozhodně nedoporučujeme otevírat zprávy, které jsou označeny jako SPAM.

Buďte opatrní u nevyžádaných zpráv, zejména pokud obsahují odkazy. E-mail je stále největším přenašečem phishingových útoků a asi ještě dlouho bude. Hned za ním následují sociální sítě. Považujte veškeré odkazy na sociálních sítích, které dostanete po chatu, za minimálně podezřelé.

U každého přijatého e-mailu lze zobrazit tzv. hlavičku, tedy kompletní technické informace, kde je uveden i pravý odesílatel a celá cesta zprávy internetem. Běžný uživatel se v hlavičce zprávy nevyzná a byť existují nástroje na její analýzu (viz sekce odkazů), doporučujeme raději zvolit kvalitního poskytovatele pošty, který tuto ochranu dělá automaticky za vás. Například poštovní služby CZECHIA.COM používají Antispam, Antivir a Antimalware. Kombinací technologií SPF, DKIM a DMARC zajistí, že do vaší schránky nedorazí žádný podvodný e-mail.

Pokud byste někdy chtěli podezřelý e-mail prověřit od odborníka, nepřeposílejte mu ho - to je k ničemu. Uložte ho do formátu EML (přípona .eml) a takto ho pošlete i s hlavičkami zprávy.

Hlavička e-mailové zprávy
Hlavička e-mailové zprávy

Pokud se chcete někam přihlásit, zejména do své banky, zadejte do prohlížeče její odkaz vždy ručně. A po dokončení úkonů se z citlivých systémů odhlaste. V případě nejistoty si zkontrolujte, že například vaše banka má na daném webu certifikát vydaný právě pro ni (a nikoliv anonymní bez údajů).

V oblasti nákupů se dějí podvody od doby, co je internet internetem. Podvodníci žádají naléhavě platbu předem a pak nedodají zboží, nebo pošlou cihlu. Doporučujeme nenaletět podezřele výhodným nabídkám, nepoužívat anonymní bazary a platit vždy přes nějakého zprostředkovatele (aukční portály jako eBay). Nakupujte pouze v obchodech, které znáte, protože mnoho e-shopů je čínských, zboží dodává pozdě či vůbec, nebo vás bude potichu okrádat. Nedávejte e-shopům detaily platební karty, ale používejte jiné metody (viz odstavec Další principy ochrany).

A nakonec zopakuji základní pravidlo ze začátku - nevěřte na zázraky. Nevěřte na zázračné výhry v loterii, převody peněz na váš účet a lásku přes Facebook.

Používejte silná hesla a dvoufaktorovou autentizaci

Silná hesla jsou důležitá proto, aby je útočník nemohl snadno odhadnout či prolomit. Pokud budete mít krátké heslo, útočník jej snadno prolomí „hrubou silou“ tak, že bude zkoušet všechny možné kombinace znaků a čísel a postupně zvyšovat délku, nebo bude zkoušet „slovníkový útok“. To znamená, že bude postupně zkoušet již známá a prolomená hesla, ale taky obecná slova.

Už tedy víme, že heslo nemá být krátké a nemá to být obecné slovo. Heslo by mělo obsahovat čísla i speciální znaky, aby bylo komplexnější. Uživatelé ovšem dělají velkou chybu v tom, že přidávají čísla a speciální znaky na konec hesla, kde jsou k ničemu.

Fatální je potom použití jmen, například členů rodiny. Uveďme si příklad, jak volba hesla často probíhá. Pan Novotný si chce své heslo dobře pamatovat, a tak jako základ zvolí křestní jméno manželky. Přijde mu to jako dobrý nápad, nejedná se o obecné slovo a on si ho dobře pamatuje. Heslo „jana“ je samo o sobě krátké, takže ho potřebuje něčím doplnit. Aby si heslo stále dobře pamatoval, doplní na jeho konec rok narození manželky a vznikne tak heslo „jana85“ či delší varianta „jana1985“; heslo má už v této podobě ucházejících 8 znaků a některé služby ho mohou akceptovat. Pan Novotný se však setká s tím, že mu hodně služeb odmítá heslo akceptovat, protože tam chybí velké písmeno a speciální znak. Jak si poradí?

Vznikne další verze hesla „Jana1985!“, která obsahuje velké písmeno a speciální znak. Toto heslo má větší šanci na to, že ho služby přijmou. A pokud bude muset heslo změnit či rozšířit, přidá jednoduše další speciální znak na konec.

Pan Novotný nám ukázal nejhorší možný postup, který lze zvolit a bohužel je stále rozšířen. Pro útočníka, který se na něj zaměří, nebude problém zjistit, jak se jeho manželka jmenuje. A jistě nebude problém zjistit rok jejího narození. Pak už útočníka od prolomení hesla dělí pouze speciální znak, ale on ví, že bude pravděpodobně na konci. Takže si vyzkouší několik speciálních znaků a heslo bude prolomeno za několik sekund.

Přijde vám to přehnané? Takové případy jsou známy, stačí aby měl útočník dostatečně silný motiv (získání peněz, žárlivost, vydírání, ale i obyčejná nuda). K tvorbě hesel používejte výhradně generátory hesel, které jsou součástí každého dobrého správce hesel. Mnoho generátorů hesel je i online, například Password Generator Plus.

Desítky až stovky hesel, které běžný uživatel internetu používá, si nelze pamatovat (a určitě nebudeme hesla opakovat). Používejte správce hesel, ať útočníkům neulehčujete práci. Tipy na vhodné správce najdete třeba na našem blogu, viz kategorie Správci hesel.

Jak používat dvoufaktorovou autentizaci k ochraně účtů

Dvoufaktorová autentizace (2FA), jinak nazývaná jako autentizace či přihlášení, spočívá v zadání krátkodobého kódu pro potvrzení přihlášení. Tento krátkodobý potvrzovací kód se generuje v aplikaci jako Google či Microsoft Authenticator, které jsou zdarma. Má platnosti typicky minutu a bez něj není přihlášení možné.

Dvoufaktorové přihlášení má velkou praktickou výhodu - i pokud by někdo cizí znal vaše přihlašovací údaje, tak se s nimi nepřihlásí, pokud nezná dočasný kód z Authenticator(u). A to určitě chcete!

Možnost využití 2FA najdete prakticky u všech velkých služeb, ať už je to Gmail, Facebook, Instagram či Netflix. Banky mají bezpečné přihlášení pomocí dalšího faktoru povinné už dlouho; nejčastěji využívají pro schválení přihlášení biometrické prostředky (otisk prstu na smartphonu).

Pro úplnost mi dovolte poznamenat, že vedle dvoufaktorové autentizace existuje i multifaktorová autentizace (MFA). Zatímco 2FA zahrnuje přesně dva faktory, MFA může zahrnovat více než dva faktory (například zmíněný biometrický otisk prstu).

Další principy ochrany

Zmíním ještě další důležité zásady, které sice nejsou tak zásadní jako dobré heslo ve správci hesel, ale nesmíte na ně zapomenout.

  • Sociální sítě berte jako podezřelé a nebezpečné místo. Nikdy neklikejte na odkazy, které vám někdo posílá, a neodpovídejte na nevyžádané zprávy.
  • Nikdy nesdílejte osobní údaje online: co jednou internetu svěříte, to už nikdy z něho nedostanete. Nemáte nad informacemi kontrolu. Pokud se vás bude někdo ptát na osobní údaje, nebo chtít osobní doklad, počítejte s nejhoršími úmysly.
  • Využívání bezpečných platebních metod: Doporučuji číslo platební karty a bezpečnostní kód nikam nezadávat, ani do platební brány. Dnes jsou daleko rychlejší a bezpečnější metody plateb, například Google Pay či Apple Pay. Pokud nejsou dostupné, tak použijte PayPal. Nikdy nedávejte platební údaje přímo obchodníkovi, viz další bod.
  • Sledujte své účty, zdali nenajdete podezřelé aktivity: Existují nečestní obchodníci (viz kauza Temu), kteří po určitém čase od prvního nákupu zkouší strhávat z platební karty peníze, které jim nepatří.
  • Aktualizace softwaru a antiviru: Udržujte aktuální operační systém na počítači i smartphonu, aktuální verzi prohlížeče a antivirový software (pokud máte Windows 10 a novější, antivir je už součástí). Pozor na antiviry, i ty mohou být ve skutečnosti zdrojem nákazy a podvodných antivirů existují desítky. V nejlepším případě z vás budou vysávat zbytečně peníze.
  • Pokud potřebujete prověřit program, a nemáte ho z důvěryhodného zdroje, nebojte se použít nástroj VirusTotal (viz odkazy) a nechte si ho zkontrolovat

Pokud jste dočetli až sem, děkuji vám za pozornost. Zjevně vás vaše bezpečnost na internetu zajímá a já vás mohu ujistit, že pokud budete na výše uvedené rady myslet, výrazně snížíte rizika podvodu a možné trauma.

Umělá inteligence přináší revoluci v podvodech

Nyní procházíme IT a průmyslovou revolucí, která bude zcela jistě pro lidstvo významná. AI (umělá inteligence) nám může pomoci s celou řadou úkonů, dokáže nám ušetřit čas, vytvářet umění a další dříve nepředstavitelné výstupy. Je logické, že od prvního okamžiku ji zneužívají i útočníci.

Umělá inteligence může pomoci napsat důvěryhodnější a dobře přeložený podvodný e-mail. Není pro ni problém vytvořit video s určitou osobou, či dokonale napodobit jeho hlas. Stačí k tomu mít nějaké vzorky, které slouží k naučení AI. Již dnes umí AI vytvořit video fiktivní události, umí vytvářet projevy politiků, kterým do úst vložíte co budete chtít a co nikdy neřekli. Už i v Česku doporučovali falešní Petr Pavel a Andrej Babiš pochybné investice, přičemž se jednalo o tzv. deep fake (zdroj).

Brzo se i u nás bohužel dočkáme falešných hovorů, kdy nám bude volat šéf a bude chtít například převést peníze na svůj účet. A kvůli AI ho nerozeznáte od originálu. Ubránit se tomu je výzva, která nás všechny čeká; a určitě to nebude tak jednoduché, jak odhalit falešného odesílatele e-mailu.

Mějte se na pozoru, protože podvody budou mít nepoznanou a dosud nepředstavitelnou formu. Slovy klasika - „nevěřte nikomu“. Já dodávám Pokud s ním komunikujete přes internet či telefon.

Užitečné odkazy:

  • Have I Been Pwned - Bezplatná online služba, která uživatelům umožňuje zjistit, zda jejich e-mailové adresy nebo hesla byly kompromitovány v některém z úniků dat. Uživatel zadá svou e-mailovou adresu, a pokud byla součástí narušení bezpečnosti, HIBP zobrazí podrobnosti o tom, v jaké databázi došlo k úniku. Služba také nabízí možnost nastavit upozornění, pokud bude zadaný e-mail součástí budoucích úniků. Spravuje ji expert na kybernetickou bezpečnost Troy Hunt a poskytuje cenné informace o ochraně osobních údajů.
  • Mozilla Monitor - Tato služba od Mozilly vám pomůže zjistit, zda byl váš e-mailový účet zasažen porušením dat. Firefox Monitor také informuje o nejnovějších porušeních dat a poskytuje užitečné informace o tom, jak chránit své osobní údaje.
  • DeHashed - Tato služba umožňuje uživatelům vyhledávat v rozsáhlé databázi, která obsahuje informace o únicích dat. DeHashed nabízí pokročilé možnosti vyhledávání, které mohou zahrnovat jména, uživatelská jména, IP adresy a další.
  • Zoner AntiVirus Online - Online nástroj pro prověření souborů. Podezřelý soubor nahrajete do nástroje a on ho prověří, zdali je „čistý“ či nikoliv. Zoner Antivirus používá vlastní heuristiku a je nejlepší v odhalování nových zranitelností, které ostatní ještě neznají (tzv. „Zero-day“ nákaza).
  • VirusTotal - Online nástroj pro prověření souborů a odkazů. Podezřelý soubor nahrajete do VirusTotalu a on ho prověří desítkami antivirů. Uděláte si tak obrázek, zdali je soubor „čistý“ či naopak.
  • Google Admin Tools - Messageheader - Nástroj vám umožní snažší analýzu hlavičky e-mailu a potvrdí, zdali má zpráva DKIM a DMARC.
  • Email Header Analyzer - Nástroj pro analýzu e-mailových hlaviček pro pokročilejší uživatele a správce.
Předchozí článek
Další článek
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz