Před několika dny na veřejnost unikly osobní údaje bezmála dvou set milionů Američanů, mezi nimiž byla data narození, adresy nebo politické preference. Na vině byla firma Deep Root Analytics spravující voličské informace pro Republikánskou stranu. Ukázalo se, že data uložila na nezaheslovaném internetovém serveru Applu, kde se k nim mohl kdokoliv jednoduše dostat.
Za podobnými bezpečnostními incidenty ve většině případů stojí počítačoví hackeři, četné jsou ovšem také případy firem, které útočníkům vlastní nedbalostí otevírají dveře do svých počítačových systémů. Riziko zneužití informací na internetu lze přitom snižovat školením řadových uživatelů i zaměstanců společností, což bylo jedním z témat debaty českého Microsoftu s odborníky na kybernetickou bezpečnost v rámci první ze série videoseminářů nazvaných Microsoft Talks.
Rádi útočíme na sekretářky, říká etický hacker
Podle jednoho z řečníků, Pavola Luptáka z bezpečnostní společnosti Nethemba, lze zabezpečení firem posilovat třeba prováděním takzvaných penetračních testů. Při nich pracovníci Nethemby simulují hackerský útok na firmu, jejíž odolnost proti ostrým výpadům internetových zločinců testují. Při cíleném útoku vedeném na konkrétní společnost je podle Luptáka pro útočníky důležité objevit zranitelnost v počítačovém systému a obelhat někoho ze zaměstnanců. Ten pak do firemních počítačů nevědomě vpustí virovou nákazu.
"My se velmi rádi soustřeďujeme na sekretářky. Většinou jde o zaměstnankyně, které mají nižší bezpečnostní povědomí, přitom ale mají blízko k předním manažerům firmy. Takové sekretářce pak pošleme třeba e-mail, v němž je nakažená příloha ve formátu pdf nebo doc. Využíváme starší neaktualizované verze těchto programů, které mají bezpečnostní zranitelnosti a do nichž nákazu vkládáme. Když sekretářka aktuální verzi softwaru nepoužívá a přílohu otevře, tak se její počítač nakazí, aniž by si toho všimla. My pak její zařízení postupně ovládneme a můžeme z něj stahovat citlivé údaje," vypráví takzvaný etický hacker, tedy člověk živící se tím, že firmy na chyby v jejich bezpečnosti upozorňuje.
Útoky vedené prostřednictvím zasílání nakažených e-mailů jsou označovány jako phishing a hackeři se při nich většinou soustřeďují na desítky tisíc náhodně vybraných počítačů. "Úspěšnost podobných kampaní ale postupně klesá. Dnešním trendem jsou proto cílené útoky zaměřené na skupiny deseti a méně lidí," uvádí David Šostý, expert na cloudovou bezpečnost Microsoftu.
"Hackeři se mohou soustředit i na jediného člověka. Může jít o člena managementu firmy nebo administrátora systému, který spravuje přístupové údaje do firemního systému. Než se mu přitom e-mailem ozve, tak si o něm nastuduje dostupné údaje na sociálních sítích, aby pak při jeho oslovení navodil pocit důvěry," zmiňuje Šostý.
Podobný příklad zmiňuje i ředitel informační bezpečnosti České spořitelny Marián Tvrdý. "Zaznamenali jsme třeba případ, kdy se hacker vydával za ředitele společnosti a oslovil její účetní s žádostí, aby mu na jeden účet v zahraničí zaslala dvacet tisíc eur. Argumentoval tím, že peníze potřebuje na provedení nějaké akvizice. Uváděl, že je to důvěrné a účetní o tom nesmí nikomu říci. Tím vzbudil pocit důvěryhodnosti a navíc na ni naléhal, takže ty peníze odeslala," uvádí Tvrdý. "Naštěstí se nám podařilo transakci zastavit. Zaměstnanci by ale měli být v podobných případech velmi obezřetní," říká bezpečnostní expert.
Hackerům se platí až za provedený útok
Hackeři přitom neútočí jenom na jednotlivé zaměstnance, ale provádějí také útoky na webové stránky firem, které během takvaného DDoS útoku rychle zahltí a tím uživatelům zamezí, aby se na ně dostali. "Často si hackery objedná jeden internetový sázkový web proti druhému. Objednávka DDoS útoku vyjde na stovky dolarů, obrana proti němu ale mnohdy stojí desítky až stovky tisíc dolarů," uvádí etický hacker Lupták, který popisuje, že hackerské útoky fungují jako jedna ze zbraní konkurenčního boje. "Objednatel většinou útok poptává na některém z online tržišť na takzvaném dark netu, která jsou anonymní. Platbu řeší bitcoiny, peníze se ale hackerovi odešlou až po úspěšném provedení akce. Tím má objednatel jistotu, že bude útok fungovat. Pokud ne, tak hacker nedostane zaplaceno," vysvětluje Lupták.
Všichni řečníci se shodují na tom, že největší bezpečnostní riziko v současnosti představují takzvané útoky nultého dne. Na většinu známých hrozeb jsou antivirové a další bezpečnostní systémy připraveny. "Hackeři si ale často pořídí známý virový kód, který mírně upraví, takže není rozpoznatelný standardními bezpečnostními systémy. Jenom za poslední půlrok jsme tak evidovali 6500 zcela nových počítačových virů," uvádí zástupce Microsoftu Šostý.
Podle něj je zjevné, že všem kybernetickým hrozbám uživatelé zabránit nemohou. Měli by ovšem dbát na obezřetnost při čtení e-mailové pošty, aktualizovat své softwarové programy nebo při přihlašování do internetového bankovnictví používat vícestupňové ověření své identity. "Klíčové je rovněž zálohování svých dat třeba v cloudu, kde o ně během případného útoku nepřijdete," říká Šostý.
