Terčem četných virtuálních útoků se nedávno staly tisíce českých majitelů telefonů iPhone, jejichž výrobou je celosvětově známá společnost Apple. Útočníci jim prostřednictvím několika českých telefonních čísel rozeslali klamavé zprávy. Vyžadovaly po nich, aby si aktualizovali přihlašovací údaje do služby Apple ID. Cílem však bylo, aby si uživatelé iPhonů otevřeli falešnou webovou stránku. Tím riskovali krádež osobních dat. Na svém webu o tom informovala společnost ESET, jež se zabývá digitálními bezpečnostními systémy. Jaká obrana proti útokům, které se nazývají phishingové, existuje? Máme pro vás návod, jak si cestu do digitálního soukromí ochránit.
„V SMS zprávách, které přicházejí uživatelům v České republice, je uvedeno upozornění. V něm se píše, že zařízení – tedy mobilní telefon – bylo z bezpečnostních důvodů uzavřeno a že je nutné resetovat heslo. Přes přiložený odkaz, který parazituje na legitimní webové adrese, se uživatel dostane phishingovou stránku. Ta poměrně věrohodně imituje tu pravou,“ popsal útoky, směřované na uživatele telefonů iPhone, začátkem listopadu v tiskové zprávě Jiří Kropáč – bezpečnostní analytik ESETu.
Při phishingu se útočník vydává za důvěryhodnou osobu (identitu). Vybranou oběť (či spíše vybrané oběti) ale pouze klame. Za zdánlivě seriózním vystupováním se skrývá úmysl ukrást citlivé osobní údaje. Útoky formou phishingu mívají povahu e-mailové nebo SMS zprávy, často s odkazem na falešnou webovou stránku.
Uživatel, tedy útočníkova oběť, ale není bez šance na jejich odhalení. Jako indicie mu k tomu může posloužit například ne zcela správná gramatika doručené zprávy. Webové stránky společnosti ESET také zmiňují, že v podvodných sděleních se mohou nacházet slova nepřeložená z cizího jazyka. Zcela nehorázný je pak samotný obsah podvodných zpráv. Kdo by nebyl při nejmenším rozpačitý, kdyby jej někdo vyzval třeba k zadání údajů z kreditní karty. I toto rozhodně může v uživateli vyvolat uvědomění, že něco není v pořádku.
Když se vám ovšem útočníkovy praktiky rozkrýt nepodaří, stále nemusíte zoufat. Je tu totiž řešení, které v plánech pachatelů znamená znatelnou čáru přes rozpočet.
Jak na dvoufaktorové zabezpečení účtu
Následující část textu bude pojednávat o dvoufaktorovém zabezpečení účtu a především o tom, jak ho provést.
Část první: jak si vytvořit silné heslo
Dvoufaktorové zabezpečení přihlášení možná znáte pod pojmem dvoufázové přihlášení. Ačkoliv by se mohlo zdát jako složitá procedura, opak je pravdou. Dvojnásobné ověření, že přihlašující se osobou je skutečný vlastník účtu, je poměrně snadné. Jak již napovídá slovo „dvoufázové“, přihlášení má v takových případech dvě části – dvě fáze.
První fází je samotné heslo. Vytvoření dostatečně silného a útočníky obtížně překonatelného hesla je kapitolou samo pro sebe. Obecně platí, že čím delší heslo si zvolíte, tím větší vám bude poskytovat ochranu. Pokud pro tuto chvíli nebudeme rozlišovat mezi písmeny a číslicemi a omezíme se prostě na pouhé znaky (což je pojem písmenům i číslicím nadřazený), můžeme si říct, kolik znaků by takové odolné heslo mělo mít.
Například web Bezpečný internet uvádí, že minimálním předpokladem pro kvalitní heslo je osm znaků. Za ještě ideálnější variantu pak považuje situaci, kdy si uživatel vytvoří heslo ze čtrnácti nebo ještě vyššího počtu znaků. Podle blogu společnosti Avast, známého tvůrce antivirových programů, je jednoduše zdolatelné jakékoliv heslo, jehož počet znaků se nepohybuje alespoň v rozmezí devíti až dvanácti. Jako nejspolehlivější volbu pak označuje vytvoření hesla, jehož délka neklesne pod patnáct znaků. Nižší počet znaků uvádí pro bezpečné heslo sekce nápovědy českého vyhledávače Seznam.cz. Minimum znaků je zde vymezeno číslem šest.
Samotný počet znaků ale pro silné heslo nestačí. A v této pasáži textu se již dostáváme k písmenům a číslicím. Když je zmiňujeme bezprostředně po sobě, asi vás nepřekvapí, že při tvorbě je vhodné obě podmnožiny znaků skombinovat. Nápověda od Seznamu se s tím ztotožňuje, přičemž ale upozorňuje, že u poštovních domén seznam.cz a email.cz nejsou podporována písmena s diakritikou (háčky a čárkami) ani mezery. Současně vedle kombinování písmen a číslic doporučuje ještě kombinaci malých a velkých písmen. Ta může být i takováto: MakaRon149sYroVY.
Variantu hesla s malými i velkými písmeny a číslicemi kvituje také Bezpečný internet. Podle něj by se však lidé neměli omezit pouze na číslice a písmena dvou velikostí. Využít radí i speciální znaky. Jako příklad takového speciálního znaku vám může posloužit symbol americké měny dolaru. Vypadá takto: $ a podle blogu Psaní hravě jen operační systémy Windows nabízejí tři možnosti, jak takový znak napsat. První možností je stisknutí kláves s Alt Gr a ů, druhou možností jsou klávesy levého Altu, Ctrl (není uvedeno, jestli to má být klávesa Ctrl napravo či nalevo) a ů. Třetí možní je pak kombinace levého Altu a číslic 3 a 6. Zvláštním znakem ale mohou být i banálnější znaky, než je symbol pro dolar či euro. Je to například i tečka, spojovník (-) nebo otazník. Příkladem této pokročilejší kombinace může být mimo jiné toto: #PoLOtucnE_mleKo05L.
Pro ty z vás, kdo mají dobrou paměť, skýtají řešení v podobě vytvoření silného a bezpečného hesla také zvláštní fráze. Avast zmiňuje kombinaci několika slov, jež spolu zdánlivě nesouvisejí. Příkladem takovéto zvláštní fáze může být třeba toto: HujerPivoNetflixEpidemie.
Část druhá: použití známého údaje ze života
Vytvoření dostatečně odolného hesla máme v kostce za sebou. Nyní se přesuneme k druhé fázi ověření přihlašujícího. Tou je zvolení nějakého konkrétního údaje, který je spojen s vaším životem. Typicky to může být telefonní číslo, datum narození, otisk prstu (případný útočník bude těžko mít stejnou DNA jako vy) nebo prostě jenom náhodně zvolený (ale pro uživatele samozřejmě zapamatovatelný) číselný kód.
Aktivovat si dvoufázové ověření se vyplatí. Budete mít totiž mnohem větší jistotu, že se vám přes přihlašovací údaje nikdo cizí a nepovolaný nedostane. Mimo jiné tak můžete třeba zabránit zneužití svého mobilního telefonu, pokud ho naneštěstí ztratíte.
Kromě dvoufaktorového ověření ovšem pochopitelně stále platí stará a osvědčená rada. NIKDY své přihlašovací údaje nesdělujte (nepište) osobě (identitě), která se vám zdá byť jen trochu podezřelá. Reagovat na podezřelé e-mailové nebo SMS výzvy nemá význam, můžete tím jen ztratit, nikoliv získat.
Potvrdil to i bezpečnostní analytik Jiří Kropáč. „Uživatel, který na základě e-mailu či SMS své přihlašovací údaje zadal, se vystavuje významnému riziku jejich odcizení. Může tak přijít například o své fotografie a další různé soubory. Útočník navíc získá přístup k elektronické poště, záznamům v kalendáři nebo třeba ke cloudovému úložišti,“ varoval.
Autor: Petr Komárek, Redakce NejPřipojení.cz 10.11.2021
Pozor na neoficiální aplikace! Které to jsou?
Ze shrnutí vyplývá, že během šestého kalendářního měsíce – tedy června – představovaly riziko především stalkerwares a malwares.
Autor: Redakce NejPřipojení.cz 2.8.2021
Jak získat internet, když mám exekuce?
Jak je to ale s exekucemi v souvislosti s internetovým připojením? Přesněji, s pořízením připojení k internetu?
Autor: Redakce NejPřipojení.cz 19.7.2021
Nové opatření proti šíření dětské pornografie
“Všechny naše osobní elektronické zprávy tak budou kontrolovány, zda náhodou neobsahují podezřelý obsah”, upozorňuje Marcel Kolaja z Pirátů, který byl PROTI.
Autor: Redakce NejPřipojení.cz 12.7.2021
Jak si správně změřit rychlost internetu?
Vánoční svátky jsou za námi a řada lidí našla pod stromečkem nový notebook, stolní počítač, mobil nebo tablet. Pokud dárek splnil očekávání, ale kvůli kvalitě internetového připojení už s ním taková zábava není, je potřeba zjistit, kde může být problém.
Autor: Redakce NejPřipojení.cz 28.12.2020
Konspirační teorie kolem 5G rozjíždí obchod se strachem
Poplašné zprávy o tom, že 5G sítě mohou být škodlivé lidskému zdraví, se s nástupem superrychlého internetu objevují na sociálních sítích a ve virtuálních médích v poměrně pravidelných intervalech.
Autor: Redakce NejPřipojení.cz 12.10.2020
Jak získat internet, když jsem v SOLUSU?
Získat „status“ dlužníka či neplatiče není v dnešní době nijak složitá věc. Člověk se dostane do rejstříku SOLUS celkem snadno. V mnoha případech si tak znepříjemní život kvůli banální částce nebo opomenutí.
Autor: Redakce NejPřipojení.cz 1.6.2020
1.4.2020 celoplošný konec úvazků!
1.4.2020 vejde v platnost novela zákona, která zamezí pokutování zákazníků za předčasné ukončení smluv.
Autor: Redakce NejPřipojení.cz 3.2.2020
Spravujte své soukromí
Funkční Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si účastník nebo uživatel výslovně vyžádal, nebo pouze pro účely provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Uživatelské
Technické úložiště nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány účastníkem nebo uživatelem.
Statistické
Technické úložiště nebo přístup, který se používá výhradně pro statistické účely.
The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketingové
Technické úložiště nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo na několika webových stránkách pro podobné marketingové účely.
Statistiky
Marketing
Funkce
Vždy aktivní
Vždy aktivní