Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

Potenciálně rizikovým neboli podezřelým rozumíme cokoliv od překlepu ve větě, přes podezřelou adresu odesílatele až po propadlý certifikát webové stránky. Nic z toho zpravidla není jednoznačným indikátorem, že se jedná o podvodnou aktivitu útočníka, ale je to pro nás jako pro uživatele znamení, že by zde mohlo být něco v nepořádku. Pokud je podobných prvků na webové stránce či e-mailu více, riziko toho, že jsme terčem podvodu, se výrazně zvyšuje.

Obecně nejméně chyb zachytili uživatelé na falešné přihlašovací stránce a v případě podvodné aplikace. V rámci testu se objevují také e-maily vyhrožující exekucí. Jde o trik, který používají útočníci k šíření malware už léta. Pro mě překvapivě u této otázky respondenti dosahovali úspešnosti jen 45%.

Zřejmě nejsnazší byla otázka na legitimní aplikaci banky, kde úspěšnost dosahovala 79%. V případě tzv. vishingu, neboli podvodném telefonátu doporučuji v první řadě ověřit, zda je volající nebo odesílatel skutečně osobou, za kterou se vydává a se kterou můžete otevřeně jednat.

Pokud nedochází k osobnímu jednání, můžete podobně ověřit i webové stránky. V tomto velice pomáhá bezpečnostní program, který řadu podvodů odfiltruje za vás.

V současné době je zabezpečení bankovních systémů na velmi vysoké úrovni. Z toho důvodu sledujeme dlouhodobě trend zaměření aktivit útočníků na nejzranitelnější článek v celém řetězci - uživatele. Dlouhodobě představují vysoké riziko phishingové e-maily a SMS zprávy, podvodné aplikace a různé druhy škodlivých kódů, které cílí jak na osobní počítač, tak chytrý telefon uživatele.

Samostatnou a mimořádně nebezpečnou kapitolu představuje tzv. vishing, který z logiky věci obchází veškeré bezpečnostní mechanismy. Klíčová je proto neustálá edukace veřejnosti. Jen v takovém případě můžeme riziko bezpečnostního incidentu minimalizovat.

Běžným typem webového podvodu je homoglyfový útok. V takovém případě útočník zamění velmi podobné znaky, aby adresa podvodného webu vizuálně připomínala nějakou legitimní značku či stránku. Lidské oko rozdíl prakticky nepozná, počítač ano. Nejčastěji falešné stránky imitovaly přihlášení k portálu online směnárny kryptoměn Blockchain, internetbankingu Erste Bank či e-mailové službě Hotmail.

Počet e-mailových hrozeb se mezi lednem a dubnem 2021 prakticky nezměnil. Analýza předmětů infikovaných e-mailů prokázala, že ve třetině případů vydávali útočníci malware za platební dokumenty - faktury, potvrzení objednávek či nákupů.

V našich telemetrických datech jsme první indikátory kompromitace viděli v září roku 2020. Aktivita útočníků pokračovala rychlým tempem, až na začátku února 2021 jsme detekovali vysloveně škodlivou aktivitu - v tu chvíli jsme incident nahlásili společnosti BigNox. Máme dostatek důkazů, které potvrzují, že infrastruktura společnosti BigNox byla kompromitována za účelem šíření malware.

Naše nálezy dále naznačují, že došlo také ke kompromitaci API. V některých případech docházelo v rámci aktualizací k dodatečnému stahování dalšího malware ze serverů kontrolovaných útočníky.

Uživatelům doporučujeme přeinstalování aplikace z čistého média. Společnost BigNox již uvedla, že zavedla potřebná opatření, aby si uživatelé mohli aktualizovat službu bez rizika.

Celkově jsme detekovali 29 miliard pokusů o prolomení RDP, respektive RDS. Nejčastěji ve Spojených státech, Polsku, Španělsku, Rusku, Německu, Británii a České republice. V tuto chvíli nelze přesně určit, proč je Česko pro útočníky tolik zajímavé. Svědčí o tom i nárůst detekcí ransomware a penetračních průniků. Je možné, že jen našli dost zranitelných míst.

Apeloval bych proto na všechny instituce, aby zabezpečení bodů vystavených do internetu nepodceňovali. Podle dostupných dat útočníci nejčastěji zneužívají známé zranitelnosti, například BlueKeep a EternalBlue, byť jsou nyní jednoznačně na ústupu, proto bych doporučil dbát na pravidelné aktualizace.