Hackeři cílí na citlivá data
Kybernetických útoků bude přibývat Jejich provedení navíc bude téměř bezchybné
Hackeři stále více cílí na státní servery s citlivými údaji o obyvatelích. Poslední takový útok se stal na začátku února, kdy byl spuštěn systém elektronických přihlášek na střední školy. Web přihlášek, který spravuje Centrum pro zjišťování výsledků vzdělávání (Cermat), tehdy díky automatické ochraně odolal třem útokům hackerů.
„Pro případné útočníky jsou servery státních institucí a jejich aplikací velmi zajímavé. Shromažďují totiž citlivé údaje občanů, v případě přihlášek na střední školy navíc nezletilých, což zvyšuje potenciální riziko pro takové útoky,“vysvětlil pro LN Vojtěch Sláma, jednatel společnosti Citadelo, která se zabývá etickým hackingem – tedy ověřením míry zabezpečení systému proti hackerským útokům. Ve všech třech případech se jednalo o takzvané DDoS útoky. Těmi se útočníci snaží vysokým množstvím přístupů na weby najednou přes více počítačů stránky zahltit, a tím narušit jejich fungování.
Podle Slámy je hned několik důvodů, proč na takové servery útočníci cílí. Pracuje se na nich totiž s identitou občana, případně bankovní identitou a e-mailovou adresou. „Získané údaje v podobě účtů na sociálních sítích, e-mailů a identit mohou využít například k šíření dezinformací, zejména z Ruska. S ukořistěnými údaji také dotyční mohou obchodovat na černém trhu či s nimi zvýšit věrohodnost při pokusech vymámit z někoho přihlašovací údaje do bankovnictví či firmy,“pokračuje IT odborník s tím, že je potřeba, aby tyto systémy byly neustále pravidelně kontrolovány pomocí penetračních testů (simulované hackerské útoky).
Kybernetických útoků za poslední rok navíc přibylo. Loni jich totiž Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval rekordní počet, a to 262. Oproti roku 2022 se 146 útoky to byl téměř dvojnásobek. Počet napadení je velmi vysoký, protože vychází ze zhruba
čtyř set úřadů, které NÚKIB reguluje. Jsou jimi například ministerstva či Úřad vlády. Příčinou nárůstu byly především opakované vlny již zmíněných DDoS útoků vedené převážně proruskými skupinami hackerů. Celkový počet útoků v Česku byl loni podle Policie ČR 19 592, což je o tisíc více než v roce 2022.
Někdy stačí jen falešný web
Podvodníci mají i jednodušší a levnější způsoby, jak získat citlivé informace od běžných uživatelů. Loni v září například byla rozesílána SMS, v níž byl odkaz na falešný, ale velmi podobný web portálu Exekuceinfo.cz, spravovanému ministerstvem práce a sociálních věcí, který měl adresu http://exekuceinfocz.pro. Pachatelé chtěli kvůli údajné exekuci u různých úřadů po dotyčné osobě vyplnit na falešném webu osobní údaje. Těmi může být již
zmíněná identita či přihlašovací údaje k bankovnímu účtu.
„Na podvod nás může upozornit už samotná SMS zpráva, nejedná se totiž o oficiální informační kanál, který používají státní instituce. Dalším znakem podvodu je samotný fakt, že zpráva dorazila neočekávaně a nevyžádaně, zejména v případě, že žádné exekuce nemáme,“řekla LN specialistka kybernetické bezpečnosti společnosti ESET Vladimíra Žáčková. Dotyčného by měla varovat i přílišná naléhavost toho, že se má něco udělat hned, a také špatná internetová adresa.
Prevencí je se zeptat příslušné společnosti, jestli SMS či e-mail nejsou podvod. „Nesmím ale odepisovat nebo volat odesílateli SMS a e-mailu, protože tím bych komunikoval pouze s podvodníkem,“varuje ředitel bezpečnosti české telekomunikační společnosti CETIN Pavel Rivola. Správnou cestou je tak zadat do e-mailu nebo mobilu znovu příslušný kontakt na danou organizaci. „A to i v případě, že jsou čísla i e-mailové adresy totožné,“dodává.
Útok však může mířit i na přístup do firemního systému přes napáleného zaměstnance. „Útočník se díky získání hesel, která dotyčný vyplní například na falešném webu, může dostat k citlivým souborům firmy. Ty zašifruje a po firmě požaduje výkupné ve výši i několika milionů korun,“sdělil jednatel Citadelo Vojtěch Sláma. Je tedy vždy lepší dopřát si čas na rozmyšlenou a neotevírat podezřelé odkazy ve shonu běžného pracovního dne. „Na to totiž útočníci nejvíce spoléhají,“doplňuje. Dobré je také pravidelně aktualizovat operační systémy v počítači či mobilním telefonu. Jakákoliv hesla by pak měla být správně sestavena z několika na sobě nezávislých slov, a nikoliv z jednoho.
AI zvýší věrohodnost útoků
Odborníci také varují, že s příchodem umělé inteligence (AI) budou kybernetické útoky stále věrohodnější. Nynější AI technologie jsou tak pokročilé, že už dávno nezní jako roboti a od reálné osoby jdou jen těžko odlišit.
„Generativní AI, která může vytvářet přesvědčivý audio a video obsah, může vznikat na základě obsahu, který je na internetu dostupný – zejména sociální sítě. Jakákoli naše fotografie, reels, videa, kde je dostupný náš osobnostní projev, podoba a hlas, slouží jako potrava pro vytvoření těchto deepfake útoků,“upozornil Sláma.
Takový případ se již odehrál v Hongkongu, kdy byl finanční ředitel jisté banky obelstěn kombinací deepfake videohovoru a phishingu. Finanční ředitel totiž nepoznal, že na online schůzce nemluví s členy společnosti, ale s jejich iluzí a dle jejich pokynů převedl finanční prostředky ve výši přes půl miliardy korun na účet hackera, který útok zosnoval. Pokud dojde k napálení a vzniku škody, je nutné vše ohlásit Policii ČR, své bance a změnit hesla.