Obětí kyberútoku se může stát opravdu každý. Připravili jsme proto pro uživatele na Masarykově univerzitě zajímavou a užitečnou sérii rad, tipů a novinek, které vám pomohou ochránit před útočníky vaše data a citlivé údaje.
Název phishing, česky trochu krkolomně přeloženo jako rhybaření, není náhodný. Vychází z faktu, že podobně jako u reálného rybaření útočníci nahodí udičku v podobě podvodných mailů a čekají na své oběti jako rybář na ryby, až se na návnadu chytí. Nejčastěji hackeři vytvářejí falešné přihlašovací stránky, které se snaží co nejvíce připodobnit těm originálním. Pomocí nich pak cílí na získání přihlašovacích údajů oběti. Možná si právě teď říkáte, proč byste zrovna vy zajímal/a internetové podvodníky? Nicméně každý z nás má bankovní účet, profil na sociálních sítích, přihlašuje se do nejrůznějších aplikací anebo má důležité soubory uložené v počítači. Padouši z nás tak mohou například vylákat peníze, zneužít náš počítač a naše účty pro své účely, aniž bychom o tom věděli. Činí tak plošně (například pomocí hromadných phishingových e-mailů), doslova lapají své oběti jako hejno ryb do sítě s tím, že každá chycená ryba se útočníkovi vyplatí. Každý z nás má tedy pro útočníka cenu – pokud se mu nás podaří chytit. 😉
Víte, co je to spam? A že existují neškodné spamové maily,
ale také nebezpečné typy, co vám mohou pěkně zavařit?
Spam je obecné označení nevyžádané e-mailové zprávy a je jich několik typů. Nástroje na ochranu proti nim se neustále vyvíjí, stejně tak se ale vyvíjí i triky odesilatelů a nikdy se nepodaří automaticky odhalit všechny podezřelé zprávy. Zároveň jsou někdy jako podezřelé označeny zprávy naprosto korektní. Nevyžádané reklamní maily totiž mohou být sice otravné, ale nejsou škodlivé. Kdežto phishingové zprávy, které se od vás snaží vylákat přístupové údaje, aby útočníci mohli napadnout počítače a systémy, jsou velice nebezpečné. Proto je potřeba, abyste byli obezřetní a dokázali rozpoznávat jednotlivé typy nevyžádaných zpráv a věděli, jak s nimi nakládat. Jaké to jsou?
Obchodní sdělení – nemusí se jednat ve skutečnosti o spam. Může jít o zprávy, jejichž odběr jste si zadali například při nákupu v e-shopu nebo při stažení nějaké e-knihy. Takové maily by měly mít viditelnou informaci o možnosti zrušení odběru. Neoznačujte takové zprávy jako spam, ale zrušte jejich odběr. Teprve pokud zrušení odběru nezafunguje, má smysl zprávu označovat jako spam.
Běžný spam – vyhrané miliony, zemřelí bankéři z Nigérie, nabídky zboží, zdravotnických pomůcek, poplašné zprávy… Obtěžující, ale nikoli nebezpečné. Stačí nereagovat a zprávu označit jako spam.
Phishing – je nebezpečný a jeho cílem je získat od uživatelů přihlašovací údaje. Podvodníci napodobují zprávy od správců služeb (například zaměstnanců banky) a snaží se využít některé lidské slabiny, například strach, touhu po zbohatnutí a další, aby vás zmanipulovali. Často působí naléhavě („pokud něco neuděláte, ZÍTRA vám zrušíme schránku!“) a obsahují odkaz na stránku pro zadání uživatelského jména a hesla. Přihlašovací údaje jsou pak použity pro napadení počítačů, rozesílání dalšího spamu nebo pro průnik do dalších systémů. Na tyto zprávy nereagujte, ale nahlaste je fakultním správcům nebo na csirt@muni.cz.
Pokud od vás zpráva nechce přihlašovací údaje nebo jiné citlivé údaje (například číslo bankovní karty), nejedná se o phishing, je to běžný spam.
Spear phishing – obzvlášť nebezpečná verze phishingu, protože je připravená na míru dané organizaci, nebo dokonce uživateli. Například využívá grafiku či logo Masarykovy univerzity, odkaz míří na stránku, která je velmi podobná stránce s jednotným přihlášení MU nebo přihlašovací stránce IS MU. Opět je důležité nereagovat a nahlásit mail fakultním správcům nebo na csirt@muni.cz.
Více o tom, jak můžete ovlivnit filtrování pošty v Office 365, si určitě přečtěte v krátkém článku Práce se SPAMem v Office 365.
Většina z nás dnes tuší, že heslo123 není bezpečnou variantou hesla. Víte ale, proč byste neměli používat ani hesla typu D0MecEK, M!$t0 anebo Pejsek1?
Síla hesla
Síla hesla totiž netkví pouze v použití co nejvíce speciálních znaků. Pokud útočník zaměří svou mušku právě na váš učet, nebude si týdny lámat hlavu nad jménem vašeho domácího mazlíčka, oblíbené barvy či kapely, ale využije účinnější zbraň – internetové boty, kteří jsou schopni vyzkoušet tisíce kombinací hesel za minutu a nebude pro ně problém odhalit správná hesla, která jsou tvořena pomocí zástupných znaků na očekávatelných místech (viz příklady uvedené výše: D0MecEK, M!$t0). Případně může použít techniku slovníkových útoků. To znamená, že útočník využije slovník, který obsahuje často používaná hesla, a začne je upravovat. Typicky zkusí například na konec slova přidat vykřičník, jedničku, změní první písmeno na velké a podobně (viz příklad uvedený výše: Pejsek1).
Bezpečnější variantou je vytvářet takzvaná frázová hesla. Jedná se o spojení několika slov, která na první pohled někomu jinému nemusí dávat smysl, ale pro vás se stanou lehko zapamatovatelná.
Jak na to? Jako podklad pro tvorbu takového hesla vám může posloužit například část básně, pohled na ulici z okna, vzpomínka z dětství – fantazii se meze nekladou. Tři až čtyři slova postačí. Pokud chcete heslo dovést k dokonalosti, přidejte na náhodná místa zástupné znaky (mezera, čísla, interpunkce, symboly). Výsledkem může být vytvoření například takovýchto frázových hesel: HOOPskočilzajícpřes2pole, 3karatovýprstenodM., 10%šancevsázcesPetrem, 8_polibšosKosům, trhatfialkyBOOM5dynamitem. Prolomit jedno takové heslo hrubou silou bude trvat několik miliónů let.
Správci hesel – záchrana pro zapomětlivé
Všichni také víme, že bychom neměli používat jedno heslo k více účtům. Řekněte si ale na rovinu, jestli právě toto pravidlo dodržujete. Možná si říkáte: „Kdo si má ale pamatovat všechna ta hesla?“. Máme pro vás dobrou zprávu – nemusíte si je všechna pamatovat vy. Od toho tu jsou správci hesel. Jedná se o pomocníka v podobě truhlice vašich hesel, která je zaheslovaná jedním hlavním, silným heslem, pomocí kterého ji odemknete a dostanete se ke všem vašim heslům k různým účtům.
Můžete si také naistalovat plug-in do svého prohlížeče, který vám zjednoduší práci s přihlašováním ke svým účtům, a zároveň zvýší jejich zabezpečení. Také si můžete stáhnout mobilní aplikaci vybraného správce hesel, který se postará o bezpečné přihlašování i z vašeho mobilního telefonu. Pokud tak pojedete zase někdy v šalině a budete se přihlašovat například do Informačního systému MUNI, nikdo už neokouká vaše heslo přes rameno, protože ho už nebudete muset zadávat manuálně – písmeno po písmeno, číslo po čísle, symbol za symbolem.
Možná si pomyslíte: „Svěřit všechna hesla jednomu nástroji? To zní přece tak riskantně!“ Chápeme tyto obavy. Přesto je dle vědeckých výzkumů využívání správce hesel považováno za nejspolehlivější metodu. Víme, že psaní hesel na papírek do šuplíku odzvonilo – nejedná se o bezpečné skladování přístupových údajů k našim cennostem. A zároveň by bylo utopistické myslet si, že všechna hesla udržíme pouze ve své hlavě. I proto většina lidí svá hesla recykluje a používá stejné heslo pro více účtů. Nakonec se tak může stát, že heslo do našeho internetového bankovnictví je identické s naším heslem k Facebooku. A problém je na světě – dali jsme útočníkovi výhodnou nabídku dva za cenu jednoho. Ulehčovat práci kyberzločincům přece nechceme. Za náš expertní tým můžeme doporučit například Bitwarden (zcela zdarma), ESET (pouze v placené verzi) a pro majitele Apple zařízení Klíčenka (KeyChain).
Pokud jste dočetli až jsem, super! Zopakovali jste si základy bezpečnějšího chování v kyberprostoru. Napadlo vás ale někdy, jak může souviset zanechaní vašeho laptopu s nezamknutou obrazovkou na stole v knihovně, když jste si potřebovali odskočit, se zrušením vašeho studia?
Ani ne pět minut a oheň je na střeše. V případě, že se ze svých účtů pravidelně neodhlašujete (buďme k sobě upřímní, opravdu dodržujete pravidlo odhlašování se z účtů?) a bez jakéhokoli přemýšlení opustíte svůj odemknutý laptop na stole na veřejném místě, necháváte pro útočníka téměř neomezené možnosti, jak vám může uškodit. Třeba právě zrušení studia v našem příkladě pro něj nebude nic těžkého. Jednoduše si otevře váš profil v Informačním systému a podá na úřadovnu Oznámení o zanechání studia. Hotovo.
Pravidlo číslo jedna tedy zní – NIKDY nenechávejte svá zařízení ležet odemknutá na veřejných místech. Ani v knihovně, ani ve vlaku, ani ve studovně, zkrátka nikde. Za malou chvíli mohou vzniknout velké problémy. Vždy při odchodu zamkněte obrazovku svého zařízení – zmáčkněte kombinaci Win + L v případě počítače s operačním systémem Windows, Ctrl + Shift + Eject nebo Ctrl + Shift + Power v případě MacBooku (varianta s tlačítkem Power je alternativou pro modely, které již nedisponují klávesou Eject). Anebo jednoduše zaklapněte displej. Jednoduché, že?
Podobně bychom při našem odchodu neměli nechávat odemknutou kancelář. Nalijme si čistého vína – kdo z nás si opravdu pečlivě ukládá dokumenty s citlivými údaji do zamykacího šuplíku pokaždé, co si jde odskočit na tři minuty pro kávu do automatu? V případě, že necháváme na stole u počítače ležet dokumenty s informacemi, které by bylo možné digitálně zneužít, pokud by se útočníkovi dostaly do ruky, neváhal by a učinil by tak.
Další bezpečností zásadu, kterou je vhodné dodržovat v oblasti fyzické bezpečnosti, je nepůjčovat zařízení, které je využívané výhradně mou osobou k pracovním i osobním účelům, jiné osobě a nechávat jej bez našeho dohledu. Pokud tak učiníme, musíme si uvědomit risk, že dané osobě předáváme do rukou všechny naše cennosti. A pokud by chtěla, může je zneužít podle svého gusta. Alternativou může být vytvořit pro danou osobu samostatný účet Host s omezenými právy.
Špatný nápad je také zapojovat neznámá fyzická zařízení (USB flash disky, SD karty atd.) do našeho počítače. Před zapojením nikdy nevíme, co přesně dané zařízení obsahuje. Netušíme, zda není například infikované škodlivým malwarem (malware neboli malicious software je škodlivý software), který nám vymaže kompletně veškeré soubory v počítači, ukradne všechna naše přístupová hesla nebo například zablokuje přístup do našeho počítače a pro jeho obnovení vyžaduje výkupné. Stanete-li se obětí takovéhoto útoku, doporučujeme výkupné nikdy neplatit a raději nám tento incident nahlásit.
Říkáte si, že vy byste tohle neudělali? Nepodceňujte útočníky, jsou mazaní. Schválně nechávají takováto zařízení se škodlivým kódem na veřejných, frekventovaně navštěvovaných místech. Zvyšují tím tak pravděpodobnost, že se jim na ně podaří ulovit zvědavce, který zařízení vezme a zapojí ho do svého počítače, aby se podíval, co na něm je. Tato forma lstivého podvodu se v oblasti kyberbezpečnosti nazývá Baiting. Vy se však po přečtení tohoto článku již napálit nenecháte!
V neposlední řadě bychom měli dodržovat zlaté pravidlo – zálohovat, zálohovat, zálohovat. Ať už by vám byl váš cenný počítač či mobilní telefon odcizen, nakazil se zmíněným malwarem, který ho udělá nefunkčním, anebo by vám prostě jen upadl a rozbil se, mít zálohovaná data se rozhodně vyplatí. Vyjmenované nešťastné situace se stávají nenadále, bez upozornění a klasicky v nejméně vhodnou dobu.
To není žádná novinka, že? Na chvilku se však zastavte a představte si, že vám právě teď přestane fungovat váš mobil. Byl by to pro vás problém? Anebo by vás taková situace nijak neohrozila, protože jste byli připraveni a máte všechna důležitá data zálohována?
Pokud patříte do druhé skupiny, gratulujeme! Máme radost, že jste se naučili pravidelně zálohovat. Realita je taková, že všichni víme, že se nám něco podobného může přihodit, ale bohužel stále málo lidí zálohuje pravidelně. Každý si řekne, že jemu se to přece nestane, ale opak může být pravdou. Nespoléhejte se na šťastnou náhodu, že vám se nic nestane – zálohujte. V našem online kurzu Kyberkompas jsme pro vás sepsali krátký návod, jak začít zálohovat, do čtyř jednoduchých kroků, které hravě zvládnete. Hurá do toho!
Teď už víte, co je spam, phishing a jak si s nimi poradit. Také jsme vás seznámili s tím, jak vyzrát na hesla. To ale rozhodně není vše! Máme pro vás připravená další důležitá témata, která budeme postupně zveřejňovat. Nezapomeňte nás proto sledovat, aby vám nic neuniklo!
Chcete se dozvědět novinky k nástrojům Microsoft 365 využívaným na univerzitě? Jaké změny a vylepšení nás čekají v roce 2024? Připravili jsme si pro vás webinář, kde nejen shrneme všechny aktuální informace, ale také se podíváme na tipy, jak v Microsoft 365 (spolu)pracovat bezpečněji a efektivněji.
Microsoft 365 je jedním ze základních nástrojů pro práci i studium na Masarykově univerzitě. Proto pro vás kolegové z Ústavu výpočetní techniky připravili kurz, který vám pomůže se s ním více seznámit. Vyzkoušejte sami!
