Ako si nedať ukradnúť heslo? - Bart Digital Products Ako si nedať ukradnúť heslo? - Bart Digital Products

Bezpečnosť na internete #2 Ako si nedať ukradnúť heslo?

Spoločnosť Alphabet Inc. (Google) nedávno odhalila ruských hackerov, ktorí sa zapájali do špionáže, phishingových kampaní a iných útokov zameraných okrem iného aj na Ukrajinu a jej európskych spojencov.

Phishing sa týka aj nás všetkých. Ako sa nestať jeho obeťou si za pár minút prečítajte v našom ďalšom článku zo série Bezpečnosť na internete.

Cyber Security, photo via Unsplash

 

Čo je phishing?

Jedná sa o typ útoku, kedy chceme od obete získať prístupové údaje podhodením falošnej web stránky. Phishing môže mať veľa podôb. Napríklad nám môže prísť e-mail z “banky”, ktorý nám sprostredkuje nejakú informáciu a vyzve nás na prihlásenie. Po otvorení URL adresy sa ale dostaneme na stránku útočníka a nie banky. Graficky stránka vyzerá totožne a tak nie je jednoduché ju na prvý pohľad odlíšiť.

Útok cez Messenger a SMS

Ďalším spôsobom môže byť útok cez Facebook Messenger alebo prostredníctvom SMS. V poslednom čase sme na Slovensku zaevidovali viacero podobných útokov. Konkrétne sa jednalo o nákup tovaru cez bazos.sk. Útočník odoslal kupujúcemu link, kde mal zadať údaje o platobnej karte a peniaze by sa automaticky stiahli. Stránka bola samozrejme falošná – ukladala údaje o karte, čím útočník získal kontrolu nad výberom peňazí z karty. 

Ako sa brániť voči phishingu?

Vždy keď nám príde email (alebo iný druh správy) s URL adresou, je potrebné byť ostražitý. Aj napriek tomu, že sa jedná o e-mail od banky / dôveryhodného kamaráta / rodiny, je potrebné predpokladať, že ho poslal útočník s cieľom získať naše údaje.

Najbezpečnejší spôsob overenia je na daný link neklikať, ale otvoriť URL adresu samostatne napísaním do prehliadača. Ak napríklad obdržíte e-mail zo Slovenskej sporiteľne, v ktorom je link na prihlásenie, v žiadnom prípade naň neklikajte. Namiesto toho v novom okne prehliadača napíšte www.slsp.sk a máte garanciu, že sa určite dostanete na správnu stránku banky. 

Čo robiť v prípade, ak link vedie na konkrétnu podstránku, ktorú nie je jednoduché zadať do prehliadača? Napríklad nám “kamarát” pošle link na položku v bazoši. V takom prípade si po otvorení linku hneď skontrolujeme, či sa skutočne nachádzame na stránke na akej máme byť a nie na falošnej. Ak sa napríklad jedná o link na bazoš, po otvorení URL adresy skontrolujeme či sme skutočne na stránke www.bazos.sk a nie nejakej pochybnej adrese typu bazos.my-site.com a pod. Útočníci tiež radi využívajú rôzne skracovače URL adries typu bitly.com. Pri takýchto linkoch treba okamžite zbystriť pozornosť a byť obzvlášť opatrný.

Taktiež skontrolujeme, či stránka používa šifrovanie a má validný certifikát. To spravíme kliknutím na zámok, ktorý sa nachádza naľavo od panelu s URL adresou. Pozrite si, ako vyzerá informácia o certifikáte na webe slsp.sk:

Ak je zámok vedľa panelu preškrtnutý, znamená to, že stránka vôbec nepoužíva šifrovanie. Na takomto type stránky určite nezadávajte žiadne údaje. Dnes je už šifrovanie štandard a používajú ho všetky väčšie dôveryhodné weby.

Čo robiť, ak sme podvodníkovi naleteli a zadali prihlasovacie údaje na falošnú stránku?

V takom prípade je potrebné jednať okamžite. Ak ešte máme prístup k účtu, je potrebné  okamžite zmeniť heslo. Ak nám už útočník stihol heslo zmeniť, volajte na podporu a pokúste sa vysvetliť celú situáciu. V prípade, že sme na falošnej stránke zadali údaje o platobnej karte, je potrebné kartu zablokovať cez internet banking a nahlásiť jej možné zneužitie. Predídeme tak nepríjemnej situácii, keď už útočník stihne kartu zneužiť. Dostať sa následne k peniazom je už oveľa zložitejšie.

Používate rovnaké heslo pre všetky účty? Chyba!

Zásadným problémom je, ak používame rovnaké heslo pre viacero služieb. V prípade, že je phishing útok úspešný a útočník zistí náš email a heslo, otvoria sa mu dvere nie len pre danú službu, ale aj ku všetkým ďalším službám kde máme rovnaké heslo.

V tomto prípade už môže byť z útoku veľmi vážny problém. Pamätajte na zásadu používať rôzne heslá pre rôzne služby. V ideálnom prípade úplne náhodné alebo aspoň rôzne varianty hesla.

Ako zistím, či moje heslo niekde neuniklo?

S používaním rovnakého hesla na rôznych stránkach súvisí aj ďalší problém. Ak útočník hackne službu a získa naše heslo, získa prístup do všetkých služieb, kde používame to isté heslo.
Našťastie, existuje webová stránka, ktorá monitoruje uniknuté heslá. Na nej je možné si jednoducho skontrolovať, či sa moja emailová adresa nenachádza na niektorom zo zoznamov. Otvorte si URL https://haveibeenpwned.com/ a napíšete vašu emailovú adresu.

V prípade, že bola naša adresa pozitívne identifikovaná v niektorom z únikov, a používame rovnaké heslo na rôznych webových stránkach, je určite vhodné ho okamžite zmeniť.

 

Dvojfaktorová autentifikácia

V dnešnej dobe množstvo internetových služieb ponúka tzv. dvojfaktorovú autentifikáciu. Okrem hesla potrebujeme pre úspešné prihlásenie ešte jeden údaj – napríklad prepísať kód z SMS správy. Určite odporúčame aktivovať si takýto typ prihlásenie všade, kde je to možné. Ak aj nejakým spôsobom útočník získa naše heslo, do danej služby sa nedostane.

Útok hrubou silou

Okrem vyššie spomínaných spôsobov je jedným z najčastejších útokov na heslo útok hrubou silou. Pri tomto typu útoku útočník skúša postupne na prihlásenie rôzne kombinácie hesla. Začne od 1, 2, 3 atď, cez 11, 12, 13 až dôjde ku komplikovanejším heslám typu 156113216. Útok nemusí byť len na číselné heslá. Rovnaký postup sa dá aplikovať na akékoľvek znaky. Všeobecne platí: Čím dlhšie je heslo a čím väčší počet rôznych znakových sád obsahuje, tým lepšie. Kvalitné heslo by malo obsahovať aspoň 12 znakov, pričom obsahuje aspoň jedno číslo, malé písmeno, veľké písmeno a najlepšie ešte špeciálny znak typu bodka, výkričník alebo niečo podobné.

 

Slovníkový útok

Okrem útoku hrubou silou je často používaný aj tzv. slovníkový útok. V tomto prípade útočník postupne skúša najčastejšie používané slová ako napr. password, heslo, qwertz, peter, 123123 atď. Slovník môže obsahovať podstatné mená, najčastejšie používané heslá, mená z kalendára. Okrem toho sa môže tento útok skombinovať s hrubou silou a ku každému slovu zo slovníka sa napr. doplní rok, teda útočník otestuje napr. peter1978, peter1979, … atď. Preto je veľmi dôležité, aby heslo neobsahovalo bežne sa vyskytujúce frázy, mená, roky a pod.

Záver

Na záver si zhrnieme ako sa nedať nachytať v štyroch jednoduchých bodoch:

  1. Vždy, keď nám príde email s URL adresou, je potrebné byť ostražitý. Aj napriek tomu, že sa jedná o e-mail od banky / dôveryhodného kamaráta / rodiny, je potrebné predpokladať, že ho poslal útočník s cieľom získať naše údaje.
  2. Pamätajme na zásadu používania rôznych hesiel pre rôzne služby. 
  3. Odporúčame si aktivovať dvojfaktorovú autorizáciu všade, kde je to možné.
  4. Kvalitné heslo by malo obsahovať aspoň 12 znakov, pričom obsahuje aspoň jedno číslo, malé písmeno, veľké písmeno a najlepšie ešte špeciálny znak typu bodka, výkričník alebo niečo podobné.

Opatrnosti nie je nikdy dosť. Prečítaj si viac na tému bezpečnosť!