3 dobré rady pre zvýšenie bezpečnosti na Internete

Bezprecedentný rozvoj komunikačných technológií a presun každodenných činností do online priestoru je fakt, o ktorom verím, nie je nutné ani viac diskutovať. Dnešné malé deti nechcú byť astronautom, či pretekárom ale skôr „Youtuberom“, či dokonca „kontent kreatorom“. Pizzu, či taxík si objednáme pomocou aplikácie, faktúry zaplatíme pomocou bankovej aplikácie, akcie nakúpime online cez svojho brokera a o samozrejmosti nakupovaní na Internete nemusíme ani písať.

Poďme sa však pozrieť ako nás naše zmysly môžu v tomto novom a úžasnom online priestore klamať. Ako tento fakt zneužívajú hackeri a podvodníci a hlavne sa pozrieme na konkrétne tipy ako zvýšiť svoju bezpečnosť na Internete a pritom si naplno užívať výhody technologického pokroku.

Rada 1. Používanie hesiel

Používajte unikátne a silné heslá pre každú internetovú službu. Táto rada je tak notoricky známa, že ju nikto už ani nečíta – bohužiaľ je stále 100 % relevantná. Výpočtový výkon a metódy „hádania hesla“ sa natoľko zlepšili, že uhádnuť jednoduché heslo je otázkou sekúnd, či minút. Poďme si ukázať ako jednoduché heslo „dunco123“,  ktorého prelomenie by podľa https://www.security.org/how-secure-is-my-password/ trvalo presne 1 minútu, vylepšiť. Ako by teda takéto heslo malo vyzerať?

• Heslo by malo mať minimálne 8 znakov a obsahovať kombináciu veľkých a malých písmen, znakov a čísiel.
• Heslo by malo byť unikátne pre každú službu.
• Nemali by sme v hesle používať osobné informácie, ľahko dohľadateľné informácie.
• Malo by byť ľahko zapamätateľné.

Tip: na vytvorenie takéhoto hesla by sme mohli použiť pre nás dôležitú vetu, ktorá svojím „emočným nábojom“ zaistí jeho zapamätateľnosť. „Môj pes Dunčo je jednotka“ by sme potom mohli transformovať na „MjPsDnc13#1”. Takto sme získali zapamätateľné heslo, ktoré by sme metódou hádania hesla dokázali prelomiť za 4000 rokov. Celkom pekný posun, čo poviete?

Samozrejme hoci táto mnemotechnická pomôcka môže byť nápomocná – v kontexte koľko takých hesiel by sme dnes potrebovali, nemusí tento spôsob vyhovovať každému. Pozrime sa spolu na niekoľko ProTipov, ktoré pomôžu zvýšiť bezpečnosť vášho prihlásenia:

• Používanie správcov hesiel. Komplexnosť hesla sa stáva irelevantnou ak máme heslo napísane niekde (v PC, či na papieriku) v nešifrovanej forme. Práve s týmto problémom nám vedia pomôcť správcovia hesiel – špeciálne navrhnuté softvérové komponenty, ktoré ukladajú hesla za vás. Toto ukladanie sa deje pomocou tzv. end2end šifrovania, a teda ani samotný správca hesiel nemá prístup ku heslám kým nezadávate hlavné heslo. Takto si musíme pamätať len jedno – komplexné heslo a všetky ostatné heslá za nás manažuje tento softvér. Prehľad najpoužívanejších správcov hesiel môžete nájsť napr. TU.
• Používanie multifaktorovej autentifikácie. Tento princíp vyžaduje, že okrem samotného hesla je nutné zadať ešte jeden „faktor“. Až po zadaní oboch faktorov (heslo a druhý faktor) budete autentifikovaný. Takýmto spôsobom viete zvýšiť svoju bezpečnosť, pretože pri kompromitácii hesla by útočník musel ukradnúť aj váš druhý faktor. Odporúčame takýto prístup použiť najmä pri prihlasovaní do dôležitých aplikácií a služieb ako sú bankové aplikácie, či Internet banking. Aplikácie poskytujúce takýto typ prihlásenia môžete nájsť aj TU.
• Aktuálne záložné emaily či telefónne čísla. Mnohé služby dnes používajú pri podozrivej aktivite, či pri obnove účtu emaily, ktoré ste zadali pri registrácii, alebo telefónne čísla. Uistite sa, že máte k týmto záložným emailom, či číslam prístup a sú aktuálne.

Rada 2. (Ne)dôveruj a preveruj

Staré príslovie, ktoré hovorí „dôveruj ale preveruj“ by sme mohli s kľudným svedomím pretransformovať na „nedôveruj a preveruj“. Pozrime sa na jednu štúdiu, ktorá pojednáva o správaní užívateľov na Internete. Hups, že vás tento link nenasmeroval na žiadnu štúdiu? Ospravedlňujem sa za neškodný žart – no práve sme sa presvedčili ako funguje v princípe veľa podvodníkov. Pomocou podobných (nie len týchto techník) nás môžu nasmerovať na podvodné stránky, ktoré vyzerajú takmer rovnako ako tie, ktoré poznáme.

Zrak, ktorý nám tak dobre slúžil počas našej evolučnej cesty nás tu na prvý pohľad klame. Popis samotného odkazu (alebo aj emailu, či stránky) nemusí mať s jeho obsahom nič spoločné. Samozrejme vo väčšine situácií sú tieto odkazy a popisy veľmi vhodné, pretože užívateľovi uľahčujú orientáciu na Internete – odkaz na stránku Aliter Technologies vyzerá lepšie a je prehľadnejší ako „odkaz na stránku https://www.aliter.com/“.

Konkrétne tipy ako nenaletieť týmto podvodom:

• Kým na odkaz klikneme môžeme v náhľade vidieť kam smeruje. Náhľad aktivujeme len ak nad odkazom prejdeme myškou/kurzorom, ale neklikneme.
• Skontrolujme doménu. Ak sa chceme prihlásiť na stránku aliter.com je nutné overiť posledné písmena za poslednou bodkou a meno naľavo. V prípade www.aliter.com je zjavné, že stránka je aliter.com. Pri stránke www.akutne-info-aliter-com.domena.info to však už také zjavné nie je. V takomto prípade sa jedná o „domena.info“ čo je stránka/doména, ktorá nemá s aliter.com nič spoločné (samozrejme len fiktívna).
• Obsahuje stránka certifikát? Každá seriózna služba musí obsahovať certifikát a teda spojenie medzi vami a stránkou musí byť bezpečné. Jedno malé „s“ na začiatku „https“ odkazu je tak nesmierne dôležité.
• Radšej byť obozretný ako potom ľutovať. V prípade akýchkoľvek pochybností je vždy lepšie na odkaz neklikať, alebo na stránke nezadávať svoje údaje. Absolútnou samozrejmosťou by malo byť overenie cez telefonát ak sa jedná o dôležité služby ako Internet Banking atď.

Rada 3. Podvodné emaily a SMS

Hoci vyššie spomenuté rady by vás principiálne mali ochrániť pred podvodnými emailmi vzhľadom na ich početnosť a dopad sme sa im rozhodli venovať viac pozornosti. Začnime najskôr vysvetlením prečo útočníci používajú v takej veľkej miere email. Emailová komunikácia je dnes taká bežná a nesmierne lacná, že sa nad ňou ani nezamýšľame. Svoju emailovú adresu preto využívame na nákup na Internete, či ich máme nastavené na sociálnych sieťach pre možnosť kontaktu. Či chceme alebo nie, tieto emailové adresy (či už pomocou „zberu“ po internete, alebo nákupom na čiernych trhoviskách) sú dostupné aj pre útočníkov. Tento fakt je nutné jednoducho prijať a pripraviť sa naň. Môžeme sa o svoj email starať veľmi dobre, no môže byť zneužitá služba kde sme tento email použili a „už sme na zozname“. Ak spojíme tento fakt (dostupnosť emailových adries) s malou cenou posielania emailov dostávame tak ideálny nástroj, kedy vieme podvodný email poslať veľkým počtom užívateľov s takmer nulovými nákladmi.

Ako sme mohli vidieť v predchádzajúcej rade, kedy sa za jedným odkazom skrývala úplne iná stránka, tak veľmi podobný princíp funguje aj pri emaile. Tento „problém“ je u emailov však ešte umocnený, nakoľko podobných techník môže obsahovať hneď niekoľko.

Namiesto rozpoznávania konkrétnych techník sa poďme pozrieť na hlavné znaky ako rozoznať podvodný email, alebo sms:

• Pocit urgentnosti – zvyčajne sa podvodné emaily snažia vyvolať pocit urgentnosti. V predmete často nájdeme formulácie ako „Ukradnuté heslo – nutná obnova hesla“, „Zablokovaný účet – nutné resetovanie hesla“, či „Prosím vydvihnite si svoj balík“.
• Podvrhnutý email – email sa len tvári ako legitímny, často môže vyzerať ako „Slovenská banka slovenska_banka@slovenska_banka-reset-hesla.domena.info“. Tu je však dôležitá doména „domena.info“, ktorá určite nepatrí Slovenskej banke. Všetko ostatné je „voliteľný text“, ktorý útočník definuje podľa potreby.
• Neosobné oslovenia – v takýchto emailoch, ktoré sú posielané tisícom užívateľov len zriedkavo nájdete správne oslovenie. Vo väčšine prípadov môžeme pozorovať oslovenie ako „Vážený Používateľ“, „Milý Zákazník“.
• Podvodné odkazy – práve podvodné odkazy sa v týchto typoch emailov vyskytujú veľmi často. Vyššie popísaná technika kedy na odkaz neklikneme, ale len na neho ukážeme myškou preto bude fungovať aj v tomto prípade.
• Často obsahujú prílohy – veľakrát spolu s emailom príde aj príloha. Našou prvotnou reakciou by preto nemalo byť prílohu otvoriť a pozrieť sa o čo sa jedná, ale spozornieť pri každej prílohe, ktorá bola prijatá cez email. Obzvlášť podozrivé sú prílohy typu .exe, .msi ba dokonca aj .zip, .pdf či .docx

Vzhľadom na povahu týchto hrozieb, teda, že využívajú techniky sociálneho inžinierstva na ochranu pred podvodnými sms, či emailmi bohužiaľ neexistuje stopercentná ochrana. Hoci technológie na rozoznanie podvodných emailov značne pokročili, tak isto pokročili aj techniky pre vytváranie týchto emailov a je to tak nekonečný boj medzi podvodníkmi a technologickými spoločnosťami, ktoré vyvíjajú nástroje na ochranu pred podvodnými emailmi. Bohužiaľ, nie zriedka ťahajú za kratší koniec.

Jedinou radou v tejto chvíli je obozretnosť a kritické myslenie. Podvodných emailov, či sms sa tak skoro nezbavíme, a preto je vždy lepšie si daný email radšej preveriť napr. pomocou alternatívnych komunikačných kanálov – telefonátom do banky atď., byť v strehu, či email alebo sms neobsahuje znaky podvodného emailu a byť obozretný pri zadávaní prihlasovacích údajov a tokenov.