Článek
Článek si také můžete poslechnout v audioverzi.
Nezadávejte své heslo nebo platební údaje na nedůvěryhodné stránky. To je základní rada, kterou odborníci opakují stále dokola. Tzv. phishing, kdy stránka vyláká z nepozorného člověka přihlašovací údaje nebo číslo karty, tak stále patří k nejoblíbenějším typům online útoků.
V posledních měsících však přibyla varianta phishingu, která často nachytá i velmi pozorné uživatele. „Jedním z důvodů je to, že vznikly knihovny kopií přihlašovacích dialogů, které útočníkům značně zjednodušují práci,“ řekl Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.
Podle něj zatím tyto typy útoků necílí přímo na české uživatele, ale i tak je důležité mít se na pozoru před plošnými útoky, které mohou číhat na webových stránkách.
Nová varianta phishingu se jmenuje BITB a využívá popularity přihlašovacích dialogů třetích stran. Uživatelé jsou zvyklí, že se na neznámou stránku mohou přihlásit například pomocí tlačítka „Sign up with Microsoft“ nebo „Log in with Facebook“. Obvykle toto tlačítko otevře nové okno. Útok BITB spočívá v tom, že tam ve skutečnosti žádné nové okno není, jde jen o zdařilou napodobeninu.
„Nejčastější výskyt tohoto útoku aktuálně vidíme ve Spojených státech a ve Francii,“ uvedl bezpečnostní expert firmy Avast Alexej Savčin. Nachytá se v podstatě každý, kdo nebude dostatečně pozorný při jakémkoliv zadávání přihlašovacích či jinak citlivých údajů na podezřelém webu.
Falešné přihlašovací okno
„Útočníci se snaží odcizit přihlašovací údaje obětí nejčastěji k účtům Google, Apple, Microsoft nebo Facebook, které slouží jako třetí strana k přihlášení do různých online služeb – Single Sign-on – jedno přihlášení do více služeb/aplikací zároveň,“ varuje na svém profilu i český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Rozdíly jsou na první pohled opravdu minimální. Třeba u přihlášení přes službu Facebook byste zřejmě rozdíl pouhým pohledem neodhalili.
V rámci prohlížeče je navíc simulována i funkčnost „okna“. Můžete jej zavřít nebo přesunout po obrazovce. „Jde o nový typ útoku, který ve svém blogu popsal bezpečnostní výzkumník mr.d0×,“ popsal Savčin. „Následně byly po několika týdnech zaznamenány pokusy použít tuto techniku při phishingových útocích na Ukrajině.“
Pokud byste se na takový útok nachytali, útočník získá vaše přihlašovací jméno a heslo. „Následkem toho velice pravděpodobně dojde ke zneužití identity, profilu či účtu na dotčené webové službě,“ popisuje obvyklý postup útočníků Šuman z firmy ESET.
„Kromě ztráty osobních dat se můžeme setkat s tím, že prostřednictvím našeho profilu dochází ke spamování našich kontaktů, phishingu, snahám o vylákání peněz z přátel a podobně,“ dodal.
Obrana je „jednoduchá“
Tento rafinovaný útok dokáže zmást i zkušené uživatele. Základní obrana je přitom překvapivě jednoduchá, alespoň když víte, jak na to. Vychází ze samotného názvu fíglu: „prohlížeč v prohlížeči“.
Falešné přihlašovací okno existuje pouze uvnitř webové stránky. Abyste ověřili, že se přihlašujete do skutečného okna, zkuste si původní stránku zmenšit a nové okno přetáhnout mimo prostor prohlížeče.
Pokud půjde přetáhnout mimo, jde o skutečné okno. Pozor, to stále může být podvodné, ale už ne tímto způsobem. Jakmile je to totiž samostatné okno, prohlížeč vám zobrazí, na kterou doménu je připojené a zda je zabezpečené. U falešného okna jsou samozřejmě i tyto znaky napodobené k nerozeznání.
„Falešné okno nelze, na rozdíl od skutečného, přemístit nebo zvětšit mimo plochu aktuální stránky,“ radí NÚKIB. Kromě toho nabádá i k pečlivější vizuální kontrole nebo kontrole jazyka přihlašovacího dialogu.
Ještě lepší ale je mít zapnutou dvoukrokovou autentizaci (dvoufázové ověření). K přihlášení pak nestačí jen kombinace jména a hesla, musíte se ještě ověřit třeba pomocí kódu zaslaného na telefon nebo pomocí speciální aplikace. „Využití správce hesel je další možností,“ radí Savčin z firmy Avast. „Správce hesel totiž nabízí vyplnění přihlašovacích údajů pouze na webech, které jsou považovány za bezpečné.“
Kombinace správce hesel a dvoufázového ověření vás navíc chrání nejen před tímto, ale i před řadou jiných útoků založených na oklamání uživatele. I ti nejpozornější lidé totiž někdy ve spěchu klepnou tam, kam neměli. A dvoufázové ověření je pojistka, jež zabrání tomu, aby se vašeho účtu okamžitě zmocnil někdo cizí.