5 způsobů krádeže hesel a jak se bránit

Jedním z důvodů trvalé popularity hesel je to, že lidé instinktivně vědí, jak fungují. Ale je tu také problém. Žijeme v době, kdy si průměrný člověk musí zapamatovat desítky přihlašovacích údajů, přičemž tento počet v posledních letech stoupá. Není divu, že to mnoho lidí omezuje a bezpečnost tím trpí.
Vzhledem k tomu, že přihlašovací údaje jsou často jedinou věcí, která stojí mezi kyberzločincem a vašimi osobními a finančními údaji, podvodníci jsou více než dychtiví tyto údaje ukrást nebo prolomit. Minimálně stejné úsilí musíme vynaložit na ochranu našich online účtů.

 

Proč vlastně hacker chce moje heslo a co s ním bude dělat?


Hesla jsou virtuální klíče k vašemu digitálnímu světu – poskytují přístup k vašemu online bankovnictví, e-mailu a službám sociálních médií, přihlášení na O2 TV nebo k nákupu na Rohlík.cz a všem datům hostovaným v našem cloudovém úložišti. S funkčními přihlášeními by hacker mohl:

  1. Ukrást Vaše osobní údaje a prodat je dalším zločincům.
  2. Kyberkriminálníci na darkwebu s nimi směle obchodují. Bezohlední kupující by mohli využít přístup k získání všeho od poukazů do oblíbených obchodů, volných jízd na taxika nebo nakoupené vouchery, které jste darovali svému blízkému k Vánocům.
  3. Využijí heslo k odemknutí dalších účtů, kde používáte stejné přihlašovací údaje.

Jak je podvodníci kradou? Seznamte se s těmito typickými technikami kyberzločinu a budete mít mnohem lepší předpoklady pro zvládnutí hrozby:

 

Phishing a sociální inženýrství


Lidské bytosti jsou omylná a sugestivní stvoření. Jsme také náchylní dělat špatná rozhodnutí, když spěcháme, jsme ve stresu nebo pod nátlakem. Kyberzločinci využívají těchto slabin prostřednictvím sociálního inženýrství, psychologického podvodu, který nás má přimět dělat něco, co bychom neměli. Phishing je možná nejznámějším příkladem. Zde se hackeři maskují jako legitimní osoby: jako přátelé, rodina a společnosti, se kterými jste obchodovali atd. E-mail nebo text, který obdržíte, bude vypadat věrohodně, ale obsahuje škodlivý odkaz nebo přílohu, která po otevření stáhne škodlivý malware nebo otevře webovou stránku pro vyplnění osobních údajů.


Připravili jsme pro Vás webinář, kde vysvětlujeme, jakým způsobem odhalit varovné příznaky phishingového útoku. Podvodníci dokonce používají telefonní hovory k přímému získání přihlašovacích údajů a dalších osobních údajů od svých obětí, přičemž často předstírají, že jsou inženýry technické podpory. Toto je popsáno jako „vishing“ (phishing založený na hlasu).

 

Malware


Dalším oblíbeným způsobem, jak získat svá hesla, je malware. Phishingové e-maily jsou hlavním průvodcem tohoto druhu útoku. Můžete se stát obětí kliknutím na škodlivou reklamu online nebo dokonce návštěvou kompromitované webové stránky. Malware by mohl být skryt i v legitimně vypadající mobilní aplikaci, která se často vyskytuje v obchodech s aplikacemi třetích stran.
Existují různé druhy malwaru ke krádeži informací, ale některé z nejběžnějších jsou navrženy tak, aby zaznamenávaly vaše stisknuté klávesy nebo pořizovaly snímky obrazovky vašeho zařízení a posílaly je zpět útočníkům.

 

Brute force ("hrubá síla")


Průměrný počet hesel, které musí průměrný člověk spravovat, se v roce 2021 meziročně zvýšil odhadem o 25 %. Mnoho z nás proto používá snadno zapamatovatelná (uhodnutelná) hesla a opakovaně je používá na více webech/aplikacích. To však může otevřít dveře tzv. brute-force technikám.

Zde útočníci předávají velké objemy dříve prolomených kombinací uživatelského jména a hesla do automatizovaného softwaru. Nástroj je pak zkouší na velkém počtu webů a doufá, že najde shodu. Tímto způsobem mohou hackeři odemknout několik vašich účtů pomocí jediného hesla. Podle odhadů bylo loni na celém světě asi 193 miliard takových pokusů.
Další technikou může být tzv. sprejování hesel. Zde hackeři využijí běžně používané hesla a automatizovaným softwarem je využití právě k vašemu přihlášení.

 

Jednoduchý odhad


Přestože hackeři mají k dispozici automatizované nástroje pro vynucení vašeho hesla, někdy je ani není potřeba: na rozdíl od systematičtějšího přístupu používaného při útocích hrubou silou to zvládne i jednoduchý odhad. Nejběžnějším heslem je v průzkumech pravidělně „123456“, následované „123456789“ anebo překlady anglického "password", u nás typické jako "heslo".
A pokud jste jako většina lidí a recyklujete stejné heslo nebo používáte jeho blízký derivát pro více účtů, pak útočníkům ještě více usnadňujete práci a vystavujete se dalšímu riziku krádeže identity a podvodu.

 

Nahlížení přes rameno


Zatím jsme si představili techniky, které byly všechny virtuální. Jedna z nejznámějších technik je však ta, kdy někdo vaše heslo jednoduše opíše z papírku přilepeného na monitoru, nebo se Vám podívá přes rameno, když si právě otevíráte svůj účet do počítače/telefonu. Dávejte si proto pozor, kdo právě stojí za Vámi, třeba na zastávce tramvaje nebo v obchodě.
Pozor si také dávejte na volně dostupné připojení na wi-fi, například v obchodních centrech nebo v restauracích. Takové připojení může být "odposloucháváno". Na veřejné wi-fi se proto nikdy nepřihlašujte do online bankovníctví a podobných účtů.

 

Jak se chránit?


Pro odolání útoků od těchto technik můžete udělat mnoho. Zde je několik tipů:

  • Používejte silná a jedinečná hesla nebo přístupové fráze na všech svých online účtech
  • Vyhněte se opakovanému použití přihlašovacích údajů
  • Zapněte si dvoufaktorové ověřování na všech svých účtech
  • Používejte správce hesel, který bude ukládat silná, jedinečná hesla pro každý web a účet, díky čemuž bude přihlášení jednoduché a bezpečné
  • Okamžitě si změňte heslo, pokud vám poskytovatel sdělí, že vaše data mohla být narušena
  • Pro přihlašování používejte pouze stránky HTTPS
  • Neklikejte na odkazy ani neotevírejte přílohy v nevyžádaných e-mailech
  • Stahujte aplikace pouze z oficiálních obchodů s aplikacemi
  • Investujte do bezpečnostního softwaru od renomovaného poskytovatele pro všechna vaše zařízení
  • Ujistěte se, že všechny operační systémy a aplikace jsou na nejnovější verzi, případně aktualizujte
  • Dávejte si pozor, kdo stojí za Vámi na veřejných prostranstvích
  • Nikdy se nepřihlašujte k účtu, pokud jste na veřejné Wi-Fi; pokud takovou síť musíte používat, použijte VPN

Zánik hesla se předpovídal více než deset let. Alternativy hesel však stále často mají potíže s nahrazením samotného hesla, což znamená, že uživatelé musí vzít věci do svých rukou. Zůstaňte ve střehu a udržujte své přihlašovací údaje v bezpečí.

 

Pokud by jste měli podezření, že právě Váš účet může být v nebezpečí, obratem se obraťte na Odbor bezpečnosti.

Další články v rubrice

English ☰ Menu

Na webových prezentacích České zemědělské univerzity v Praze (pod doménou czu.cz) používáme soubory cookies. Tyto soubory nám poskytují možnosti, jak lépe poskytovat služby a dále nám pomáhají analyzovat výkon webu. Informace o tom, jak naše weby používáte, můžeme sdílet se svými partnery působícími v oblasti sociálních médií, inzerce a analýz. V nastavení si můžete následně vybrat, které cookies můžeme používat. Svůj udělený souhlas, můžete kdykoliv změnit či odvolat.