Očima expertů: Jak se bránit kyberútokům

Stále víc lidí se připojuje k internetu. Stále víc lidí má chytrý telefon. Stále víc lidí používá internetové bankovnictví. Stále víc lidí platí kartou online. Málokdo se přitom chová obezřetně a dbá na alespoň nejzákladnější pravidla bezpečnosti. A tam kde je nabídka (peníze lehkovážných uživatelů), je i poptávka (vynalézaví podvodníci). Útoky na e-mailové schránky, internetová bankovnictví, platební aplikace a účty na sociálních sítích jsou stále častější. A nemusí jít jen o žádné sofistikované hackerské metody, často jsou úspěšné i jednoduché pokusy internetových podvodníčků.

Za pomoci technologických expertů, bezpečnostních analytiků a IT specialistů bank a vývojářských společností jsme se pokusili sestavit stručný manuál, který by vám měl pomoci nesednout na lep internetovým vykukům usilujícím o vaše peníze. V odpovědích oslovených odborníků se dozvíte, jaké nejčastější chyby dělají oběti kybernetické kriminalit a jak co nejúčinněji eliminovat rizika, která na nás číhají při užívání počítačů, mobilů a tabletů.

Pavel Pohořelský

technický ředitel Sticky Password

Ochrana před kybernetickým útokem má dvě základní složky: zodpovědné chování a bezpečnostní software. Mnoho virů se stále šíří elektronickou poštou. Dopady těchto virů na uživatele jsou přitom čím dál drastičtější – například zákeřný virus WannaCry zašifruje data na pevném disku a rozšifruje je pouze po zaplacení výkupného. Neotevírejte přílohy od adresátů, které neznáte nebo u kterých se vám zdá text mailu podezřelý.

Někdy ale útokům sami zabránit nemůžete. Například když některé renomované firmě při útoku uniknou citlivá data včetně hesel. Je proto nutné nepoužívat stejné heslo pro více služeb. Nechávejte na webových stránkách co možná nejméně zneužitelných údajů. Preferujte bezpečnost před pohodlností. Většinou není nutné při platbě kartou nechat údaje uložené na příští použití. Číslo karty zadávejte vždycky přímo do platební brány banky nebo důvěryhodného zprostředkovatele. Preferujte dvoufaktorovou autentizaci, například kódem zaslaným SMS zprávou nebo vygenerovaným mobilní aplikací.

Pavel Bašta

bezpečnostní analytik sdružení CZ.NIC

V první řadě uživatelé stále podceňují pravidelné záplatování softwaru, dále nesprávně nakládají s hesly – zde bych zdůraznil hlavně kvalitu hesel a pak jejich diferenciaci. Pokud má uživatel do všech služeb stejná hesla, stačí, aby jediná z nich byla špatně zabezpečená, a po úniku hesel může útočník získat přístup do všech. Speciální postavení mají v tomto směru e-mailové schránky, které jsou často využívány pro resetování hesel jiných služeb.

V souvislosti s nárůstem ransomware stoupá důležitost zálohování dat. Pokud uživatel ví, že má data, která jsou pro něj natolik cenná, že by byl ochoten za jejich znovuzískání platit i výkupné, pak by měl investovat do bezpečného způsobu zálohování. Důležité je v tomto ohledu vědět, že moderní ransomware dokáže obvykle zašifrovat i obsah připojených síťových disků, na které se z tohoto důvodu nelze spoléhat jako na jediné místo pro úschovu dat. Jako poslední bych zdůraznil opatrnost, ať už při nákupu a prodeji zboží na internetu, nebo při používání sociálních sítí.

Jiří Kadeřávek

zakladatel České pirátské strany, podnikatel v oboru IT služeb

Nebav se s cizími lidmi, neber od nich bonbony, nesedej do cizího auta; když tě někdo cizí osloví, ignoruj ho a jdi si svou cestou. Převážná většina útoků cílí na naivitu, zvědavost a neopatrnost uživatelů. Ignorujte komunikaci, která není vyžádaná a přichází od neznámých adresátů. Ignorujte zprávy, které přicházejí od známých adresátů, ale jsou nějak neobvyklé a chtějí, abyste někam zadali citlivé údaje nebo abyste ve zprávě otevřeli přiložený soubor.

Při práci s e-mailem a prohlížečem musíte stoprocentně vědět, s kým komunikujete, komu sdělujete a zasíláte údaje. V prohlížeči si kontrolujte identitu stránky v adresním řádku (většinou je zde jméno firmy v zeleném poli apod.).

Ověřte si, že vaše karta podporuje technologii 3D secure. Pokud nepodporuje, vyměňte kartu. Kartu bez tohoto zabezpečení nepoužívejte při platbách na netu. Na veřejných sítích nepřistupujte k internetovému bankovnictví a jiným citlivým službám. Pokud už musíte, nainstalujte si nějakou ověřenou VPN službu a na tyto služby jděte přes takto zabezpečenou linku (raději ale choďte na tyto služby jen na wi-fi, které máte pod kontrolou). A nakonec dodržujte další obecné zásady. Používejte antivir, schopnější mohou používat bezpečnější OS, aktualizujte si systém. Nepoužívejte všude stejná hesla. Hesla si měňte. Používejte dvoufaktorové ověřování. Hesla v prohlížeči si chraňte hlavním heslem. S citlivými údaji nakládejte obezřetně, přemýšlejte, komu je svěřujete. Co internetu sdělíte, už nikdy nezapomene a někdo toho může zneužít. Internet je džungle, chovejte se podle toho.

Tomáš Hládek

odborník na kyberbezpečnost a poradce České bankovní asociace

Cílem kybernetického útoku může být v podstatě každý z nás. Tedy pokud používáme internet či chytrý mobilní telefon. V případě, že zároveň patříme mezi uživatele nástrojů elektronického bankovnictví, existuje i reálné nebezpečí, že se někdo pokusí dostat k údajům, které by mu umožnily ukrást z našeho účtu nějaké prostředky. Banky nám nabízejí různé nástroje a postupy, jak se proti takovým útokům bránit. Je jen na nás, jak tyto prostředky využijeme.

Určitě není bezpečné mít jedno univerzální heslo, které uživateli umožní přístup k e-mailové schránce, k účtu na facebooku i účtu v bance. Peněženku s penězi a často i s doklady se snažíme chránit. Snažme se o to samé i ve virtuálním prostředí – nesdělujme nikomu svá hesla a PINy, ani nereagujme na maily, které se z nás snaží tyto údaje vymámit. A věnujme pozornost i zabezpečení mobilu, který je často počítačem s výkonností, o které se ani odborníkům před desíti lety nesnilo. S novými technologiemi vznikají i nové hrozby a nám uživatelům nezbývá nic jiného než se jim naučit čelit.

Petr Vosála

manažer bezpečnosti elektronických kanálů ČSOB

Základní rada je, že uživatelé moderních technologií – internetového bankovnictví, platebních karet, elektronické pošty a internetu obecně – by měli být obezřetní. Měli by přemýšlet o tom, co právě dělají a sledovat, jak se jejich počítače, tablety nebo chytré mobilní telefony chovají. V ideálním případě by měli disponovat alespoň základní sadou znalostí a zkušeností a v okamžiku, kdy se jim cokoli nezdá, neměli by váhat obrátit se k někomu o radu. Rozhodně je dobré využívat zařízení s aktualizovaným programovým vybavením (operačními systémy, prohlížeči a antivirovou ochranou) a využívat pouze služeb důvěryhodných serverů, internetových obchodů, poskytovatelů internetového připojení a podobně.

Na našich webových stránkách klienti najdou mnoho dalších užitečných rad. Mezi nejběžnější patří např. neotevírání nevyžádaných e-mailových zpráv nebo zpráv od nedůvěryhodných odesílatelů, kontrola správné adresy a ikonky zámku v adresním řádku internetového bankovnictví a využívání metody 3D Secure při realizaci platby na internetu prostřednictvím platební karty. Důležité je také pravidelně si měnit přihlašovací hesla – vyhnout se datům narození, po sobě jdoucím číslicím, jménům dětí či domácích mazlíčků apod. Zvýšit bezpečnost můžeme také tím, že si do telefonu budeme instalovat aplikace jen z důvěryhodných zdrojů a k tomu si nainstalujeme antivir.

Michal Špaček

vývojář a webový bezpečnostní expert

Nikdy nikomu nepřeposílejte své SMS s „nějakými kódy“, ani když vám dotyčný bude tvrdit, že jsou jeho. Nikdy nikomu neříkejte svá hesla, a už vůbec ne lidem, které neznáte. Tímto zdravím pana taxikáře, který se mi hned poté, co jsem mu řekl, že jedu přednášet na konferenci o bezpečnosti, pochlubil, že jeho syn vymyslel dokonalé heslo. To mi samozřejmě prozradil. Nebylo dokonalé. Na to mi pak taxikář řekl své vlastní heslo a zeptal se, jestli je lepší. Bylo, o fous. A to ho používal na „více“ místech – snad úplně všude. Když ho někdo hackne, tak mu to prý nevadí. Mělo by to ovšem vadit jeho kamarádům. Útočník se za pana taxikáře může vydávat a třeba facebookoví kamarádi mu budou věřit, že to je přece Pepa! Mizera vydávající se za Pepu pak může nalákat k instalaci zákeřné aplikace, k přeposlání SMS s kódem do bankovnictví nebo sdělení hesla.

A ještě dvě praktické rady:

Co se týče rizika u plateb bez 3D secure… Ve skutečnosti je stejné jako u plateb s 3D secure. Je to jen o přenášení zodpovědnosti na obchodníka a uživatele karty. Slovíčko secure je marketingový trik. I z karty, která má 3D secure aktivní, se dá strhnout platba bez zadání kódu z esemesky.

Nikdy nepoužívejte počítače v lobby hotelu nebo kavárně pro přihlašování kamkoliv, nikdy na nich neplaťte, nevíte, co na ně kdo nainstaloval.

Marián Tvrdý

ředitel IS/IT bezpečnosti České spořitelny

Naše internetové bankovnictví je zabezpečeno dostatečně, nejslabším článkem je bohužel koncový uživatel: úspěšnost kyberútoků má na svědomí především neznalost zásad správného chování na internetu a nedostatečně chráněný počítač. Klientům radíme, aby neklikali na odkazy, které je mají přivést do našeho internetového bankovnictví. Zároveň doporučujeme, aby byli obezřetní k e-mailům z neznámých zdrojů a pozorně četli obsah potvrzovacích SMS. Jako preventivní opatření také právě nasazujeme další technologie, které zvyšují míru ochrany před podvrženými emaily.

A na závěr pár bezpečnostních tipů: Přihlašujte se do internetbankingu ručním zadáním adresy přímo do adresního řádku internetového prohlížeče, ale ne na neznámých nebo veřejně dostupných počítačích. To platí i pro zařízení, která jsou sice vaše, ale na nichž třeba vaše děti hrají hry. Chraňte své přihlašovací údaje a heslo často měňte. Chraňte také svůj počítač – používejte legální a aktualizovaný operační systém, aktuální antivir a firewall.

KREDITNÍ KARTA SMART

Získejte nyní 5 % zpět z každého tankování

Sjednat online

Sdílejte článek, než ho smažem