Jak vlastně útočí hackeři a jak se proti jejich útokům bránit

Jak vlastně útočí hackeři a jak se proti jejich útokům bránit

Občas se někde objeví zprávy o „hacknutých“ účtech. Že nechápete, jak k tomu hacknutí mohlo přesně dojít? Věřte nebo ne, ale do účtů se někdo naboural pravděpodobně poměrně jednoduchým způsobem – útočníci nepoužívají žádnou černou magii.

Ve vědomostech je síla. Pochopení toho, jak jsou účty ohroženy, vám může pomoci je zabezpečit.

1. Opakované používání hesla, zejména toho, které už někde uniklo

Mnoho lidí – možná dokonce většina lidí – používá stejné heslo pro různé účty. Někteří lidé používají stejné heslo dokonce pro všechny své účty, které používají. A to je chyba. Mnoho webových stránek – i ty velké a dobře známé jako třeba LinkedIn – se občas potýká s únikem hesel uživatelů ze svých databází. Hesla uniknou i s uživatelským jménem a podle toho se již dá snadno dohledat emailová adresa. Útočníci mohou vyzkoušet kombinace zjištěného emailu, uniklého hesla a uživatelského jména a tím získat přístup k mnoha účtům.

Pokud se někdo dostane na váš email, býváte obvykle úplně ztraceni. Váš emailový účet totiž může být použit k obnovení všech ostatních hesel na různých jiných webech či sociálních sítích.

Přestože si vymyslíte extrémně bezpečné heslo, nikdy nemůžete kontrolovat, jak se o něj stará společnost, které jste ho svěřili. Pokud jedné službě unikne, mohou být v ohrožení všechny vaše účty. Proto byste měli všude používat originální hesla – může vám s tím pomoci třeba nějaký program pro správu hesel.

leaked-database

Občas se tak stává, že unikne nějaká databáze uživatelů i s jejich citlivými daty.

2. Keyloggery

Keylogger je software, který běží nepozorovaně na pozadí a zaznamenává každou klávesu, kterou stisknete. Často jsou používány k zachycení citlivých dat, jako jsou čísla kreditních karet nebo hesla k online bankovnictví. Data jsou pak odesílána útočníkovi přes internet.

Keylogger se k vám většinou dostane spolu s jiným softwarem. Například když stahujete nástroj pro online hru od nějaké třetí strany. Nebo pokud používáte zastaralou verzi Javy. Většina počítače totiž může být ohrožena prostřednictvím Java appletu na webové stránce.

Tomu se nelze bránit snad nijak jinak, než používat spolehlivý antivirový program, udržovat aktualizovaný software a vyhýbat se stahování z nedůvěryhodných zdrojů.

Pokud vás problematika zajímá ještě více a chcete se dozvědět například i o hardwarovém keyloggeru, přečtěte si Vše, co potřebujete vědět o keyloggeru.

keylogger-scrnshot1

Keylogger zaznamenává všechny klávesy, které zmáčknete.

3. Sociální inženýrství

Útočníci také pro přístup k účtům běžně používají triky sociálního inženýrství. Známá forma sociálního inženýrství je phishing. Útočník se v podstatě vydává za někoho jiného a pak požádá o vaše heslo. A protože je to forma, na kterou se mnoho lidí snadno nachytá, pojďme si uvést pár příkladů, abyste věděli, čemu se vyvarovat.

  • Obdržíte email, který se tváří, jako že je z banky. Přesměruje vás na falešné webové stránky banky a požádá vás, abyste napsali své heslo.
  • Na Facebooku nebo jiné sociální síti obdržíte zprávu od uživatele, který tvrdí, že je oficiálním zástupcem Facebooku a požaduje po vás heslo k ověření.
  • Navštívíte webové stránky, které vám slibují něco hodnotného. Chcete-li to však získat, musíte vložit uživatelské jméno a heslo k nějaké službě.

Buďte tedy opatrní, komu dáváte své heslo. Neklikejte na odkazy v podezřelých emailech a vždy se ujistěte, že jste na pravém webu své banky. Nedávejte své heslo nikomu, kdo vás jen tak kontaktuje a požádá o něj, a nepřihlašujte se na nedůvěryhodné weby, které vám slibují nemožné.

phishing-false-facebook

Falešnou webovou stránku poznáte podle URL adresy.

4. Odpověď na bezpečnostní otázku

Hesla lze často resetovat tím, že odpovíte na bezpečnostní otázku. Tyhle bezpečnostní otázky totiž bývají neuvěřitelně slabé. Obvykle to bývají dotazy jako „Kde jste se narodili?“, „Na jakou vysokou školu jste chodili?“ nebo „Jaké bylo rodné jméno vaší matky?“. Odpovědi na ně lze snadno vypátrat, tyto informace jsou totiž veřejně přístupné na sociálních sítích a většina lidí vám řekne, kde studovali, pokud je o to požádáte. S těmito snadno získatelnými informacemi není žádné umění resetovat heslo a dostat se na účet.

V ideálním případě byste měli používat bezpečnostní otázky, jejichž odpovědi se nedají tak snadno zjistit. Webové stránky by rovněž měly lidem zabránit v přístupu k účtu jen na základě toho, že znají odpověď na nějakou otázku. Některé to dělají, jiné ještě ne. To už vy ale neovlivníte.

kontrolni-otazka-seznam-email

5. Emailový účet a reset hesla

Jak už jsme zmínili výše, pokud se útočník jednou dostane na váš hlavní emailový účet, jste ve větším průšvihu. Na email je totiž nabalena spousta dalších služeb. A každý, kdo má váš email, ho pak může použít k resetování hesla na libovolném počtu webů, kde jste zaregistrovaní pomocí této emailové adresy.

Z tohoto důvodu byste měli zajistit emailový účet tak, jak jen je to možné. Je zvlášť důležité pro něj použít unikátní a bezpečné heslo.

WorstPassword-Infographic

Tak tímhle se rozhodně neinspirujte.

Co není „hackování“ hesla

Mnoho lidí si představuje hackery, jak se postupně snaží vyzkoušet všechna možná hesla pro přihlášení k účtu. Tak to ale není. Za prvé by to trvalo strašně dlouho, než by obrovské množství možností vyzkoušeli, a za druhé by to ani technicky nešlo. Po několika nepovedených pokusech by jim totiž služba zřejmě zakázala se přihlásit.

Útočník by byl schopný dostat se na váš účet hádáním hesla pouze v případě, že by vaše heslo bylo hodně slabé. Na několik prvních pokusů lze uhodnout hesla jako třeba „heslo“ nebo jméno vašeho domácího mazlíčka.

Metody hrubé síly mohou útočníci použít pouze v případě, že mají přístup k vašim údajům. Například když máte na svém Dropboxu uložený šifrovaný soubor, útočník k němu získá přístup a stáhne ho. Pak může zkusit hrubou sílu, aby soubor rozšifroval a zjistil heslo.

Myslete dopředu

Je dost pravděpodobné, že lidé tvrdící, že byl jejich účet „hacknutý“, si za to mohou sami. Zřejmě používali stejné heslo na mnoha službách, omylem si nainstalovali keylogger nebo umožnili útočníkovi využít metody sociálního inženýrství. Nebo abychom nezapomněli, zvolili si příliš jednoduchou bezpečnostní otázku.

Pokud budete dodržovat správná bezpečnostní opatření, nebude snadné váš účet „hacknout“. Pomoci může i dvoukrokové ověření – útočník bude potřebovat více než jen heslo, aby se dostal dovnitř.

Zdroj: howtogeek, obrázky: thehackernews, hackauthority, eff, registrace.seznam.cz, technorms, enformait

Komentáře

Nahoru