TechMIX: Na podvodný e-mail byste nenaletěli? Pak jste možná ideální oběť

Neklikat na neznámé odkazy. Neotevírat přílohy. Zkontrolovat, zda jsem skutečně na oficiálním webu banky a ne na nějakém, který ze mne chce lstí vylákat moje údaje. Tyto poučky se opakují tak často, že se dostaly snad ke každému. Včetně vašich rodičů a prarodičů. Ale raději si o tom s nimi popovídejte. Můžete k tomu využít i můj návod pro domácí uživatele. Návod jim můžete i vytisknout, aby jej měli neustále u počítače.

Vypíchl bych hlavně dvoufaktorové zabezpečení. To si dnes můžete zapnout u většiny důležitých služeb (Google, Facebook, Twitter, OneDrive, Apple atd.), a je to opravdu dobrý nápad. Už jen proto, že většina masových útoků pak na vaše účty zkrátka nebude fungovat.

Bohužel jsou často představy lidí o kybernetických útocích velice abstraktní. Máme tak pocit, že bychom se nenachytali. Jasně, na většinu phishingů a spamů a hoaxů se opravdu většina lidí nenachytá. Ale ono stačí nachytat se jednou.

Když jste zrovna vylezli ze sprchy a váš známý píše, že potřebuje rychle vaši pomoc. Nebo zrovna čekáte důležitou zásilku, ale přijde SMS, že se zasekla a odešlou ji zpět příjemci, pokud nezaplatíte 29 Kč…

Jste si jisti, že byste vždy zareagovali zcela bezchybně a racionálně? Snad ano. Každopádně lidský faktor je nejčastější příčina úspěšného útoku. Pro lepší představu si projděte pěkný přehled Jozefa Mlícha. Podrobně popisuje – a na reálných screenshotech dokládá – fungování sedmi aktuálně používaných podvodů.

I pokud si myslíte, že jste v rozpoznávání hrozeb odborníci – třeba je to dokonce vaše práce a jste za ni dobře placení – pořád se může stát, že naletíte. A když naletí expert, je to často o to horší, protože má obvykle na starost i data ostatních lidí.

Expert si navíc na základě dlouhodobých zkušeností důvodně myslí, že je v rozpoznávání on-line hrozeb nadprůměrný. A když tedy na nějaký útok, nejlépe šitý na míru právě jemu, skočí, bude si celkem jistý, že jemu se to nestalo. Protože on by přece útok poznal.

Bezpečnostní expert Scott Schober by mohl vyprávět: „Jako majitel malé firmy a bezpečnostní expert jsem si naivně myslel, že jsem vůči kybernetickému útoku imunní. Koneckonců jsem pravidelně vystupoval na bezpečnostních akcích, často jsem na toto téma psal a učil ostatní, jak se vyhnout online útokům.“ Ale protože je expert, trvalo mu déle přijmout, že se i on mohl stát obětí obyčejné nepozornosti.

Podobné je to ostatně i v jiných oblastech. Jen to, že jste nadprůměrně inteligentní, vás nechrání před všemi omyly. Uděláte jich možná méně, ale ty, kterých se přeci jen dopustíte, pro vás nejspíše budou překvapivé a nebudete si je chtít připustit. Jak jsem nedávno psal v článku o variantě omikron: „Člověk selektivně vybírá, čemu věnuje pozornost. Filtruje si informace a snáze vnímá informace, které mu potvrdí již vytvořený názor. Génius tedy může svou výjimečnou inteligenci využít k tomu, že si informace bude filtrovat o to lépe. Jeho sebedůvěra pak naopak znamená, že si bude o to více jistý, že on chybu neudělal. Dokáže si svůj názor lépe racionalizovat, obhájit. Bez ohledu na nová fakta.“

A i když se expert nesplete, může se ukliknout. To se stalo v případě e-mailů Johna Podesty, poradce Hillary Clintonové. Během volební kampaně v roce 2016 Podesta očekával, že bude cílem útoků. Svůj e-mail tak svěřil asistentům a ti měli k dispozici bezpečnostní firmu v případě jakýchkoli dotazů.

Když ve schránce přistál osudný e-mail, který se tvářil jako žádost o reset hesla, asistent požádal bezpečnostního experta o verifikaci. Za chvíli bezpečnostní expert odpověděl: „This is a legitimate e-mail.“ Tedy: „Toto je legitimní požadavek.“

Asistent tedy poslechl a resetoval heslo do mailu. Byla to past, podle následného vyšetřování CIA, z dílny ruských hackerů. Vybrané Podestovy e-maily – a bylo jich celkem přes 60 tisíc – skončily na WikiLeaks a staly se významnou součástí kampaně proti Clintonové. Vzhledem k tomu, jak těsné bylo Trumpovo vítězství v následných volbách, může Podesta dodnes přemýšlet, zda i tento únik nezvrátil výsledky směrem k republikánskému kandidátovi.

Ironií osudu je, že expert, který měl zabezpečení na starost, věděl, že šlo o hackerský útok. Původně chtěl totiž napsat: „This is illegitimate e-mail,“ tedy: „Toto je podvržený požadavek.“ V rozhovoru přiznává, že jej tato chyba od té doby pronásleduje. Pro nás to může být užitečná připomínka toho, že když jsou útoky neustálé a všudypřítomné, tak i malé zaškobrtnutí může mít velké dopady.

„Cílem hybridní války není ani tak prosazení prokremelského názoru. Jde o relativizaci a zamlžení. O pocit, že není možné nalézt pravdu,“ připomíná Benedikt Vangeli, vedoucí Centra proti terorismu a hybridním hrozbám. Ve velkém článku věnovanému ruské hybridní válce cituji několik odborníků, které jsem v této souvislosti oslovil, a také již vydanou literaturu. Pro Rusko je hybridní válka nejen výhodná, ale z jeho pohledu dokonce nezbytná součást vojenské a politické strategie.

Popisuji zde konkrétní příklad kyberútoku z roku 2017 vedeného prostřednictvím ransomware NotPetya, který se tvářil jako klasický vyděračský program. Ransomware obvykle zašifruje vaše data a pak od vás chce výkupné v bitcoinech. Jde o oblíbený typ útoků. Kolega Matouš Lázňovský se nedávno věnoval historii ransomware a já se na tuto techniku ptal bývalého šéfa bezpečnosti NSA. Ale NotPetya nebyl obyčejný ransomware. Byl to masivní útok na Ukrajinu a její infrastrukturu. Zasáhl statisíce firem a zemi v podstatě na pár dní logisticky ochromil.

Boje na Ukrajině podle analytiků znamenají, že i v Česku můžeme očekávat nárůst kyberútoků. Kromě toho lze čekat i stupňování aktivity už tak dost intenzivních dezinformací. Je proto důležité připomínat, že cíl těchto dezinformací není v tom, že mají někoho přesvědčit či změnit jeho názor.

Změna názoru je nesmírně těžká. Ale zčeřit vody, vnést zmatek nebo zpochybnit samotnou možnost dobrat se pravdy, to je mnohem jednodušší. Když přemýšlíme o dezinformátorech, neměli bychom si je představovat jako sofistikované experty propagandy, kteří pomocí deep fake technologií falšují videodůkazy. To je zbytečně drahé. Svůj efekt přitom mají i stokrát levnější dezinformace. Je obvykle snadné je vyvrátit. Ale účel splnily už jen tím, že vás zaměstnaly a demoralizovaly.

Obrana proti kyberútokům i proti dezinformacím je drahá. Nejen měřeno finančními prostředky. Je drahá na čas, energii, pozornost. A platíme také tou nejcennější měnou – vzájemnou důvěrou. Kvůli dezinformacím musíme být obzvláště podezřívaví k anonymním textům na sociálních sítích. Kvůli kyberútokům musíme za každou zprávou od známého vidět potenciální pokus vyluxovat naše konto. Dlouhodobě to v nás posiluje dojem, že věřit se nedá nikomu a ničemu.

Co s tím? Neměli bychom se jen reflexivně bránit a postupně se více a více uzavírat před nedůvěryhodným světem. Měli bychom naopak pracovat na tom, aby naše komunikace byla jasná, důvěryhodná a spolehlivá. Aby lidé, kteří nás znají, věděli, že nám mohou věřit. Což je ostatně dobrý nápad vždy, nejen v období vojenského napětí.

Jen si nezapomeňte udělat dvojité zabezpečení vašeho účtu, aby vaši pečlivě budovanou důvěryhodnost nějaký hacker nezneužil a nešířil skrze váš účet nějaké kyberpotvory.

V plné verzi newsletteru TechMIX toho najdete ještě mnohem víc – třeba tipy na nejrůznější zajímavé verze populárního on-line kvízu Wordle. Přihlaste se k odběru a budete ho dostávat každou středu přímo do své e-mailové schránky.