Jak ochránit své účty před phishingem a keyloggery?

Obrovský technologický pokrok nám pomáhá usnadňovat si život v mnoha oblastech. Velkým negativem takového rychlého pokroku je nárůst cyberhrozb, které nás ohrožují čím dál tím víc. Budoucnost bezpečnosti a ochrany dnes spočívá v proaktivním přístupu. Takový přístup je přizpůsoben k tomu, aby škodám předcházel, než na ně jen reagoval poté, co se již staly.

Dnes již neplatí, že vás antivirový program ochrání před všemi digitálními hrozbami. Mezi nejrychleji rostoucí hrozby v digitálním světě, kde antiviry selhávají, je zejména phishing a keyloggery. Poslední studie poukazují na nárůst phishingu od začátku roku 2020 o 350%. Kromě firemních zákazníků se hackeři zaměřují už i na běžné uživatele a majitele kryptoměn.

Nadějí je vznik nových způsobů, jak se chránit proti těmto hrozbám. Mezi ně patří zejména dvoufaktorové ověření, které zlepšuje zabezpečení, ale selhává při ochraně před phishingem.

Jediným ověřeným způsobem ochrany zůstávají hardwarové bezpečnostní klíče FIDO2 a FIDO U2F (security key). To potvrzuje i zpráva Googlu, který zavedl v roce 2017 povinné používání těchto klíčů pro více než 85 000 zaměstnanců a od té doby nezaznamenali ani jeden úspěšný phishingový útok. V tomto blogu se dozvíte:

  1. Co je to phishing?
  2. Co je to keylogger?
  3. Proč silné heslo nestačí?
  4. Proč dvoustupňové ověření nechrání před phishingem?
  5. Jak se chránit před phishingem a keyloggery?
  6. Co je to Passwordless? Čo je to Passwordless?

Záverěm

 phishing

✅ CO JE PHISHING A PROČ JE TAK NEBEZPEČNÝ?


Phishing je jedním ze způsobů útoku, při kterém se hacker snaží získat vaše přihlašovací údaje (jméno a heslo). Útočník Vám zašle falešný odkaz prostřednictvím emailu, SMS zprávou nebo jiným oznámením (push notifikací). Tento odkaz připomíná důvěryhodnou službu, jako například přihlášení do Facebooku, Google účtu nebo banky, a je velmi těžké ho rozeznat od pravého. Po kliknutí na tento odkaz a vyplnění údajů (bez ohledu na to, jak bezpečné bylo vaše původní heslo), útočník získá přístup k účtu, který dokáže zneužít a vydírat vás. Nejnovější průzkumy poukazují na to, že:

  • od začátku roku 2020 phishingové útoky narostly o 350%,
  • 90% lidí má problémy s rozpoznáním phishingového mailu,
  • 30% všech phishingových mailů, které jsou odeslány hackery, je i otevřených a lidé na ně aktivně klikají,
  • 93% všech cyberútokov z let 2019 - 2020 přímo či nepřímo souviselo s phishingem,
  • 66% všech instalací malwaru v roce 2020 bylo výsledkem phishingových e-mailů s podezřelými linky (odkazy), které byly rozeslány zaměstnancům.

 

Problém, který nastává je, že phishingové útoky jsou čím dál tím sofistikovanější a je stále těžší ich odhalit. Namísto lámaného jazyka a špatné grafiky (což byly v minulosti ukazatele toho, že něco není v pořádku), hackeři využívají služeb profesionálních překladatelů a grafiků. Proto rozdíl mezi např. phishingovu stránkou Facebooku a jeho oficiální stránkou je na nerozeznání.

Nárůstem phishingových útoků se zvýšila i sofistikovanost, kde běžný antivirový software nestačí. Antivirus reaguje na hrozby, které již rozpoznal, pokud byl daný link nahlášen jako phishing. Vytváří si pak určitou databázi nebezpečných linků. Tyto linky jsou zveřejněny např. zde. Pokud je daný link v antivirové databázi, stránku zablokuje. Pokud není, antivirus vás neochrání.

✅ JAKÉ DRUHY PHISHINGOVÝCH ÚTOKŮ ZNÁME?


Známe základních 5 druhů phishingu.

EMAIL phishing

Většina phishingových útoků se děje prostřednictvím mailů. Podvodník si zaregistruje falešnou doménu, která vypadá jako skutečná, a zašle tisíce obecných žádostí. Tato falešná doména často zahrnuje záměnu znaků, například místo písmene "m" použije hacker kombinaci "rn", které vypadají podobně.

Další z věcí, které se často stávají je, že název organizace je v první části mailové adresy, například paypal@cokoliv.com v naději, že právě PayPal se zobrazí jako odesílatel mailu.

Existuje mnoho způsobů, jak odhalit phishingové maily, ale obecným a základním pravidlem je vždy si zkontrolovat odesílatele, který vás žádá o kliknutí na nějaký link nebo stažení přílohy.

SPEAR phishing

Existují však i více sofistikované druhy e-mailového phishingu. Spear phishing se používá k označení škodlivých mailů, které jsou odeslány konkrétním adresátům (obchodní partner, nadřízený v práci). Kriminálníci, kteří stojí za tímto druhem phishingu, většinou o svých obětech už mají jisté informace, nejčastěji:

  • jméno,
  • název zaměstnavatele,
  • pozici, na níž pracují,
  • specifické informace ohledně náplně práce.
    Jedním z nejznámějších úniků informací v nedávné minulosti byl hackerský útok na Democratic National Committee, a stal se právě díky spear phishingu. Během první úspěšné vlny útoku bylo odesláno více než 1 000 e-mailů se škodlivými přílohami, kde se podařilo získat přístupová hesla a proniknout do účtů. Tento druh phishingu je těžko detekovatelným pro antivirový software.

 

Whaling

Útoky Whaling jsou ještě konkrétnější cílené, než předchozí dva způsoby a zaměřují se primárně na vyšší management. I když je cíl Whaling v podstatě stejný, jako při každém phishingové útoku, tato technika je mnohem méně nápadná. Triky jako falešné linky či škodlivé URL jsou bezpředmětné, protože útočníci se snaží napodobit senior zaměstnanců. Tyto podvody obvykle používají jako lákadlo falešné placení daní, protože právě zde se dá získat mnoho informací, jako jména, adresy a údaje o bankovních účtech.

SMISHING A Vishing

Při smishingu a Vishing je hlavním komunikačním kanálem telefon (namísto e-mailu). Při smishingu útočníci používají SMS zprávy, při Vishing zase telefonické hovory, přičemž obsahově jsou velmi podobné e-mailovému phishingu.

Nejčastějším scénářem je předstírání, že volající útočník je pracovník banky a snaží se varovat adresáta před narušenou bezpečností jeho účtu. Následně volající získá citlivé údaje, nebo požádá o transfer zůstatku na účtu na nový "bezpečný" účet, který často patří právě útočníkovi.

Angler phishing

Relativně nový druh útoků přes sociální sítě, které poskytují širokou škálu možností:

  • falešné URL,
  • fake e-maily,
  • webové stránky,
  • posty,
  • tweety,
  • soukromé zprávy na těchto sítích, aby z obětí získali citlivé informace.

Kromě toho, útočníci mohou využít i údaje, které o sobě oběti sdílejí na sociálních sítích dobrovolně a veřejně.

V roce 2016 mnoho uživatelů Facebooku obdrželo zprávu, že jejich kdosi zmínil v příspěvku. To je přesměrovat na stránku, kde se automaticky spustilo stahování malwaru nebo nebezpečného rozšíření do jejich prohlížeče. Jakmile se oběť přihlásila, kontrolu nad tímto účtem získal útočník, čímž nabyl přístup k osobním údajům a mnoha dalším informacím.

✅ CO JE KEYLOGGER A PROČ ANTIVIR NESTAČÍ?

Keylogger může být škodlivý software, který je nainstalován do PC uživatele a zaznamenává každé stisknutí klávesnice. Také to může být hardwarové zařízení, které se připojí ke klávesnici a není rozpoznatelné pomocí antiviru.

Toto externí zařízení má vnitřní paměť a je připojeno pomocí Wi-Fi, kde útočník dokáže snadno získat jméno a heslo uživatele. Jedním ze způsobů, jak se před těmito útoky chránit, je dvoufaktorové ověření, a to zejména pomocí klíče FIDO2 nebo FIDO U2F (tkz. Security key).

✅ PROČ SILNÉ HESLO NESTAČÍ?

Mezi nejpoužívanější hesla v roce 2018 patří 123456, druhé nejpoužívanější password. Průzkumy ukázaly důležitost osvěty a vytvoření silného hesla, což opravdu vedlo k tvorbě silných hesel, ale kvůli komplikovanosti ho uživatelé používali na přihlašování do všech služeb.

Problém nastal, pokud alespoň jedna služba měla nedostatečné zabezpečení. Došlo tak k úniku uživatelských dat a hesel a hacker se dokázal dostat do všech služeb uživatele.

Velkým pozitivním krokem bylo používání password manageru jako LastPass, Bitwarden, KeePass, což poskytlo možnost mít silné specifické heslo pro každou službu. Bohužel, nová doba přináší nové hrozby a dnes, když všichni řeší sílu hesla, jsou tím největším problémem sofistikované phishingové útoky, kde silné heslo a ani dvoufaktorové ověření nestačí.

Mezi další známé způsoby, jak může heslo uniknout, je:

  • Únik hesel od poskytovatele webové služby, např. nedávno, jak informuje portál ZDNet, bylo hacknutých 23 600 databází.
  • Man-in-the-middle je útok, kdy útočník vstupuje do komunikace mezi uživatelem a serverem.
  • Malware. Do webových služeb se přihlašujeme pomocí PC nebo mobilu, které jsou náchylné na malware, keylogger, spyware.

Jediný účinný a ověřený způsob ochrany je používání hardwarových klíčů FIDO2 nebo FIDO U2F (security key).

✅ PROČ DVOUSTUPŇOVÉ OVĚŘENÍ NECHRÁNÍ PŘED PHISHINGEM?

Dvoustupňové ověření neslouží jako ochrana před phishingem, ale jako dodatečný faktor k ověření. To znamená, že pokud se někdo dostane k jménu a heslu od webové služby, potřebuje SMS kód nebo OTP (one time password) kód, který je generován z aplikace, např. Google Authentificator.

Tyto kódy mají časovou platnost. Většinou je to 30 sekund, do kterých musí být použity. V případě phishingu, kde se hacker tváří jako webová služba, vy zadáte jméno, heslo a OTP kód a hacker ho použije k přihlášení do webové služby, čímž získá přístup do vašeho účtu.

phishing keeprivacy.sk 

✅ FIDO U2F A FIDO2 ohranA PŘED phishinGEM

 

V této části představíme možnosti, jak se chránit, a ukážeme si krok po kroku video návody, které vám pomohou tyto možnosti snadno implementovat. Obecně známe dva způsoby, jak se před phishingem chránit. Prvním je dvoustupňové ověření pomocí hardwarového klíči (tzv. Security key) FIDO U2F a druhým přihlašování se pomocí hardwarového klíče FIDO2.

✅ CO JE FIDO2 A FIDO U2F?


Je to USB klíč, který obsahuje secure element (bezpečnostní čip). Secure element si představte jako super bezpečný čip, na kterém se nacházejí bezpečnostní klíče (public key a private key), které jsou potřebné k přihlášení do webové služby, např. Facebook, Gmail, Binance atd.

Výhodou je, že tento čip (secure element) je stavěn proti různým formám hackerských útoků, jako např. phishingu, brute force, MITM útokem, keyloggerům, malwaru atd., a to včetně fyzických útoků na hardware klíče jako klonování, přečtení bezpečnostních kódů atd.

Secure element je vyráběn světovými výrobci, jako např: NXP, Infineon, STMicroelectronics, a to zaručuje maximální zabezpečení. Tito výrobci vyrábějí i čipy do kreditních karet jako Visa, MasterCard a podobně. Výhodou je také odolnost těchto bezpečnostní klíčů vůči vodě, prachu a životnost více než 10 let. V této části se dozvíte:

  1. Jak nastavím FIDO bezpečnostní klíč?
  2. Jak funguje FIDO bezpečnostní klíč?
  3. Jaký FIDO bezpečnostní klíč vybrat? (Yubikey vs Feitian)
  4. Jak nastavím FIDO bezpečnostní klíč: Facebook, Gmail atd. ?
  5. Jak FIDO bezpečnostní klíč ochrání vaše kryptoměy?
  6. Jaké je další využití FIDO klíčů?

phishing-min

✅JAK NASTAVÍM FIDO BEZPEČNOSTNÍ KLÍČ?


ZAČNĚTE ZÁLOHOVANÍM

Ztráta klíči je totéž, jako zapomenutí hesla, proto je třeba mít nastavené zálohování. Kromě zakoupení více klíčů můžeme nastavit zálohování pomocí SMS a android / iOS aplikace.

- Obnovení pomocí SMS

Hlavní výhodou zálohování pomocí SMS je dostupnost pro všechny. Ve většině případů je SMS kód sloužící k ověření doručen do několika minut. Pokud bychom náhodou ztratili telefon, číslo si umíme obnovit u operátora. Hlavní nevýhodou je, že tel. číslo je často zneužíváno k reklamním účelům a ne vždy je kód doručen včas. Největším rizikem je fakt, že SMS komunikační protokol v oblasti bezpečnosti je považován za velmi zranitelnou formu autentifikace, proto tuto možnost nedoporučujeme.

- Obnovení pomocí Google Authentificator

Hlavní výhodou obnovení pomocí aplikace Google Authentificator je, že jde o bezplatné řešení, při kterém je bezpečnostní klíč uložen v zařízení, ve kterém nemůže být tak snadno přečten (na rozdíl od zmíněné SMS). Aplikace v pravidelných intervalech zobrazuje kód OTP (většinou je to interval 30 s.), A až po zadání uvedeného kódu se dostaneme do webové služby. Mezi nejznámější patří:

  • DUO
  • Microsoft Authentificator
  • Authy

✅JAK FUNGUJE FIDO BEZPEČNOSTNÍ KLÍČ?

Abychom pochopili, jak tyto klíče fungují, je třeba trochu porozumět kryptografii. Na komunikaci mezi serverem a klíčem se používají dva klíče. Jeden je soukromý (private key) a druhý je veřejný (public key).

Pokud něco zašifruji pomocí veřejného klíče (public key), dokážu to rozšifrovat pouze pomocí soukromého klíče (private key) a naopak.

V praxi, pokud chci, aby mi někdo poslal šifrovanou zprávu, pošlu mu veřejný klíč, který použije k zašifrování a pošle mi ji zpět. Jediný, kdo tuto zprávu může přečíst (rozšifrovat), jsem já, protože mám soukromý klíč. Kromě šifrování tyto klíče slouží k ověření resp. podepisování, a to je princip, na jakém fungují FIDO klíče.

Scénář počítá s tím, že daný FIDO klíč jsme již zaregistrovali ve webové službě, čili existuje veřejný a soukromý klíč. Každá služba má jiný veřejný klíč, což je kvůli tomu, aby bylo nemožné uživatele vystopovat.

  1. FIDO U2F FIDO2 security key keeprivacy.sk_1Server, např. Gmail vyšle Challange (to je náhodně generované číslo) a app ID (což je URL adresa serveru, v našem případě gmail.com).
  2. To jde do webového prohlížeče, kde se přidá origin (což je aktuální URL adresa, která je zobrazena v prohlížeči). Pokud by to bylo grnail.com, autentifikace selže.
  3. Potom Challange (náhodně generované číslo) jde na podpis a uživatel pomocí soukromého klíče akci podepíše.

Tak to jde na server Gmailu, kde se ověřuje, zda app ID a origin jsou stejné, pokud ano, tak se ověřuje podpis. Pokud je vše v pořádku, autentifikace je úspěšná.

✅JAKÝ FIDO BEZPEČNOSTNÍ KLÍČ VYBRAT?

Mezi nejznámější výrobce patří Feitian a Yubikey. Na základě toho, co od klíče potřebujeme, máme na výběr:

  • Bluethoot a NFC - pokud chceme používat s mobilními zařízeními a laptopem,
  • NFC - pokud máme NFC čtečku,
  • USB - běžný způsob dostupný pro desktopové počítače a laptopy. Může být použita kompatibilita s USB-C nebo USB-A.

 

YUBIKEY


Yubico (Yubikey) je švédsko-americká společnost založená v roce 2007 specializující se na hardwarovou autentizaci. Ve svých produktech používá čipy od renomovaných výrobců jako je NXP (USA), Infineon (Německo) a podobně. Je jednou z nejznámějších firem, které nabízejí autentifikační zařízení pro B2C trh. Má vytvořené své jméno a mnoho lidí ji zná, což se odráží na vysoké ceně.

FEITIAN


Jeden z největších globálních lídrů v oblasti zabezpečení a autentizace založen v roce 1998. Zaměřuje se především na B2B trh a vyrábí hardwarové klíče pro Google (Google Titan), Symantec a mnoho jiných. Při výrobě používá pouze čipy od renomovaných ýrobce jako je NXP (USA), STMicroelectronics (Švýcarsko), Infineon (Německo) atd.

FEITIAN VS YUBIKEY


Tak, jak jsme řekli, nejdůležitější a nejdražší součástkou na FIDO klíči je secure element. Na těchto fotkách vidíme, že oba výrobci používají pouze renomované značky, v tomto případě jde o americkou firmu NXP.

feitian inside

yubikey inside

                                                                             Zdroj: hexview.com

✅JAK NASTAVÍM FIDO BEZPEČNOSTNÍ KLÍČ ?

Připravili jsme pro vás kompletní návody, jak nastavit FIDO U2F / FIDO 2 klíče pro nejznámější služby.

  • Facebook
  • Gmail
  • Microsoft
    Ostatní návody naleznete na naší stránce. 

✅ JAK FIDO BEZPEČNOSTNÍ KLÍČ OCHRÁNÍ VAŠE KRYPTOMĚNY?


Vysoká cena Bitcoinu a narůstající povědomí o něm zvyšuje zájem lidí o tuto investici. Na jedné straně přináší vysoké výnosy, na straně druhé můžete o vše přijít. Nejzranitelnější součástí tohoto celého procesu jsou právě burzy a jejich nedostatečné zabezpečení. Ve většině případů se používá na dvoustupňové ověření jen SMS kód, což je nedostatečné.

I když používáte Bitcoin peněženku, kde máte bezpečně uloženy kryptoměny, k největší zranitelnosti dochází, pokud kryptoměny chcete směnit, a to na burze. Krypto burzy a jejich uživatelé jsou velmi atraktivní pro hackery, protože ukradený Bitcoin se dá jen těžko vystopovat a během krátké chvíle můžete  přijít o vše. 

Mezi nejznámější burzy, které nabízejí přihlašování pomocí FIDO klíčů, patří:

  • Bitfinex
  • Coinbase
  • Gemini
  • Binance


JAKÉ JE DALŠÍ VYUŽITÍ FIDO KLÍČŮ?


PASSWORD MANAGER


Tak, jak jsme si na začátku řekli, password manager je užitečná a bezpečná pomůcka. Co to tedy je? Password manager je end-to-end šifrovaná databáze, kde se ukládají vaše hesla, kreditní karty, občanský průkaz a jiné soukromé údaje uživatele. K těmto údajům nemá přístup ani poskytovatel služby, což právě zaručuje end-to-end šifrování. Jediný, kdo má přístup, je pouze ten, kdo zná jméno a heslo. Problém nastává, pokud vaše jméno a heslo unikne a stanete se obětí phishingu. Tehdy se hacker dostane ke všem heslům a údajům o vás. Ověřeným způsobem ochrany je použití FIDO klíče jako dvoufaktorové ověření. Mezi nejznámější služby, které podporují dvoufaktorové ověření pomocí klíče FIDO2 nebo FIDO U2F (security key) patří:

  • 1Password
  • Bitwarden - doporučujeme. Z našeho pohledu jde o nejlepší dostupné řešení, které prošlo nezávislým auditem a je open source. Premium verze stojí 10 dolarů na rok a podporuje přihlašování pomocí FIDO klíčů.
  • Dashline
  • Keeper
  • Okta


Přihlášení do Windows


Feitian a Yubikey nabízejí aplikace na dvoufaktorové ověření (2FA) do Windows. To zvyšuje zabezpečení, neboť místo jména a hesla potřebujete dodatečný faktor, kterým je FIDO bezpečnostní klíč. Daná aplikace zlepšuje soukromí, protože nikdo neví, jaký uživatel je přihlášen. Při použití jedné z aplikací od nás žádá zadání uživatelského jména, hesla, a po potvrzení je třeba vložit FIDO bezpečnostní klíč a dotknout se ho. Je důležité, abychom si při instalaci poznamenali obnovovací klíč, tzv. revolvery key, který slouží k obnovení účtu, pokud ztratíme FIDO bezpečnostní klíč.

Aplikace ke stažení:

  • Feitian Windows Logon
  • Yubico login for Windows
    Pro pokročilejší uživatele je tu možnost nastavení FIDO2 klíče s účtem Microsoft Azure. V praxi to vypadá tak, že místo jména a hesla se přihlásíte pouze vložením klíče klíče FIDO2 a PINu. Jde o nejbezpečnější dostupnou autentizaci, kterou je možné použít i na přihlášení se do Windows 10 s pomocí Azure.

OSTATNÍ

Pro firmy je zajímavé využití klíčů jako smart card (PIV), které slouží k vytváření a uchovávání certifikátů. Tyto certifikáty mohou být nastaveny jako autentizace při šifrování např. BitLocker.

Pomocí BitLocker umíme vytvořit šifrovaný kontejner, kde budeme mít údaje o zákazníkovi a přístup k nim budou mít pouze zaměstnanci, kteří mají FIDO bezpečnostní klíč s potřebným certifikátem. V případě ztráty klíče se nikdo k údajům nedostane, protože potřebuje FIDO klíč a PIN, který ověřuje identitu. Pokud někdo zadá 3 krát špatný PIN, kontejner celý se zablokuje a je třeba použít obnovovací frézu tzv. recovery key.

✅ CO JE PASSWORDLESS (FIDO2)?

Jde o nejnovější a nejbezpečnější formu přihlašování do webových služeb. Namísto klasického přihlášení pomocí jména a hesla se přihlásíte pouze pomocí bezpečnostního klíče a PINu. Používá protokol CTAP2, který ma více funkcí, na rozdíl od U2F, kde se používá CTAP. V dnešní době to podporuje zejména Dropbox, Microsoft a jeho služby jako OneNote, OneDrive, Azure atd. Na rozdíl od FIDO U2F, není třeba zadávat jméno a heslo.

Kromě klíče FIDO2 a FIDO U2F (security key) může být nastaveno i ověřování pomocí aplikace, např. jak to je u produktů Microsoftu. Nevýhodou však je, že daná aplikace sbírá údaje o uživateli, které jsou většinou sdíleny pro reklamní účely a tyto aplikace zvyknou jsou obvykle zranitelné. Právě zranitelnost aplikací je největší problém a jedním z důvodů, proč se aplikace pravidelně musí aktualizovat.

Kompletní seznam služeb, které podporují hardwarové klíče, naleznete zde.

Závěrem

"Nejslabším článkem v cyber bezpečnosti je lidský faktor" - Kevin Mitnick

Věříme, že je lepší prevence, jako reakce. Tak jak jsme si řekli na začátku, budoucnost bezpečnosti a ochrany dle nás spočívá v proaktivním přístupu. Takový přístup je přizpůsoben k tomu, aby škodám předcházel, než na ně jen reagoval poté, co se již staly.

V dnešní době už nestačí jen silné heslo, antivirus a pravidelné aktualizace. Ty vás v případě sofistikovaného phishingu a keyloggerů neochrání. Největším rizikem je lidský faktor a člověk si to uvědomí, až když se stane obětí. Tehdy už čas nedokážeme vrátit zpět. Obrovský nárůst phishingu za poslední roky je znepokojující, a to je jen jeden z důvodů, proč jsme se rozhodli vzdělávat v této oblasti - ať už formou blogu, nebo jednoduchých YouTube návodů.

I když nám dvoustupňové ověření pomůže zlepšit zabezpečení, nedokáže nás ochránit před sofistikovaným phishingem. Investice do FIDO klíčů není finančně náročná, a je to jediná prevence, o které víme, že funguje, a dokáže ochránit vaše účty a digitální svět.