Protože osvěty není nikdy dost a podvodníků na internetu se v poslední době vyrojilo opravdu hodně, tak jsem se rozhodl sepsat pár ukázek co ti lumpové vlastně dělají. Všechno jsou to skutečné příběhy. Je pozoruhodné jak jsou postupy těhle kriminálníků propracované.

Příběh první – hlasování do soutěže

Scénář: Zloděj si najde na facebooku vhodný účet. Stáhne si z něj fotky. Vytvoří nový účet se stejným jménem, profilovou fotkou a přidá si jeho kontakty do svých. Pak ve vhodnou chvíli požádá o zaslání potvrzovacího kódu z SMS.

Zloděj využívá toho, že si myslíte, že mluvíte s někým koho znáte a důvěřujete mu.

Výchozí limit u operátora je 2 500,- Jednou SMS se dá odeslat až 500,-

Co se s tím dá dělat? Snížit si limit na SMS platby. Pokud po vás někdo chce cokoliv – potvrzovací kód, ale i telefonní číslo, tak být ostražitý. Pokud se nenecháte napálit tak varovat ty co máte v přátelích. Pokud se necháte napálit, tak zjistit jestli neokradli někoho dalšího (čím vyšší škoda, tím větší motivace je to dál řešit) a obrátit se na Policii a na operátora.

Příběh druhý – bazoš

Dáte inzerát na bazoš a zloděj se pod záminkou ověření účtu snaží vylákat bankovní údaje.

Tady je screenshot, kde jsou zprávy (jenom odpovědi) od zloděje:

Po kliknutí na odkaz vás to vyzve k zadání údajů o kreditní kartě pro ověřění vaší totožnosti.

Na tomto scénáři se mi zdá nebezpečné hlavně to, že já jsem na začátku komunikace. Jednoduše v případě, že chci něco prodat na bazoši, tak se nevyhnu komunikaci s někým cizím jehož totožnost a úmysly si nemůžu jednoduše ověřit. Vždy je potřeba být opatrný.

Příběh třetí – trojan v příloze

Tohle je takový klasický útok: prostě trojan v emailu. Co je nebezpečné je čeština. Legitimní požadavek na nacenění produktu. Důvěryhodnosti tomu dodávají i kontaktní údaje (které pochopitelně nepatří účníkovi).

V příloze je potom potom soubor s “dvojitou příponou”. Pokud je ve Windows vypnuté zobrazování přípon, tak není vidět “.exe”.

Tento soubor obsahuje potom nějaký malware. Pokud si nejsme jisti, tak můžeme soubor protáhnout přes VirusTotal, který použije několik antivirů.

Pokud se dostanete až k tomu, že na něj opravdu kliknete, tak je potřeba systém odvirovat. V krajním případě to může vést k zašifrování dat a požadavek na zaplacení výkupného.

Příběh čtvrtý – my jsme tvoje banka

Zase poměrně klasický typ útoku. Zloději pošlou zprávu, která se tváří jako že je od banky. Zpráva obsahuje odkaz na webovou stránku, která se tváří jako přihlášení do banky.

Zajímavé je, že útočníci přešli z angličtiny do češtiny a zaměřují se na české banky nebo doručovací firmy. Stejně tak se útočníci přesunuli z emailu do SMS zpráv. Odesílatel je nějaká sms-sluzba, to by mohla být i banka. Samotná podvržená stránka vypadá přesně stejně jako přihlašovací stránka do bankovnictví a to včetně upozornění, že se nemáte přihlašovat pokud neobsahuje v adrese fio.cz. Stránka nemá HTTPS (přeškrtnutý zámek) to je dobrý indikátor toho, že je něco špatně. Ale je potřeba si uvědomit, že HTTPS není záruka toho, že všechno v pořádku. HTTPS se snaží zaručit pouze to, že komunikace mezi vámi a stránkou neodposlechne někdo v internetové kavárně.

Pokud narazíte na nebezpečný obsah, tak to můžete nahlásit a to ať už vaší bance, tak i google. Pokud to projde ověřovacím kolečkem, tak bude stránka zablokována pro ostatní uživatele.

Příběh pátý – máte vir a cheme Vám pomoci

Tady si dovolím použít původní (mírně zkráceny) text bez dalších komentářů. Snad kromě jednoho – zloděj vám může i volat.

V sobotu dopoledne mi klasickou telefonní linkou volá francouzské číslo, paní se představuje. Dělá přímo pro Microsoft, můj počítač prý zjevně ovládají hackeři, kteří se do něj dostali a pomocí něj na internetu podnikají „kriminální aktivitu“. Ráda mi s mojí spoluprací přímo na mém počítači ukáže, že to je očividné a společně se potom pokusíme hackery vystopovat.

S určitou skepsí jsem souhlasil, zajímalo mě, kam věc povede a vzhledem k tomu že mám na druhém počítači programy z různých zdrojů, nemohl jsem se zbavit pocitu, že ten „trojan“ fakt mohl být nebezpečný. Řekl jsem si, že budu bedlivě sledovat všechny kroky. Navíc mám téměř všude dvoufázové ověřování identity přes mobil, takže se nemusím zásadně obávat.

S mými Win11 mě za pomocí Teamvieweru a aplikace Anydesk postupně provedla různými „důkazy“. Nejprve prohlížečem událostí (události správy), kde mě vysvětlovala, že ty oranžové trojúhelníčky s upozorněním jsou zjevná hackerská aktivita (moc mě to nepřesvědčilo, ale budiž, tuhle část systému neznám, jdeme dál). Dále v příkazovém řádku rozjela příkaz „tree“ (strom mých složek), na jehož konci se poté ukázala zpráva, že můj počítač vzdáleně ovládá 17 hackerů. Tady se asi stydím nejvíc, protože příkaz tree dobře znám a v tu chvíli mi nedošlo, že oznámení o hackerech poté prostě překopírovala. Dále mi v příkazovém řádku ještě ukazovala ip adresy (příkaz si nepamatuju), kde mě pomocí určitého množství různých IP adres chtěla přesvědčit, že by jich tam nemělo být tolik.

Po tomto přesvědčovacím kolečku se už šlo k citlivým informacím. Napřed chtěla ověřit, zda jsou napadené moje emaily. Naštěstí jsem si zachoval chladnou hlavu a řekl jsem si, že se nebudu s jejíma očima na obrazovce nikam přihlašovat, takže jsem jí pouze ukázal, že na emaily používám Outlook, kde jsem přihlášený automaticky. Dále chtěla ověřit moje internetové bankovnictví, kde už to začalo být zajímavější, protože jsem začal být odmítavější a skeptičtější. Ukázalo se, že trik, jak mám odhalit hackery, je v zaplacení 500 dolarů na portálu bitstamp.com (investování do bitcoinu), čímž hackery nalákám k aktivitě na mém počítači. Celou tuto aktivitu by mohli sledovat, tedy by viděli číslo mé platební karty a celé moje bankovnictví. Přesvědčovali mě o tom, že na bitstamp.com si vytvořím vlastní účet, na který budu mít přístup pouze já a peníze jdou ihned odeslat zpátky.
Část procesu vytváření účtu a verifikace na bitstamp.com jsem ještě podstoupil, ale postupně ve mně nedůvěra zesílila do nejzazší míry. Především mě naštěstí její důkazy o mém zavirovaném počítači zcela nepřesvědčily. Dále jsem si všiml, že sice verifikuji údaje na Bitstampu já, ale z nějakého důvodu si tam napsali své heslo, které jsem z nich ještě dokázal vyloudit a především, ověřující kód k přihlášení na mobil chodil jim. Tady se začali vykrucovat, přehazovat téma jinam, opětovně připomínat, že mě chápou, že jde o citlivé věci, ale pochyby přeháním. Vrcholem bylo, když jsem si všiml, že v konzoli chrome začali ve chvílích, kdy „nedávám pozor, protože vyplňuju údaje v mobilu“ přepisovat některé řádky webové stránky, aby pro mě proces vypadal důvěryhodněji. Po upozornění opět odvedení pozornosti jinam. Další hřebík byl, když se chtěli propojit i s mým mobilem. Dále mě dlouhosáhle přesvědčovali, že těch 500 dolarů musí jít z mojí karty, protože to musí vypadat, že celou aktivitu dělám já. Atakdál, atakdál, celé to začínalo mít tragikomický spád. Celý telefonát trval přes hodinu.

V průběhu telefonát 3x skončil. Až zpětně jsem si všimnul, že mě volalo vždy jiné číslo. Při opětovaném telefonátu byl na druhém konci úplně cizí člověk, který tvrdil, že mi vůbec nevolal. Svými dotěrnými dotazy jsem se dostal až k „manažerovi“ společnosti, který už na mě na konci důrazně zvyšoval hlas, že jsem „overthinking“ a že mě prostě chce pomoct a hotovo, ať spolupracuji. Z celé té zkušenosti musím říct, že jejich nejsilnější zbraň byla komunikace, slova; opravdu zněli velmi přesvědčivě, celý proces probíhal ve velmi profesionálním duchu a doteď mám kdesi vzadu pocit, že mě fakt chtěli pomoct. Zachránily mě trochu pokročilejší znalosti systémů a především takový ty známý poučky, že PLATIT NĚKOMU NĚCO ONLINE PŘED KSICHTEM FAKT NE atd.

Pokud by se vám něco podobnýho stalo, tak nebuďte takoví blbci jako já a zavěste to hned ve chvíli, kdy vám nechtějí poslat doplňující údaje (co je to za lidi, nějaký web, nebo něco, čím se dají ověřit). Mě je dát opakovaně (a velmi nenápadně) nechtěli a stejně jsem je pustil dál.

Příběh šestý – sdílím soubor

Tento způsob je vlastně taky obvyklý pro získání přihlašovacích údajů a moc nevybočuje z řady. Zajímave na něm je, že odesílatel je z vnitrofiremní domény. Po rozkliknutí jsou předvyplněné údaje firemní domény.

Je důležité si uvědomit, že v emailu není problém vložit libovolné údaje do položky odesílatel. Trošku zarážející je, že to nezachránilo nastavení serveru a metody jako spf, dkim a dmarc.

Příběh sedmý – my jsme antivir

Nainstalujete si antivir na mobil, připojíte se do firemní sítě a za chvíli za vámi příjde správce sítě a ptá se proč děláte penetrační testy. Cože jsou to ty penetrační testy? To správce sítě ověřuje jestli je síť zabezpečená. Žerty stranou. Co když to začne dělat nejaký program na mobilu? Dá se takovému programu opravdu důvěřovat nebo je to útok na firemní infrastrukturu?

Tady je screenshot toho, jak takové penetrační testy vypadají v nástroji, který vyvíjíme u nás ve firmě:

V době kdy jsme všichni chodili každý den do práce, tak správci stačilo říct, že to firemní sítě se nemají připojovat žádné soukromé zařízení jako mobilní telefon. Ve chvíli kdy je polovina firmy v karanténě, tak se počítačové sítě domácností mých kolegu stávají bežnou součástí naší firemní infrastruktury. Zaměstnancův synátor experimentující s nejruznějším warezem se pak stává noční můrou správce firemní sítě.

Firmě to může ve finále způsobit milionové škody a vy můžete příjít třeba o práci.

Jedinou radou je neinstalovat potenciálně nebezpečný software.

Co s tím?

Je potřeba být ostražitý. Nikomu nepředávat své přihlašovací údaje, ani potvrzovací SMS, ani kód vícefaktoré autentizace. Ideální je vždy si ověřovat s kým mluvíte. Tohle bude bohužel problém do doby kdy i zavedené firmy a banky (!) outsourcují telemarketing na další firmy, které po vás žádají rodné číslo (nebo jiné osobní údaje) pro ověření vaší totožnosti.

Pokud nevíte co je vícefaktorová autentizace, tak je to v podstatě totéž co ověřovací kód pomocí SMS. Je to taková brzda, že nestačí nabourat se do počítače, ale je k tomu potřeba ještě další zařízení. Navíc heslo je jednorázové, takže v případě obkoukání nebo odposlechnutí je vlastně k ničemu (tedy pokud napoprvé nepotvrdíte něco co nechcete). Používá se k tomu třeba aplikace v telefonu, ze které se opíše heslo, nebo hardwarový klíč, který po zmáčknutí tlačítka udělá totéž.

Pokud něco instalujete do počítače nebo do mobilu, tak se radši dva krát zamyslete jestli to opravdu potřebujete a jestli věříte tomu odkud ste to stáhli. Můžete si zkusit kyber test, kde se dozívte jak přemýšlet nad důveryhodností aplikací a další důležité věci. Není špatné rizikový exe soubor prostě prohnat přes antivir, třeba virustotal.com jich zkusí rovnou několik.

Útočníci se stále zlepšují. Zkouší psychologický nátlak – je to důležité, tento “problém” musíte vyřešit hned nebo příjdete o peníze, apod. Zkouší vás zastihnout v době kdy se nesoustředíte – brzo ráno nebo o víkendu. Posouvají se v technologiích – z emailu přešli na sociální sítě, smsky, WhatsApp a dál. Snaží se být působit opravdově – používají třeba emoji 🤮 Neštítí se ničeho – v době začínající epidemie zaútočí na nemocnici.

Posledním krokem je osvěta a ukazování na zločince prstem. Spoustu obětí se stydí, že se nechali napálit, ale za mně je důležitěší snažit se, aby to těm lumpům jenom tak neprošlo. Pokud vás okradou hlaste to na Policii. Pokud vás nenapáli, tak můžete aspoň varovat své okolí nebo můžete zkusit stránku nahlásit dané instituci nebo na safebrowsing.google.com.

Pozor uvedené příběhy nejsou nejlepším příkladem! Zloději zkusí použít bezpečnostní díru ve webovém prohlížeči, aby vám do počítače dostali aspoň špehovací software. Pokud rozpoznáte, že se jedná o vir nebo jiné podvodné chování, tak je lepší to vůbec neotevírat.

Podle @udalostibrno, takhle podvodníci získali za tento rok 150 milónů. U jednotlivců to můžou být potom i částky jako půl milionu. Radši nechci počítat jak dlouho bych na něco takového šetřil.

By Jozef Mlích

Software Developer at GreyCortex, NemoMobile contributor, Micro light aircraft pilot, OpenAlt Conference organizer