White
hat
IT
black
lab

Ako sa ne/stať obeťou (nielen) na internete - stručný návod

Existujú v princípe dva spôsoby ako prísť o niečo v online priestore.

Spôsob 1

Najčastejšie obeť poskytne útočníkovi informácie/peniaze/prístup do PC/mobilu „dobrovoľne“, pretože je vmanipulovaná do stavu radosti/strachu/časového stresu/“nie normálneho stavu“. Teda stavov, v ktorých ľudia nekonajú úplne racionálne.

Príklady

1. Obeť dostane ponuku cez e-mail/SMS/telefón, že niečo vyhrala alebo cena (doplňte, čo by ste strašne chceli) na hodinu klesla na polovicu, ale musí rýchlo reagovať, pretože ponuka vyprší. Ziskuchtivosť funguje veľmi dobre.
2. Obeti zavolá „priateľ“ jej dieťaťa/partnera/rodiča, že dieťa/... spôsobilo nehodu, bol zistený alkohol, ale za nejaké to € sa to dá vybaviť. Samozrejme musí to byť hneď, za chvíľu to už nepôjde, chápeme sa. Strach funguje veľmi dobre.
3. Obeti zavolá "niekto z oddelenia IKT" alebo "niekto z hora" že sa mení systém, nadiktuje jej adresu nového systému a ona sa má skúsiť prihlásiť (hlavne to musí urobiť rýchlo). Naivita je stav, v ktorom sú niektorí ľudia permanentne. Často je obeť dotlačená do pozície, že ak odmietne pomôcť, bude to mať pre niekoho zlé dôsledky (princíp oklamania dôverčivého dobráka):

   Prosím vás, pomôžte mi. Potrebujem to prihlásenie otestovať z vášho oddelenia ešte dnes a nik iný mi nedvíha telefón, už ste posledné oddelenie a musím ísť po dcérku do škôlky.

   Školku o chvíľku zatvárajú, zasa časový stres. Obeť neche byť zlá. Chápe. Pomôže. Neche byť zodpovedná za to, že malé dievčatko ostane na noc zavreté v škôlke.

4. Obeť kliká, na čo vidí.

   Vážení zamestnanci, zaregistrovali sme pokusy o napadnute systému vzdelávania. Naše oddelenie IKT reagovalo ako vždy promptne a preto predpokladáme, že nedošlo k vážnemu narušeniu integrity systému. V každom prípade vás ale žiadame, aby ste sa urýchlene prihlásili do vzdelávania.uniza.sk, skontrolovali, či je všetko v poriadku a všetko podozrivé nahlásili oddeleniu IKT.

   Pre útočníka nie je problém napodobniť ľubovoľnú stránku a preto tam veľmi ľahko zadáte meno a heslo. Skutočná adresa, na ktorú vás dostane odkaz nie je tá, ktorú vidíte. Ak ukážete na odkaz a počkáte chvíľu, tak sa ako tooltip zobrazí skutočná adresa a potom sa možno rozhodnete nekliknúť. Ukázanie a krátke počkanie funguje asi všade (v prehliadačoch, pdf prehlidačoch, textových editoroch, emailoch, ...). V závislosti od programu sa tooltip môže zobrazovať úplne vľavo dole alebo hore.

   Napísal som, že obeť sa možno rozhodne nekliknúť. Mnoho ľudí nechápe, že napríklad stránka "http://vub.internetbanking.sk/" (ak by existovala) asi nebude stránkou VUB. Hlavne preto, že to nie je "https". Banky môžu mať snáď aj nejaké "http" stránky ale zrejme nie pre internet banking. Iným dôvodom je, že adresa by bola typu "internetbanking.vub.sk". Tak ako my máme "vzdelávanie.uniza.sk" a nie "uniza.vzdelávanie.sk".

   Pre útočníka je ľahučké odoslať email, ktorý vyzerá ako od dekana/IKT. Zistiť z akej adresy bol email naozaj odoslaný možno z hlavičiek správy (Recieved: from). Návod pre Outlook. Gmail: v správe vybrať Viac/Ukázať originál.

Spôsob 2

Umiestnením škodlivého softvéru (malware) do počítača alebo mobilu obete. To tiež možno urobiť v princípe dvomi spôsobmi:

Príklady

1. Útočník využije chybu operačného systému alebo niektorého programu. Hlavnou obranou sú pravidelné updaty. Povinnosťou je antivírusový program a odporúča sa aj firewall (základný je aj vo Windows). V niektorých prípadoch je obeť naozaj bezbranná. O dosť častejšie platí nasledujúci bod.
2. Malware si nainštaluje samotná obeť, pretože:
   • Uverí v niečo, najčastejšie emailu. Takto sa môže dostať do počítača aj malware z predchádzjúceho bodu, pričom obeť často ignoruje upozornenia antivírusového programu, pretože v emaile bolo jasne napísané:

     Tento super program je (hlúpymi) antivírusmi často chybne označovaný za vírus.

   • Použije crack (crack = softvér, ktorý neutralizuje kontrolu licencie), aby mohla používať platený program. Crack vytvoril niekto neznámy, ale na 100% mal iba dobré úmysly.
   • Dostane email:

     Šokujúce fotky odhalili pravdu o najtalentovanejšej súťažiacej Let's Dance.

     A v ňom samozrejme aj odkaz bohvie kam. Zvedavosť je hriech. A máme tu opäť klikanie na čokoľvek, naivitu a často aj iné.
   • Nájde na chodbe CD/USB s nálepkou ODMENY 2018-2022. Čo urobí? Už som písal, že je to hriech. A boh je na všetko tak sám. Niekto mu musí pomôcť s potrestaním hriešnikov – aj keby zato mal skončiť v pekle.

Odkazy

Aj banky z nejakého dôvodu venujú pár stránok bezpečnosti. I keď sa dá nájsť neprázdny prienik, každá to poňala troška ináč. Čo tak pozrieť (porovnať), či je tá vaša v osvete lepšia ako tie ostatné, mne sa najviac páči mBank a najmenej VUB:

• https://365.bank/bezpecnost
• https://www.slsp.sk/sk/ludia/bezpecnost/co-vam-hrozi
• https://www.mbank.sk/bezpecnost/klient/phishing/#vishing
• https://www.tatrabanka.sk/sk/blog/bezpecnost/
• https://vub.sk/bezpecne-na-nete
• https://www.csob.sk/blog/?page=1&category=4

Časť mojej starej knihy: https://fpedas.uniza.sk/~adamko/externe/skripta/bezpecnost.pdf. Ak by 30 strán bolo veľa, tak to najdôležitejšie je extrémne stručne uvedené v mojej prezentácii (od 31. snímky).

Iné dobré odkazy

• TOP https://www.minv.sk/?brozury-a-letaky&subor=423419
• TOP https://www.westernunion.com/sk/sk/fraudawareness/fraud-home.html
• Ministerstvo vnútra SR - rôzne brožúry a letáky https://www.minv.sk/?brozury-a-letaky