Určite sa vám, alebo niekomu vo vašom blízkom okolí stalo, že ich účet bol napadnutý crackermi (“zlými” hackermi). Aj keď sa vo väčšine prípadov nejedná o cielený útok a jeho následky nebývajú fatálne, táto skúsenosť sa určite nedá popísať ako príjemná. Rozmýšľali ste ale niekedy akým spôsobom sa títo kriminálnici dokážu k daným účtom dostať? V tomto článku sa dozviete detaily o jednom z nich.
V roku 2019 si Google nechal urobiť prieskum za účelom lepšie pochopiť ako sa ľudia správajú na internete. V tomto prieskume zistili, že až 2 z 3 ľudí znovupoužívajú heslá k prístupu na svoje webové služby. Práve zneužitie tohto zlozvyku je jedným z najjednoduchších spôsobov, ako sa dostať do vášho účtu.
Bežný používateľ internetu už má dnes účet na desiatkach až stovkách služieb a tak nie je v ľudských silách si pamätať unikátne heslo na každú z nich. Mnohí sa tak uchyľujú k tomu, že majú 3 až 4 heslá, ktoré obmieňajú na základe dôležitosti služby (jedno na internetové bankovníctvo, druhé na email a sociálne služby, tretie na eshopy, atď.). Síce je tento spôsob určite lepší ako mať heslo len jedno, môžete si byť istý, že vám v určitom momente jedno z týchto hesiel unikne.
Najčastejší spôsob úniku hesiel sú práve hacknuté weby. Denne sú na internete napádané desiatky stránok a podobné útoky často vedú až ku komplentne kompromitovanej databáze užívateľov. Táto databáza samozrejme obsahuje aj heslo, ktoré používate na prihlásenie do tejto stránky. Aj keď by toto heslo malo byť uložené v zahašovanej podobe (“jednosmerne zašifrované”), často tomu v realite tak nebýva a heslo je uložené v jednoducho čitateľnej podobe.
Ak sa útočník so zlými úmyslami dostane k podobnej databázi, väčšinou sa ju snaží speňažiť na “dark webe” - podmnožine internetu so silnou anonymizáciou užívateľov, vďaka čomu sa stal obľúbeným miestom na predaj dát získaných z nelegálnej činnosti (kreditné karty, zbrane alebo podobné databázy).
Tu sa k databázam emailov a hesiel dostanú ľudia, ktorí ich následne dajú na vstup jednoduchým programom vytvorených na to, aby sa s týmto emailom a heslom skúsili prihlásiť do rôznych služieb; napríklad Facebook alebo Gmail. Tento program potom detekuje validné kombinácie a často priamo stiahne dáta (napríklad fotky) z účtu na danej službe. Útočník potom tieto dáta ďalej rozpredáva, vďaka čomu si napríklad dokážete kúpiť účet na obľúbenú streaming platformu Netflix za 8 libier (namiesto platenia rovnakej sumy každý mesiac).
Zo známych českých stránok unikla databáza hesiel napríklad eshopu Mall.cz, ktorá obsahovala viac ako 750 000 emailových adries, telefónnych čísiel a hesiel v čitateľnej podobe a bola uverejnená na serveri uloz.to.
Ľudia, ktorí sa k podobným databázam dostanú, ich často združujú vo veľkých datasetoch, ktoré sa skôr či neskôr dostanú k dispozícii širšej verejnosti. Dobrým príkladom je napríklad Collections #1, ktorý obsahoval:
Táto obrovská databáza je ešte stále voľne stiahnuteľná komukoľvek, kto si dá trochu námahy na google.com. Ktokoľvek s prístupom na internet a trochou odhodlania je schopný prezrieť si niektoré z hesiel, ktoré ste v minulosti používali, jediné čo potrebuje, je poznať váš email.
Skontrolujte si, v koľkých rôznych databázach je aktuálne váš email na stránkach haveibeenpwned.com alebo dehashed.com. Tvorcovia týchto stránok zhromažďujú tieto databázy a dávajú ich verejnosti k dispozícii v jednoducho prístupnej podobe.
Ak tam nájdete službu, ku ktorej heslo stále znovu-používate, čo najskôr si ho zmeňte na všetkých stránkach a pokúste sa skontrolovať, či na váš účet už nepristúpil niekto iný (napríklad skontrolujte aktívne zariadenia).
Pre väčšinu ľudí nie je možné zapamätať si unikátne heslo na každú stránku, práve pre tento prípad bol vytvorený jednoduchý program - správca hesiel. Takýto správca hesiel je napríklad zabudovaný v každom väčšom prehliadači (Chrome, Firefox, Safari), alebo môžte siahnuť po komerčnom riešení ako 1Password alebo LastPass.
V prípade správcu hesiel vám stačí zapamätať si jediné heslo - to na odomknutie správcu hesiel. Na všetky ostatné aplikácie môžete používať úplne náhodne vygenerované heslá (v mojom prípade si pamätám heslá tri; heslo do správcu hesiel, heslo na odomknutie počítača a heslo do telefónu). Mimo tejto funkcionality vás správca hesiel chráni napríklad aj tým spôsobom, že sleduje doménu na ktorej ste (facebook.com) a nikdy automaticky nevyplní heslo na phishingovej doméne (faceb00k.com), čo by ste napríklad vy mohli pri prihlasovaní prehliadnuť.
Jedná sa o jednoduchý princíp, kde sa okrem hesla musíte verifikovať ďalším spôsobom, napríklad jednorazovým kódom, ktorý dostanete cez SMS. Každý z vás už dvojfaktorové overenie používa, napríklad vo svojom internetovom bankovníctve, aj keď ste to možno nevedeli pomenovať. Tento druhý faktor vás ochráni proti prípadom, ak niekto bol schopný uhádnuť alebo ukradnúť vaše heslo (napríklad pretože ste ho používali na viacero stránkach), ale z časti aj proti phishingu.
Je ale dôležité pochopiť, že bežný druhý faktor vás neochráni voči sofistikovanému alebo cielenému phishingu, pretože útočník dokáže imitovať aj stránku, na ktorej zadávate druhý faktor a tieto údaje v reálnom čase preposlať na stránku za ktorú sa vydáva. Jediná výnimka je použitie FIDO2/U2F kompatibilného zariadenia, napríklad Yubikey. Tieto zariadenia totiž komunikujú priamo s vašm prehliadačom a sú schopné rozpoznať, že sa doména stránky, na ktorú sa prihlasujete, zmenila. Je ale dôležité podotknúť, že použitie akéhokoľvek druhého faktora je výrazným krokom k lepšiemu zabezpečeniu vašich účtov, a môžete ho urobiť práve teraz!