If you're seeing this message, it means we're having trouble loading external resources on our website.

Pokud používáš webový filtr, ujisti se, že domény: *.kastatic.org and *.kasandbox.org jsou vyloučeny z filtrování.

Hlavní obsah

Kurz: Informatika – Počítače a internet > Kapitola 3

Lekce 7: Kybernetické útoky
Počítačové vědy
Informatika – Počítače a internet
Internet
Kybernetické útoky
© 2024 Khan AcademyPodmínky poskytování služebZásady ochrany osobních údajůZásady používání souborů cookie

Phishingové útoky a kradení hesel

Učebna Google
Internet je síť počítačů plných hodnotných dat. Kyberzločinci chtějí tato data získat, takže bezpečnostní inženýři neustále přicházejí s mechanismy, které jim v přístupu brání, jako firewally, softwarové záplaty a antivirový software.
Ale vždy je tu nejslabší článek: člověk. Pokud dokáže kyberzločinec uživatele přesvědčit, aby mu zaslal své přihlašovací údaje, nebo stáhnul soubor, pak se nemusí snažit obejít všechen bezpečnostní software. Pokud dokáže kyberzločinec snadno odhadnout uživatelské heslo, pak nemusí prolamovat šifrovací algoritmy.
V současné době je pro kyberzločince často snazší útočit přímo na uživatele než útočit na software, protože na webu je spousta uživatelů, kteří nedodržují osvědčené bezpečnostní postupy.
Naštěstí může trocha informací udělat v ochraně uživatelů a jejich dat velký rozdíl. Pojďme se naučit více o tom, jak být na internetu ve větším bezpečí.

Phishingové útoky

Ve phishingovém útoku navede kyberzločinec uživatele k prozrazení svých soukromých informací.
Ilustrace phishingového útoku. Kyberzločinec má rybářský prut s háčkem přes webový prohlížeč. Webový prohlížeč má pole s heslem "UsersR3alP@ssword".
Phishingový útok obvykle začíná e-mailem, který tvrdí, že je z legitimní webové stránky, jako je bankovní stránka nebo online obchod:
Screenshot e-mailu s phishingem. V předmětu stojí "Váš Přístup k PayPalu Blokován!". E-mail pochází od "PayPal paypalaccounts@mailbox.com". Tělo e-mailu má nadpis "Váš PayPal účet je omezený, vyřešte to do 24 hodin!" a průvodní text "Vážený uživateli PayPal, omlouváme se, že nemáte přístup ke všem funkcím účtu Paypal, jako je platba a převod peněz. Kliknutím na tento odkaz svůj účet opravíte. Proč je zablokován? Protože si myslíme, že vašemu účtu hrozí krádež a neoprávněné použití. Jak lze tento problém vyřešit? Potvrďte všechny své detaily na našem serveru. Stačí kliknout na odkaz níže a následovat všechny kroky. Potvrdit podrobnosti účtu." Jsou zde dvě hypertextové části.
E-mail, který tvrdí, že je od PayPal
Cílem e-mailu je získat od uživatele soukromá data, takže buď od příjemce požaduje odpověď s osobními údaji, nebo odkazuje na internetovou stránku, která vypadá velmi podobně jako skutečná stránka:
Snímek obrazovky phishingové webové stránky. Webový prohlížeč zobrazuje nadpis webové stránky "Přihlásit se k vašemu účtu PayPal". Adresní řádek zobrazuje "paypal--accounts.com". Hlavní oblast obrazovky obsahuje přihlašovací pole s logem PayPal: vstupní pole pro e-mail nebo mobilní číslo, pole pro zadání hesla a tlačítko "Přihlásit se".
Webová stránka, která tvrdí, že je přihlašovací obrazovka PayPal
Pokud je uživatel přesvědčen o pravosti a zadá na stránce soukromé údaje, tato data jsou nyní v rukou kyberzločinců! Pokud uživatel vyplnil přihlašovací údaje, můžou tyto přihlašovací údaje použít k přihlášení na skutečnou stránku, nebo pokud uživatel poskytl údaje o kreditní kartě, můžou využít kreditní karty k provedení nákupů.

Odhalení phishingových útoků

Naštěstí existují některé vypovídající známky phishingových podvodů:
  1. Podezřelá e-mailová adresa: Phishingové e-maily budou často pocházet z adres domén, které nepatří legitimní společnosti.
Snímek obrazovky phishingového emailu, oříznutý pro zobrazení pouze řádku odesílatele. E-mail pochází od "PayPal paypalaccounts@mailbox.com". E-mailová adresa je zvýrazněna.
E-mail vypadá, že je od PayPal, ale ve skutečnosti pochází od mailbox.com.
  1. Naléhavost a zastrašovací taktika: Phishingové e-maily využívají psychologické manipulace ke snížení obezřetnosti a snaží se nás přimět abychom reagovali rychle bez přemýšlení o důsledcích.
Snímek obrazovky phishingového e-mailu, oříznutý pro zobrazení části těla emailu. V těle e-mailu je nadpis "Váš PayPal účet je omezený, vyřešte to do 24 hodin!" a průvodní text "Vážený uživateli PayPal, omlouváme se, že nemáte přístup ke všem funkcím účtu Paypal, jako je platba a převod peněz. Kliknutím na tento odkaz svůj účet opravíte. Proč je zablokován? Protože si myslíme, že vašemu účtu hrozí krádež a neoprávněné použití." Nadpis a poslední odstavec jsou zvýrazněny.
  1. Podezřelá URL: Phishingové e-maily budou obvykle odkazovat na webovou stránku s adresou, která je velmi podobná legitimní URL, nebo alespoň nějakým způsobem obsahuje název společnosti.
Snímek obrazovky phishingové webové stránky, oříznutý pro zobrazení adresního řádku. Webový prohlížeč zobrazuje nadpis webové stránky "Přihlaste se k vašemu účtu PayPal". Adresní řádek zobrazuje "paypal--accounts.com". Adresa je zvýrazněna.
Adresa URL obsahuje "paypal", ale není to skutečná doména PayPal.
  1. Nezabezpečené připojení HTTP: Jakékoliv webové stránky, které tě žádají o citlivé informace, by měly používat HTTPS. Phishingové webové stránky ne vždy vynaloží úsilí k používání HTTPS.
Snímek obrazovky phishingové webové stránky, oříznutý pro zobrazení adresního řádku. Webový prohlížeč zobrazuje nadpis webové stránky "Přihlaste se k vašemu účtu PayPal". Adresní řádek zobrazuje "Not Secure" a URL "paypal--accounts.com". Oznámení "Not Secure" je zvýrazněno.
URL není zabezpečena přes HTTPS, proto prohlížeč zobrazuje "Not secure".
  1. Žádosti o citlivé informace: Phishingové e-maily tě často požádají o odpověď s osobními údaji, nebo je chtějí zadat na web. Nejlegitimnější společnosti po původním vytvoření účtu tvé osobní údaje ověřit nepotřebují.
Snímek obrazovky phishingové webové stránky, oříznutý pro zobrazení přihlašovacího formuláře. Přihlašovací formulář má PayPal logo: vstupní pole pro e-mail nebo mobilní číslo, vstupní pole pro heslo a tlačítko "Přihlásit se". Pole e-mailu a hesla jsou zvýrazněna.
Každý phishingový podvod se bude lišit mírou své sofistikovaností, takže některé e-maily mohou být velmi zjevně falešné, zatímco jiné e-maily mohou být neuvěřitelně přesvědčivé.
Pokud máš někdy podezření, že je e-mail phishingový podvod, neklikej na žádné odkazy a nestahuj žádné přiložené soubory. Najdi jiný způsob, jak údajného odesílatele kontaktovat a zjisti tak, zda je e-mail legitimní. Pokud je e-mail od společnosti, můžeš vyhledat na internetu jejich telefonní číslo. Pokud je to od přítele nebo kolegy, můžeš jim poslat zprávu nebo jim zavolat.
🔍 Dokážeš rozeznat phishingový podvod? Otestuj tvé schopnosti s Phishing Quiz od Google.

Spear phishing

Existuje nový typ phishingu, který je ještě populárnější a nebezpečnější: spear-phishing. To je útok, při kterém se phishingové e-maily zaměřují na uživatele v konkrétní společnosti s cílem získat přístup k údajům společnosti.
Pokud pouze jedna osoba ve společnosti omylem odhalí její přihlašovací údaje nebo stáhne na svůj pracovní počítač malware, kyberzločinec může potenciálně proniknout do celé databáze společnosti. To nejsou jen data jednoho člověka, to jsou data tisíců nebo milionů lidí. 😬

Útoky na hesla

Hesla chrání přístup ke všem našim digitálním informacím: bankovním účtům, soukromému e-mailu, sociálním sítím, konverzacím a mnohým dalším věcem.
Toto jsou nejběžnější způsoby, jak zjistit uživatelovo heslo:
  • Uhodnutím
  • Útokem hrubou silou, který je v podstatě počítačově podporovaným hádáním v mnohem větším měřítku.
  • Stuffingem, kde útočníci zjistí přihlašovací údaje pro jednu službu a vyzkoušejí je na jiné službě.
  • Malwarem, zejména použitím keyloggerů.
  • Phishingovými podvody, o kterých jsme se právě bavili.
Uživatelé se mohou bránit proti malwaru a phishingovým podvodům tak, že budou opatrní ohledně toho, co stahují a kterým e-mailům důvěřují.
Aby se uživatelé bránili útokům hádání hesel, útokům hrubou silou a stuffingu, potřebují používat silné heslo, které nemůže být snadno získáno někým se špatnými úmysly.

Výběr hesla

Silné heslo je:
  • Nepravidelné, abychom se vyhnuli jednoduchému uhodnutí. Už jsi někdy "změnil" heslo tak, že si na jeho konec napsal "1" nebo "!"? Kyberzločinec jej změní stejným způsobem!
  • Komplexní, aby odolalo útokům hrubou sílou. Silné heslo je dlouhé a obsahuje větší rozmanitost než jen písmena abecedy, jako jsou čísla a symboly. Existuje 268 možných hesel, která jsou dlouhá 8 znaků a tvořena jen malými písmeny, zatímco existuje 5212 možných hesel, která jsou dlouhá 12 znaků a skládají se jak z velkých, tak i malých písmen. To je 208827064576 versus ohromujících 390877006486250200000 možností. Trochu komplexnosti udělá velký rozdíl.
  • Jedinečné, abychom se vyhnuli stuffingovým útokům. Pokud kyberzločinec objeví uživatelské heslo pro jednu službu, neměl by být schopen použít toto stejné heslo pro přístup do dalších služeb.
Zároveň musí být hesla zapamatovatelná. Pokud uživatel své heslo neustále zapomíná, není to příliš dobré heslo.
Zde jsou způsoby, jak mohou uživatelé vytvářet hesla, která jsou zapamatovatelná a zároveň silná:
Vytvořit inicialismus. Jednoduchá slova a běžné fráze se dají uhodnout lehce. Inicialismus tvoří heslo ze všech počátečních písmen fráze. Můžeš například vzít frázi "Chci vytvořit opravdu hodně silné heslo!!!" a proměnit ji ve složité heslo jako ChvOhSh!!!. Můžeš také vytvářet inicialismy na základě oblíbených textů skladeb, a pak si budeš během přihlašování zpívat. 🎶
Kombinovat společně nesouvisející slova. Představ si, že máš skutečný papírový slovník (a možná ho opravdu máš!). Otevřeš ho na náhodné stránce, náhodně ukážeš a zvolíš slovo pod prstem. Udělej to čtyřikrát, zkombinuj slova se symboly a budeš mít silné heslo jako vivid-wrung-octopus-misapply.
Používat správce hesel. Možná máš nyní v hlavě několik silných, zapamatovatelných hesel, ale dokážeš si jich zapamatovat 40? Správci hesel tě zachrání! Aplikace správce hesel může automaticky generovat silná hesla, všechna tvá hesla si zapamatuje a umožní ti odemknout přístup ke všem tvým heslům použitím jednoho velmi silného a zapamatovatelného hesla.
🔍 Můžeš na internetu vyhledat "password meter" a najít webové stránky, které pro tebe spočítají sílu hesel. Z bezpečnostních důvodů by se do těchto měřičů neměly vkládat skutečná hesla, ale můžeš si vyzkoušet jiné varianty hesel a zjistit tak, jak jsou silné.

Chceš se zapojit do diskuze?

Přihlášení
Zatím žádné příspěvky.
Umíš anglicky? Kliknutím zobrazíš diskuzi anglické verze Khan Academy.