Hackeři útočí stále častěji. Na PC i mobily

Velký vzestup zaznamenaly především vyděračské viry, které jsou také označovány jako ransomware. Mezi lety 2019 a 2020 podle nejnovějších dat antivirové společnosti Kaspersky přibylo cílených útoků na lukrativní cíle o 767 %.

V poslední dekádě přitom šířili kyberzločinci vyděračské viry velmi nahodile – využívali k tomu nevyžádané e-maily, podvodné webové stránky či zavirované aplikace, například nelegální verze populárních programů.

V poslední době se ale taktika počítačových pirátů značně změnila. Mezi lety 2019 a 2020 celkový počet uživatelů s přímou zkušeností s ransomware útokem klesl z 1 537 4565 na 1 091 454 – tedy o 29 %.

Paradoxně to ale neznamená, že by na síti bylo bezpečněji – spíše právě naopak. Za poklesem infiltrací stojí fakt, že počítačoví piráti nyní daleko častěji své útoky zaměřují na konkrétní cíle. Místo nahodilého šíření viru po internetu se je snaží propašovat do konkrétního počítače či serveru. Právě proto rostl počet cílených útoků o stovky procent.

„Od dob, kdy ransomware představoval pro bezpečnostní komunitu velkou novinku, se tato hrozba zásadně proměnila. Velmi pravděpodobně bude ubývat celoplošných kampaní, které míří na běžné uživatele internetu. Neznamená to však, že by se tito uživatelé měli přestat bát ransomware,“ varoval Fedor Sinitsyn, bezpečnostní expert společnosti Kaspersky.

„I přes masivní nárůst počtu případů cíleného ransomware se uživatelé stále nejčastěji setkávají s trojanem WannaCry, který se poprvé objevil v roce 2017 a ve 150 zemích způsobil celkové škody ve výši minimálně čtyř miliard dolarů. V roce 2019 se WannaCry podílel na ransomware útocích zachycených bezpečnostními produkty Kaspersky z 22 %, v roce 2020 to bylo už jen 16 %,“ uzavřel Sinitsyn.

Pandemie koronaviru – a s tím související opatření – přitom hraje kybernetickým útočníkům do karet, jak upozornili výzkumníci kyberbezpečnostní společnosti Check Point. Řada lidí totiž přišla v uplynulých měsících o práci a nezdráhají se přivydělat si tím, že budou pomáhat hackerům.

„Beru jakoukoliv práci… Kvůli pandemii jsem doma 24 hodin, sedm dní v týdnu,“ uvedl jeden z uživatelů na hackerském fóru. Přiznal, že žádné zkušenosti s internetovým podsvětím nemá, ale že je učenlivý a zvládne tedy jakoukoliv práci.

A podobných inzerátů zachytili výzkumníci desítky. „Klidně se stanu útočníkem nebo můžu být kurýrem pro vaše škodlivé programy,“ nabízí své služby další. „Jsem ochoten si vydělávat na internetu peníze jakýmkoliv způsobem, čekám na vaše nabídky,“ snaží se přivydělat na darknetu další.

Darknet – tedy černý internetový trh – je část internetu, která je přitom přístupná pouze pomocí vyhledávačů. K přístupu na tuto část sítě je nutný anonymní prohlížeč. Lidé žádající zde o práci tedy musí vědět, že legální nabídky přivýdělku zde nenaleznou.

Situace je podle bezpečnostních expertů alarmující. „Doposud jsme prakticky neviděli, že by někdo hledal práci na darknetu a hackerských fórech. Nabídky pomoci s trestnou činností jsou šokující. Lidé, kteří nabízí kyberzločincům pomoc, mohou znamenat vážné bezpečnostní riziko. Sledovali jsme řadu měsíců několik hackerských fór a zjistili jsme, že počet zájemců o práci neustále roste,“ varoval Daniel Šafář, bezpečnostní výzkumník Check Pointu.

Ještě v polovině března se vydávali za bankéře, nyní to zkoušejí jako počítačoví experti, kteří slibují odvirování počítače. Před novým trikem vykutálených podvodníků varoval český Národní bezpečnostní tým CSIRT.CZ.

„Zatímco v předchozích případech se volající osoby představovaly jako pracovníci banky, kteří zjistili napadení bankovního účtu a snažili se oběť přesvědčit, že jediná cesta k ochraně je převedení financí na jiný účet, v aktuálně zaznamenaném případu se útočníci snažili podobným způsobem získat přístup k počítači,“ varoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Útočníci se tak během telefonního hovoru snaží uživatele přesvědčit, že jsou ve skutečnosti bezpečnostní experti. „Pod záminkou, že byl počítač uživatele údajně napaden hackerem, nabízeli telefonicky pomoc při odstranění údajného viru a zabezpečení počítače,“ konstatoval Bašta.

Před tzv. vishingem, kdy útočníci využívají metod sociálního inženýrství, varovala také policie. „Jedná se o princip, který je založený na telefonních hovorech, kdy se v tomto případě osoby volajících zpravidla představují jako pracovníci banky, kteří zjistili napadení bankovního účtu,“ uvedl mluvčí policejního prezidia Ondřej Moravčík.

„Nereagujte na telefonní hovory, SMS zprávy, e-maily, kde se vás někdo pokouší vmanipulovat do situace, že jsou vaše finanční prostředky v ohrožení a vy musíte udělat další kroky pro jejich záchranu. Kdyby byly vaše peníze v ohrožení, tak banka sama zareaguje a učiní další opatření. V případě pochybností vždy kontaktujte svou banku,“ poradil mluvčí.

Žebříčku nejrozšířenějších hrozeb pro operační systém Android dominovaly i v minulém měsíci droppery, dokládá to nejnovější statistika antivirové společnosti Eset. Jde o specifické trojské koně, které instalují do napadeného zařízení další škodlivé kódy – nejčastěji jde o bankovní viry, které mají za cíl vysát bankovní účet či získat přihlašovací údaje.

Droppery se nejčastěji šíří prostřednictvím neoficiálních obchodů pro operační systém Android, stejně tak se ale mohou šířit prostřednictvím odkazů na diskuzních fórech a sociálních sítích. Zpravidla jsou implementovány do instalačního balíčku nějakého legitimního programu.

„Tyto škodlivé aplikace označujeme jako droppery. Mají jediný úkol a tím je instalovat do zařízení další škodlivý kód. Celkově jejich počet vzrostl o více než 10 procent. Nejčastěji instalují bankovního trojského koně Cerberus, který představuje riziko při placení online,“ popsal Martin Jirkal, vedoucí analytického oddělení v pražské pobočce Esetu.

„Droppery pocházejí z neoficiálních zdrojů, jako jsou fóra nebo různé webové stránky. Zachytili jsme široké spektrum aplikací, které malware šíří. Útočníci je vydávají za běžné nástroje,“ doplnil s tím, že zástupci dropperů skončili v uplynulém měsíci na první i druhé příčce žebříčku nejrozšířenějších hrozeb.

V Česku se prostřednictvím dropperů hojně šiří bankovní malware Cerberus, kterému patří ve statistikách třetí příčka. Tento nezvaný návštěvník například obsahuje funkci pro odcizení přihlašovacích údajů nebo obejití druhého faktoru ověření.

Bezpečnostní experti neustále kladou lidem na srdce, aby instalovali aplikace z oficiálních zdrojů. I u nich se nicméně mohou uživatelé někdy setkat se škodlivými kódy, jak dokazuje čerstvý případ odhalený výzkumníky z kyberbezpečnostní společnosti Check Point. Ti nalezli virus v aplikaci, která se vydávala za program od Netflixu.

Zavirovaná aplikace prošla přes kontrolní mechanismy Googlu a lidé si ji tak mohli stáhnout přímo z Google Play, což je oficiální obchod pro zařízení s operačním systémem Android. Škodlivý program imitoval aplikaci Netflixu a jmenoval se FlixOnline.

Aby podvodníci nalákali co nejvíce uživatelů ke stažení, slibovali, že prostřednictvím tohoto programu získají lidé dvouměsíční přístup ke službě Netflix Premium zadarmo. Realita nicméně byla úplně jiná.

Prostřednictvím tohoto programu totiž mohou útočníci šířit další škodlivé programy, krást přihlašovací údaje a data uživatelů, šířit podvodné nebo škodlivé zprávy, a dokonce i vydírat uživatele zveřejněním jeho citlivých dat.

A přesně to také škodlivá aplikace dělala. Automaticky odpovídala na všechny příchozí zprávy ve WhatsAppu. I díky tomu se může snadno šířit na další zařízení, protože jménem uživatele doporučuje instalaci dané aplikace.

Nebývalý zájem o uživatelská hesla ze strany počítačových pirátů evidují již několik měsíců za sebou bezpečnostní experti z antivirové společnosti Eset. Z jejich statistik je patrné, že nejrozšířenější škodlivé kódy na síti se zaměřují právě na krádeže přístupových údajů. V minulém měsíci hesla kradla již více než polovina zachycených virů.

Zločinci se pokoušejí prostřednictvím škodlivých virů nejčastěji odcizit hesla uložená v prohlížečích a následně je zpeněžit na černém trhu. „Nejvýraznější hrozbou pro české uživatele v březnu zůstal takzvaný password stealer, tedy typ škodlivého kódu, který pro útočníky získává přihlašovací údaje. Tento typ malware je dlouhodobě nejvážnější hrozbou v Česku,“ prohlásil Martin Jirkal, vedoucí analytického týmu v české pobočce Esetu.

Zdůraznil přitom, že se tento nezvaný návštěvník nejčastěji šíří nevyžádanými e-maily, respektive jejich přílohami.

To platí i v případě nejčastěji detekovaného malwaru Fareit, který stál za více než pětinou všech detekcí. Analytici přitom zachytili na konci měsíce března několik intenzivních kampaní zaměřených primárně na Českou republiku.

„V březnu se Fareit šířil infikovanými e-maily, které se vydávaly za zprávy z renomovaných českých organizací, včetně například bankovních domů či strojírenských společností. Infikované e-maily ale nebyly příliš propracované a pozorný uživatel podvod rychle odhalil,“ podotkl Jirkal.

Počítačoví piráti stále hledají nové cesty, jak se dostat lidem na účet. A co hůř, je stále složitější poznat, že se skutečně jedná o podvod. V jednom z posledních zachycených spamů se útočníci vydávají za bankéře a tvrdí příjemcům podvodného e-mailu, že jejich platební karta byla zablokována.

„Náš bezpečnostní systém detekoval podezřelé pokusy o platby z neznámého zařízení. Vaše karta byla dočasně zablokována. K odblokování vaší platební karty navštivte pobočku nebo pokračujte na ověřovací postup kliknutím na tlačítko níže,“ tvrdí útočníci v podvodné zprávě.

Právě tím, že dávají příjemci možnost navštívit pobočku, dodávají celé zprávě na důvěryhodnosti. Počítají přitom s tím, že většina lidí místo toho klikne na přiložený odkaz.

Na podvodných stránkách, které v tomto případě imitují bankovnictví ČSOB, pak vlastně lidem ani nemusí přijít divné, že po nich chce banka – respektive útočník – zadat detailní informace o jejich bankovním účtu, platební kartě a k tomu ještě hromadu osobních údajů.

Pokud uživatelé data na falešných stránkách vyplní, naservírují svůj bankovní účet kyberzločincům jak na zlatém podnosu. S takovými informacemi již kyberzločincům nebrání nic v tom, aby vysáli lidem peníze na jejich bankovním účtu.

Pokud uživatelé sedli kyberzločincům na lep, je nutné co nejrychleji kontaktovat svou banku a zablokovat platební kartu. Samozřejmostí by měla být i změna hesla.