Falešné poukazy i vyděračské zprávy. Jaké triky zkoušejí počítačoví piráti

Podle nedávné analýzy kyberbezpečnostní společnosti Check Point jsou totiž tuzemští uživatelé vystaveni kyberútokům častěji než v ostatních státech. Světový průměr je 491 útoků týdně, v tuzemsku se jich nicméně uskuteční týdně 530.

Nejčastěji se škodlivé soubory snaží do počítačů dostat prostřednictvím falešných nebo infikovaných webových stránek (92 %). Přímo v samotných e-mailech jsou škodlivé soubory umístěny pouze v 8 % případů.

To je odlišný trend než ve zbytku světa. V celosvětovém měřítku je totiž přes webové stránky distribuováno jen 36 % škodlivých souborů, zatímco 64 % je šířeno e-maily.

„U škodlivých souborů distribuovaných prostřednictvím webových stránek je situace v České republice až překvapivě jednoznačná – 97,8 % takových souborů má koncovku .pdf. Naopak ve světě je situace mnohem pestřejší. 35,9 % škodlivých souborů má koncovku .exe, 22,2 % .pdf, 18,6 % .dll, 4,8 % .swf, 3,4 % .html a následují další formáty s podílem menším než 2 %,“ prohlásil Tomáš Růžička, bezpečnostní expert Check Pointu.

Zdůraznil přitom, že situace ohledně škodlivých kódů v e-mailech je odlišná. „To jsou nejčastěji soubory s koncovkou .exe, ale jejich podíl oproti polovině minulého roku klesl z 50 % na 35,9 %, na druhé místo se posunuly škodlivé soubory s koncovkou .xlsx (28,6 %). Následují .rtf (12,7 %) a .xls (8,2 %),“ poradil Růžička, na jaké soubory by si uživatelé měli dávat největší pozor.

Zajímavý je také pohled na to, odkud na české firmy a organizace útočí hackeři nejčastěji. Za posledních šest měsíců žebříčku kralují Spojené státy (33 %), následuje Česká republika (22 %), Irsko (17 %), Nizozemsko (8 %), Německo (7 %), Španělsko (5 %) a ostatní země (8 %).

Jak je z řádků výše patrné, internetem kolují tisíce nejrůznějších virů. Ty dokážou odposlouchávat uživatele na dálku, monitorovat jeho práci, ale klidně i šikovně obejít ověřovací mechanismy v internetovém bankovnictví.

Odhalit takové smetí v počítači nebo chytrém telefonu pomáhají programy, z nichž každý se specializuje na něco jiného. Některé si dovedou poradit s trojskými koni či spywarem, další zase detekují takzvané keyloggery (programy zaznamenávající stisk kláves).

Cena takovýchto aplikací se zpravidla pohybuje od 500 do několika tisíc korun. Vedle toho ale existují také bezplatné alternativy, které nejčastěji firmy nabízejí pouze k vyzkoušení a zaplatit chtějí až za pokročilejší verzi. Ale i proto, aby v nich mohly zobrazovat reklamu a tím vydělávat peníze.

Výsledky testů bezplatných a placených aplikací se různí, v některých dokonce zdarma dostupné aplikace vyhrávají nad placenými.

Na PC nebo mobilu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Totéž platí také o firewallech i antispywarech.

Zadní vrátka do napadeného systému si byli počítačoví piráti schopni udělat díky špionážnímu viru Mikroceen. Přestože se tento nezvaný návštěvník snažil zůstat co nejdéle v utajení, bezpečnostní experti z antivirových společností Eset a Avast jej nakonec objevili a zmapovali i to, jak celý útok na předem vytyčené cíle probíhal.

Mikroceen je tzv. RAT virus. Pod zkratkou se skrývá anglické označení Remote administration tool, tedy česky nástroj vzdálené správy. To trefně vystihuje, jak se tyto škodlivé kódy v praxi chovají.

Nezvaný návštěvník dovoluje útočníkům převzít kontrolu nad počítačem a daty obětí. RAT virus v podstatě otevře zadní vrátka do systému, prostřednictvím kterých pak může kyberzločinec pracovat s počítačem takřka úplně stejně, jako kdyby u něj seděl.

„Zařízení obětí mohla bez vědomí uživatele provádět různé úkony dle příkazů útočníků. Ti byli schopní získat dlouhodobý přístup k dotčeným sítím, a například manipulovat s dokumenty a vytvářet snímky obrazovek uživatelů,“ prohlásil Peter Kálnai, který vedl výzkumný tým Esetu.

Bezpečnostní expert se pozastavuje i nad tím, jak velké úsilí útočníci vynaložili, aby zabezpečili spojení svého serveru se stanicemi svých obětí. „Toho bylo dosaženo i tím, že útočníci využívali a využívají rozsáhlou sadu nástrojů a metod za účelem skrytí malwaru, které neustále vyvíjejí a vylepšují,“ doplnil Kálnai.

Mikroceen byl využit na cílené útoky na vládní organizace především ve střední Asii. Ke špionáži jej nicméně kyberzločinci využívali také v případě soukromých subjektů z telekomunikačního a plynárenského průmyslu.

Phishingové útoky jsou v posledních týdnech na vzestupu. A co hůř, je stále složitější poznat, že se skutečně jedná o podvod. V jednom z posledních zachycených se útočníci vydávají za bankéře a tvrdí příjemcům podvodného e-mailu, že bylo jejich internetové bankovnictví zablokováno.

„Vážený kliente, z bezpečnostních důvodů, jsme Vám byli nuceni omezit přístup ke službám internetového a mobilního bankovnictví,“ tvrdí útočníci ve zprávě.

Stát se tak mělo údajně prostřednictvím platby provedené z neznámé přihlašovací lokace. Kybernetičtí nájezdníci doufají, že se jim podaří příjemce takového e-mailu vyděsit natolik, aby klikl na přiložený odkaz pro „ověření bankovního účtu“.

Na podvodných stránkách, které v tomto případě imitují bankovnictví RaiffeisenBank, pak vlastně lidem ani nemusí přijít divné, že po nich chce banka – respektive útočník – zadat detailní informace o jejich bankovním účtu, platební kartě a k tomu ještě hromadu osobních údajů.

V podstatě jediným vodítkem, že jde o phishingový útok, je nesprávná adresa odesílatele v nevyžádaném e-mailu. Pokud si toho uživatelé nevšimnou a data na falešných stránkách vyplní, naservírují svůj bankovní účet kyberzločincům jak na zlatém podnosu.

S takovými informacemi již kyberzločincům nebrání nic v tom, aby vysáli lidem peníze na jejich bankovním účtu. Připravit je mohou klidně i o peníze, které ani na účtu nemají. Řada bank totiž nabízí v rámci internetového bankovnictví statisícové půjčky, které je možné získat doslova na pár kliků.

Před zákeřným bundlewarem by se měli mít na pozoru uživatelé počítačů s logem nakousnutého jablka, především tedy majitelé strojů s macOS Catalina. Například instalátor Bundlore obsahuje hned sedm potenciálně nežádoucích aplikací, jak ukázala analýza antivirové společnosti Sophos.

Jako bundleware označují bezpečnostní experti agresivní instalátory softwaru, které v rámci jedné legitimní aplikace nainstalují do počítače další nežádoucí programy. Uživatel tedy zpravidla hledá software k určité činnosti, ale ve skutečnosti si do svého stroje stáhne hromadu dalších aplikací, které dělají jen neplechu.

To je i případ zmiňovaného instalátoru Bundlore. Jeho doplňkové aplikace následně ve webovém prohlížeči Safari zobrazují nadměrné množství reklam, přesměrovávají odkazy na stažení i vyhledávací dotazy. Motivace útočníků v tomto případě není odcizit citlivé uživatelské informace, ale prostřednictvím kliků na reklamy profitovat reálné peníze.

„Bundlore je jeden z nejznámějších bundleware instalátorů pro platformu macOS – odpovídá za téměř sedm procent všech útoků proti platformě macOS detekovaných společností Sophos, což z něj činí druhou nejčastější hrozbu postihující macOS,“ prohlásil bezpečnostní expert Patrick Műller ze Sophosu.

Zároveň podotkl, že podobní záškodníci se nevyhýbají ani operačnímu systému Windows. „Bundlore je rovněž známou hrozbou pro Windows, primárně přenášenou rozšířeními pro Google Chrome. Část kódu používaná pro napadení Chromu je sdílena verzemi tohoto adwaru zacílenými na macOS," konstatoval Műller.

Na první pohled se škodlivé kódy z rodiny bundlewarů mohou zdát neškodné, neboť se primárně nesoustředí na krádeže dat. Ve skutečnosti ale velmi znepříjemňují práci na PC a celkově snižují uživatelský komfort.

V uplynulých měsících lákali podvodníci především na sociálních sítích důvěřivé uživatele na tisícové poukazy na nákup ve známých obchodních řetězcích. To bylo ale pravděpodobně neúčinné, a tak kyberzločinci přitvrzují – pod hlavičkou Lidlu nabízí vyšší částky, poukaz rovnou na 20 000 Kč.

Před podvodem varovali přímo pracovníci Lidlu: „Facebookem se opět šíří podvodná akce, se kterou ovšem nemáme nic společného. Zůstaňte prosím obezřetní, na podobné odkazy neklikejte a v žádném případě neposkytujte své osobní údaje.“

Hlavním rozdílem je při současné vlně podvodů výše poukázky. Zatímco dříve nabízeli útočníci pár tisíc korun, nyní se snaží uživatele motivovat sumou 20 000 Kč. Ty získá údajně ten, kdo vyplní několik soutěžních otázek a zároveň bude soutěž sdílet na svém facebookovém profilu – právě to totiž útočníkům značně usnadňuje práci, falešné poukazy se tak dostanou mezi daleko více lidí.

Podobné soutěže důvěřivce zpravidla připraví o peníze. Pro získání ceny totiž musí uživatel ještě vyplnit své jméno a telefonní číslo a zavolat na „zákaznickou“ linku, aby si svou odměnu vyzvedl. Ale právě v tom je zakopaný pes, protože minuta hovoru je zpoplatněna klidně i částkou 99 Kč, na což koneckonců upozorňuje drobným písmem i samotná „výherní“ nabídka.

Provozovatelé této služby se tak chrání před případnou snahou lidí o vrácení peněz. Důvěřivcům tak nakonec přijde pěkně tučný účet za telefon. Jejich osobní údaje mohou navíc kyberzločinci dále zneužít, neboť na černém internetovém trhu mají cenu zlata.

Lákavé dárkové poukazy se zobrazují nejen pod hlavičkou Lidlu, ale také dalších obchodních řetězců – například Penny Marketu, Billy, Tesca či Albertu. Ani jeden ze zmiňovaných podniků samozřejmě nemá s podvodnou nabídkou nic společného.

Kybernetičtí piráti stále častěji nasazují trojské koně, které cílí na chytré telefony a počítačové tablety. Tito mobilní záškodníci se přitom ve většině případů snaží získat prostřednictvím napadeného zařízení přístup k bankovním účtům. Před vzrůstající hrozbou varovali bezpečnostní experti z antivirové společnosti Kaspersky.

V průběhu prvního čtvrtletí letošního roku objevili bezpečnostní experti 42 115 souborů malwaru, který je pro tyto krádeže naprogramovaný. Jedná se tak o více než dva a půl krát vyšší číslo než v posledním kvartále minulého roku.

„Mobilní bankovní trojští koně – označovaní také jako bankers – jsou kyberbezpečnostní komunitě známí dlouhá léta. Jejich motiv je jasný – hackeři je využívají ke krádežím financí přímo z mobilních bankovních účtů,“ prohlásil Viktor Čebyšev, bezpečnostní odborník ze společnosti Kaspersky.

Tyto škodlivé programy podle něj obvykle vypadají jako zcela legitimní finanční aplikace. „Komplikace přichází ve chvíli, kdy se chce uživatel přihlásit do pravé online-banking aplikace a zadává proto své přihlašovací údaje. Kvůli těmto škodlivým programům se dostanou přímo do rukou hackerů,“ podotkl bezpečnostní expert.

Zdůraznil, že tyto moderní škodlivé programy zároveň zvýšily svůj podíl na celkových hrozbách, kterým čelila mobilní zařízení. Za první čtvrtletí vystoupaly na podíl 3,65 %, což je o 2,1procentního bodu více než v posledním čtvrtletí roku 2019. Nejvíce uživatelů napadených těmito trojany bylo v Japonsku (0,57 %), Španělsku (0,48 %) a Itálii (0,26 %).

„V době šíření koronaviru, kdy museli být lidé zavření doma v karanténě, začali daleko častěji užívat svá mobilní zařízení pro on-line bankovnictví. Z mobilů se tak stal jeden z hlavních nástrojů komunikace, nakupování a spravování financí. Proto bychom je měli dobře chránit před podvodníky a internetovými piráty,“ uzavřel Čebyšev.