Jaké triky zkoušejí počítačoví piráti

Nejčastěji využívají počítačoví piráti nejrůznější phishingové útoky. Při nich se podvodníci vydávají například za zástupce nějaké banky a rozesílají podvodné nabídky o nové službě či účtu.

V podstatě tedy na internetu rybaří a čekají, až se jim někdo chytne na udičku. Od uživatelů se snaží touto cestou vylákat hotovost, stejně jako jejich citlivé údaje, které pak na černém trhu mají cenu zlata.

Velké oblibě se mezi kyberzločinci těší například slevové kupóny. Na podvodných stránkách se často objevuje možnost bezplatného získání kupónu, pokud se uživatel zaregistruje. Místo skutečné slevy ale lidé v podobných případech pouze riskují zneužití svých osobních údajů.

Internetem samozřejmě kolují i desetitisíce nejrůznějších virů. Ty dokážou odposlouchávat uživatele na dálku, monitorovat jeho práci, ale klidně i šikovně obejít ověřovací mechanismy v internetovém bankovnictví.

Odhalit takové smetí v počítači nebo chytrém telefonu pomáhají programy, z nichž každý se specializuje na něco jiného. Některé si dovedou poradit s trojskými koni či spywarem, další zase detekují takzvané keyloggery (programy zaznamenávající stisk kláves).

Cena takovýchto aplikací se zpravidla pohybuje od 500 do několika tisíc korun. Vedle toho ale existují také bezplatné alternativy, které nejčastěji firmy nabízejí pouze k vyzkoušení a zaplatit chtějí až za pokročilejší verzi. Ale i proto, aby v nich mohly zobrazovat reklamu a tím vydělávat peníze.

Výsledky testů bezplatných a placených aplikací se různí, v některých dokonce zdarma dostupné aplikace vyhrávají nad placenými.

Na PC nebo mobilu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Totéž platí také o firewallech i antispywarech.

Doslova jako lavina se Facebookem šíří nebezpečný počítačový virus FacexWorm, který odhalili výzkumníci antivirové společnosti Trend Micro. Jde v podstatě o doplněk pro internetové prohlížeče, který se snaží od důvěřivců vylákat peníze.

Nově objevený záškodník dovede v počítači udělat pěknou neplechu. V první řadě dokáže ukrást přihlašovací údaje do různých služeb – například k účtům na Googlu, MyMonero či Coinhive.

Především u dvou zmiňovaných služeb se může přítomnost viru uživatelům pěkně vymstít. Kyberzločinci je pak totiž mohou připravit o kybernetické mince, které mají nastřádané.

Nezvaný návštěvník ale toho „umí“ daleko více. „Při návštěvě stránek s kryptoměnovou tematikou přesměrovává uživatele na podvodné stránky vyžadující potvrzující platbu,“ Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ.

„Do ostatních stránek vkládá těžební javascript a při provádění plateb kryptoměnou zaměňuje cílové peněženky,“ podotkl Bašta.

Malware se podle něj šíří především rozesíláním odkazu skrze Facebook Messenger na podvodné stránky, které vybízejí k instalaci doplňku do prohlížeče. „Doplněk přitom cílí pouze na Google Chrome,“ uzavřel bezpečnostní expert.

Falešné odkazy na FacexWorm pochopitelně skrze sociální sítě nešíří samotní uživatelé, ale kyberzločinci skrze napadené profily na Facebooku. Méně pozorný uživatel se ale i tak může nechat zmást a na odkaz od „známé“ osoby klikne.

Dostat tohoto záškodníka z počítače je možné po odinstalování příslušného doplňku z Chromu. Celá řada antivirových programů si totiž s tímto nezvaným návštěvníkem sama neporadí.

Na pozoru by se měli mít uživatelé serveru Spolužáci.cz, který provozuje společnost Seznam.cz. V posledních dnech se totiž na ně začali soustředit podvodníci snažící se využít toho, že služba končí. Lidem slibují, že jim pomohou se zálohou jejich dat.

Podvodné nabídky se šíří prostřednictvím nevyžádaných e-mailů. „Vyzýváme uživatele, aby byli obezřetní a dávali pozor na podvodné e-maily, které slibují zarchivování dokumentů a fotografií ze služby Spolužáci.cz,“ uvedla pro Novinky.cz mluvčí společnosti Seznam.cz Aneta Kapuciánová.

„Takovou možnost nenabízíme a s těmito e-maily nemáme žádnou spojitost,“ zdůraznila.

Počítačoví piráti se pouze snaží využít toho, že Spolužáci.cz skutečně letos ukončí svůj provoz. Od důvěřivců chtějí získat přihlašovací údaje. Ty přitom mohou využít i na dalších internetových službách, neboť lidé používají velmi často stejné přihlašovací údaje, byť před tím bezpečnostní experti pravidelně varují.

„Společnost Seznam.cz nikdy nevyžaduje zaslání vašich hesel formou e-mailu, proto na takové e-maily nereagujte a nezasílejte osobní informace,“ konstatovala mluvčí Seznamu.

Útočník hesla nepožadoval, ale snažil se získat odpovědi na kontrolní otázky, jejichž pomocí by se dostal do tříd a tam by ukradl osobní data uživatelů.

Českem se stále šíří podvodné SMS zprávy, prostřednictvím kterých se podvodníci snaží z důvěřivců vylákat citlivé informace o platebních kartách. Jejich majitele pak snadno připraví o peníze.

Podvodné SMS zprávy začaly Českem kolovat už zkraje května, tehdy se kyberzločinci vydávali za pracovníky internetového obchodu Alza.cz. V minulých dnech se navíc ukázalo, že podvodníci šíří daleko více zpráv, než se původně předpokládalo.

Jak celý útok probíhá, v pátek detailně popsali bezpečnostní experti České spořitelny, kteří se touto cestou snaží varovat své klienty před možným zneužitím jejich platebních karet.

Na začátku všeho je SMS, která se tváří jako soutěžní zpráva. „Ta informuje o výhře iPhonu X za 1 Kč a vyzývá uživatele ke kliknutí na internetový odkaz s následným vyplněním čísla platební karty,“ uvedli zástupci banky.

Problém představuje právě manipulační poplatek ve výši 1 Kč. Díky této operaci pak podvodníci získají od důvěřivců údaje o jejich platební kartě, které mohou dále zneužít.

„Pokud jste reagovali na tuto podvodnou SMS a po kliknutí na internetovou stránku jste vyplnili číslo vaší platební karty a CVV kód, velmi pravděpodobně došlo ke zneužití karty,“ uvedli bezpečnostní experti.

Vyzrát na uživatele internetového bankovnictví od Air Banky se snaží počítačoví piráti v posledních dnech. Internetem totiž šíří podvodné phishingové zprávy, ve kterých se vydávají za bankéře a tvrdí, že účty klientů byly aktualizovány. Před novým trikem varovali bezpečnostní experti antivirové společnosti Avast.

„Podle poslední aktualizace zkontrolujeme, jestli je na Vašem účtu všechno v pořádku, a zároveň Vám povíme, jak budeme dále postupovat,“ tvrdí podvodníci v e-mailu, ve kterém se vydávají za pracovníky Air Banky.

Ke zprávě je připojen i odkaz, prostřednictvím kterého se mohou uživatelé podívat, o jakých aktualizacích že se to v e-mailu píše. Ale právě v tom je kámen úrazu, neboť odkaz vede na podvodné stránky imitující vzhled internetového bankovnictví od Air Banky.

„Po kliknutí na odkaz je uživatel přesměrován na podvodné stránky, které se tváří jako oficiální web banky. Unikátní je zkopírování celého textu s návodem na to, jak ověřit, že uživatelé jsou na správných stránkách banky, včetně části s kontrolou adresního řádku se správnou adresou. Ta ale v tomto případě nesedí,“ zdůraznil bezpečnostní expert Avastu Jan Širmer.

Podle něj si pozornější uživatelé mohou všimnout i několika dalších rozdílů, jako je například chybějící ověřené https či možnost použít virtuální klávesnici pro zadání hesla. „Když uživatel vyplní přihlašovací údaje na phishingové stránce, je bez jakéhokoliv ověření přesměrován na další stránku. Celé pozadí této stránky tvoří statický obrázek, který slouží pouze k vyvolání dojmu reálného účtu,“ doplnil bezpečnostní expert.

„Po vyplnění údajů je uživatel opět přesměrován na další potvrzovací stránku, tentokrát s údaji o platební kartě,“ uzavřel Širmer s tím, že následně se snaží podvodníci ještě vylákat od uživatele přihlašovací údaje od e-mailu.

Celý tento phishingový útok může působit poměrně primitivním dojmem a uživatelé mají dostatek vodítek, jak jej odhalit. Nedá se přesto vyloučit, že by někteří důvěřivci skutečně sedli počítačovým pirátům na lep.

V takovém případě je nutné co nejdříve kontaktovat svoji banku, v případě vyplnění přihlašovacích údajů také změnit svoje hesla.

Bezpečnostní experti z antivirové společnosti Kaspersky Lab odhalili novou verzi vyděračského viru SynAck, která je schopná obejít antivirové zabezpečení počítače. Znepřístupnit data na pevném disku tak tento záškodník dovede i v případě, kdy se uživatelé snaží PC skutečně chránit.

V průběhu prosince útočil převážně na anglofonní uživatele. „K poměrně agresivním útokům využíval síťový protokol remote desktop protocol (RDP), po jehož iniciaci následovalo manuální stažení a instalace malwaru,“ připomněli bezpečnostní experti.

Nová varianta však využívá sofistikovanější metody, kdy se pomocí techniky Process Doppelgänging vyvaruje své detekci. „Prostřednictvím této techniky, kterou odborníci u ransomwaru zaznamenali poprvé, schovají kyberzločinci svou zákeřnou aktivitu za oprávněné procesy,“ uvedli výzkumníci z Kaspersky Lab.

„Hackeři stojící za SynAck využívají i další triky, aby se vyhnuli detekování. Ještě před kompilací vzorků veškerý malwarový kód skryjí, a v případě, že mají podezření na testování prostřednictvím sandboxu, daný systém opustí,“ přiblížili technickou stránku experti.

Manipulací s tím, jak Windows zpracovává soubory, mohou útočníci do systému dostat škodlivé kódy. Ty tímto způsobem vydávají za neškodné, i když používají běžně známé viry. Doppelgänging po sobě nezanechává žádné stopy, což velmi znesnadňuje jeho detekování.

Dále pak už SynAck útočí jako další vyděračské viry, které zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.