Jaké triky zkouší kyberzločinci nejčastěji

Většina uživatelů dnes už ví, jak je důležitý antivirový program na počítači. Bezpečnostní experti nicméně stále upozorňují, že riziku útoku jsou vystaveny i chytré telefony. Ani zabezpečení mobilních zařízení by tedy uživatelé neměli podceňovat.

Je však nutné podotknout, že ani ten nejlepší antivirový program nedovede uživatele ochránit, pokud si nebezpečného záškodníka pustí uživatel do svého počítače sám – například právě s vidinou snadného zisku či různých slev. Přesně tak je ale postavena většina spamových a phishingových podvodů.

Ty sice nejsou technologicky příliš složité, jsou však často založeny na promyšlených technikách sociálního inženýrství. „Proto jsou tyto útoky považovány za poměrně nebezpečné, zejména pak pro nepřipravené uživatele,“ varovala Taťjana Šerbaková, bezpečnostní expertka antivirové společnosti Kaspersky.

Spam – tedy nevyžádaná pošta – patří mezi ty vůbec nejrozšířenější typy útoků. Jde o cílené rozesílání e-mailů, které propagují různé produkty či služby. Jejich jediným cílem je nalákat uživatele k dialogu, případně ke kliknutí na škodlivý odkaz nebo k otevření připojeného škodlivého souboru. Pokročilejší antiviry jsou sice připraveny i na takové hrozby, ale pokud budou lidé jejich doporučení ignorovat, jsou i ty nejlepší bezpečnostní programy bezzubé.

A to samé platí v případě phishingu, tedy u nevyžádaných e-mailů, ve kterých se útočníci vydávají například za bankéře, pošťáky nebo bezpečnostní experty. Zpravidla k tomu využívají škodlivé kopie legitimních webových stránek, které shromažďují důvěrné informace uživatelů, případně je vybízejí k převodu peněz ve prospěch podvodníků.

Mezi nejpopulárnější kybernetické podvody patří falešné investice, zpravidla do kryptoměn nebo akcií. „V těchto podvodech byly uživatelům nabízeny potenciálně skvělé, stoprocentně bezpečné možnosti investování jejich peněz, což samozřejmě nebyla pravda. Ve skutečnosti tyto nabídky sloužily jedinému účelu – přimět oběti, aby převedly své peníze podvodníkům,“ varovala Šerbaková.

Kyberzločinci v loňském roce masivně zneužívali také filmové premiéry očekávaných filmů. „Uživatelům se obvykle zobrazil trailer nebo úvodní video, po kterém byli vyzváni k zadání platebních údajů, aby mohli pokračovat ve sledování. Pokud by oběť zaplatila, nezískala by samozřejmě přístup k požadovanému obsahu, ale přišla by o peníze,“ vysvětlila bezpečnostní expertka.

„Široce diskutovaná témata, například peníze, filmové premiéry nebo celosvětové události jako pandemie, byla pro podvodníky vždy vítanou příležitostí. Tyto scénáře se každoročně opakují a nevypadá to, že by s tím zločinci měli v dohledné době přestat. Je to hlavně proto, že takové podvody bývají velmi účinné, protože lidé stále příliš důvěřují tomu, co vidí ve svých e-mailových schránkách a prohlížečích. Je důležité si uvědomit, že existuje mnoho nabídek, které vypadají příliš dobře na to, aby byly pravdivé. Vyzýváme proto lidi, aby byli ohledně obsahu přijatých e-mailů obezřetní, protože tento přístup jim může pomoci ochránit jejich osobní údaje a peníze,“ doplnila Šerbaková.

Důležité tedy podle ní je, aby uživatelé otevírali e-maily a klikali na odkazy v nich pouze v případě, že si jsou jistí, že mohou odesílateli důvěřovat. Pokud budí obsah zprávy jakékoliv pochyby, je vhodné odesílatele kontaktovat například prostřednictvím telefonu a vše si raději ověřit. Samozřejmostí by měla být kontrola správnosti webových adres v prohlížeči, tak se totiž uživatelé snadno dozvědí, že jsou na podvodných stránkách.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varoval před novou vlnou podvodných telefonátů, útočníci se během nich snaží uživatele přesvědčit, že jsou bezpečnostní experti Microsoftu.

Pod záminkou, že byl počítač uživatele údajně napaden hackerem, nabízejí telefonicky pomoc při odstranění údajného viru a zabezpečení počítače. „Pokud podobné podvodné volání zaregistrujete, vůbec na něj nereagujte a s útočníky se nebavte,“ poradil Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

V opačném případě totiž útočníci požadují, aby si lidé nainstalovali do počítače programy AnyDesk nebo TeamViewer. Díky nim získají vzdálený přístup k počítači, mohou libovolně zadávat příkazy do příkazových řádků nebo přistupovat k informacím o počítači a uživatelích.

„Plnění těchto pokynů vede ke kompromitaci zařízení, případně ke krádeži citlivých údajů, hesel nebo zašifrování dat ransomwarem,“ varovali experti z NÚKIB.

V případě, že se jim podaří propašovat do PC vyděračský virus z rodiny ransomwaru, zašifrují všechna uložená data v počítači. Za jejich opětovné zpřístupnění pak budou požadovat výkupné, klidně i v řádu desítek tisíc korun.

V první polovině doku o něm prakticky nikdo neslyšel, v té druhé se ale probojoval mezi nejrozšířenější škodlivé kódy na světě. Řeč je o zlodějském malwaru Snake Keylogger, jehož masivní rozšíření dělá bezpečnostním expertům vrásky na čele.

„Snake Keylogger je modulární .NET keylogger a malware určený ke krádežím přihlašovacích údajů. Mezi jeho hlavní funkce patří zaznamenávání stisknutých kláves, krádeže přihlašovacích údajů a odesílání ukradených dat útočníkům,“ prohlásil Tomáš Růžička, bezpečnostní expert Check Pointu.

I když většina antivirů zvládne škodlivý kód Snake Keylogger identifikovat, pokud jej pustí uživatel do počítače sám, jsou zpravidla antivirové programy bezzubé. Lidé by tedy měli být velmi obezřetní na přílohy v e-mailech, které jsou od neznámých odesílatelů.

„Snake Keylogger tvoří spolu s malwarem Agent Tesla a Formbook poměrně nebezpečnou trojici. Podobně, jako například spyware Formbook, využívá Snake Keylogger k odcizení citlivých údajů mechanismy, jako je zaznamenávání stisků kláves na klávesnici, pořizování snímků obrazovky na zařízení nebo získávání informací ze systémové schránky clipboard,“ vysvětlil Martin Jirkal, vedoucí analytického týmu v pražské pobočce Esetu.

Právě škodlivým kódům Agent Tesla a Formbook patřily v posledních zveřejněných statistikách Esetu první dvě příčky.

Zvýšenou aktivitu bankovního malwaru Cerberus zaznamenali před koncem loňského roku bezpečnostní experti z antivirové společnosti Eset v Česku. Tento nezvaný návštěvník tehdy stál za 65,10 % všech detekovaných hrozeb pro operační systém Android – a situace se příliš nezměnila ani v letošním roce, za leden to bylo 62,79 %.

Bankovní malware se šíří nejčastěji prostřednictvím dropperu Spy.Cerberus, který se vydává například za aplikaci pro hledání ztraceného telefonu. Opět tak můžeme vidět, že útočníci využívají stejnou strategii. Lákají totiž uživatele na služby zdarma nebo na aplikace, které nejsou v oficiálním obchodě Google Play běžně dostupné.

„Droppery, které fungují jako obálky a berou na sebe podobu různých aplikací, v sobě bankovní malware skryjí a do zařízení ho uživateli nepozorovaně doručí. Nebezpečné jsou především proto, že je méně kvalitní bezpečnostní software neodhalí. Své verze i podobu mění velmi rychle a využívají různých populárních trendů, čímž chtějí uživatele zmást a přimět ho, aby si aplikaci rychle stáhnul,“ prohlásil Martin Jirkal, vedoucí analytického týmu v pražské pobočce Esetu.

Malware Cerberus je rizikem především pro bankovní služby, protože dokáže odcizit přihlašovací údaje do internetového bankovnictví a číst ověřovací SMS kódy. Zatímco v říjnu zaznamenali bezpečnostní analytici pokles jeho aktivity, před blížícím se koncem roku a vánočními svátky se jeho aktivita opět výrazně zvýšila.

„Stále více uživatelů již k online nakupování využívá kromě notebooku nebo stolního počítače i chytrý telefon. A právě nyní zažíváme jednu z hlavních nákupních sezon,“ konstatoval Jirkal. „Uživatelům doporučujeme, aby ochranu svých online plateb, bankovnictví a přihlašovacích údajů během vánočních nákupů nepodceňovali a chránili svá zařízení kvalitním bezpečnostním řešením,“ doplnil bezpečnostní expert.

Počítačové viry se nevyhýbají ani strojům s platformou macOS od Applu, jak dokládá nejnovější statistika Esetu. Nebezpečných záškodníků je sice méně než v případě operačního systému Windows, ale i tak je obezřetnost namístě.

Tím vůbec nejrozšířenějším malwarem je škodlivý kód Pirrit, který kraluje virovým statistikám již od loňského roku. V minulém měsíci stál za více než polovinou všech detekcí.

„Objem detekcí reklamního malwaru bude i pro následující období pravděpodobně stabilní. V případě adwaru Pirrit, který se objevoval v českém prostředí téměř celý loňský rok, se jedná o celou malware rodinu, která je dlouhodobě aktivní. Nepředpokládáme tak, že počet detekcí bude klesat,“ prohlásil Jiří Kropáč, vedoucí virové laboratoře Esetu v Brně.

„Adware proti jiným druhům škodlivého kódu nepředstavuje přímé riziko. Výrazně ale obtěžuje uživatele při jeho práci na zařízení a často jsou jeho prostřednictvím inzerované podvodné či přímo nelegální nabídky. Adware Pirrit obsahuje například funkce pro zobrazení vyskakujících oken a šíří se prostřednictvím nelegitimních verzí známých aplikací. Stejnou strategii využívají útočníci i v případě adwaru Bundlore, který do zařízení stahuje další nevyžádanou reklamu. Oba dva typy malwaru se pravidelně objevují na předních místech pravidelných měsíčních statistik pro systém macOS,“ připomněl Kropáč.

Podle něj by se uživatelé měli vyhýbat bezplatným a nelegálním verzím jinak placených služeb a nástrojů. Právě u nich totiž hrozí virová nákaza nejčastěji. „Útočníci chování uživatelů cíleně studují a vědí, že nalákat je na službu zdarma je úspěšné. Pokud uvidíte k bezplatnému stažení nějaký jinak drahý program nebo populární hru, je velmi pravděpodobné, že spolu s ní stáhnete i malware,“ konstatoval bezpečnostní expert.

Mezi další škodlivé kódy, které se zaměřují na počítače s logem nakousnutého jablka, patří adware Bundlore, adware MacSearch, OSX/Agent a TrojanDownloader Adload. Podíl těchto hrozeb je ale ve srovnání s Pirritem zanedbatelný.

Emotet, podle Europolu „nejnebezpečnější malware na světě“, napadl za prvních 11 měsíců loňského roku více než 140 000 počítačů ve 149 zemích. V poslední době přitom útočí stále častěji, pomáhá mu další škodlivý kód zvaný Trickbot, jak varovali experti z kyberbezpečnostní společnosti Check Point.

„Emotet byl nejvýkonnějším botnetem v historii a prodával svou širokou síť infikovaných strojů dalším hackerským skupinám. Většinou se jednalo o ransomwarové gangy. Návrat Emotetu je předzvěstí nárůstu ransomwarových útoků v roce 2022,“ varoval Peter Kovalčík, bezpečnostní expert Check Pointu.

Emotet byl původně bankovní trojan, ale postupem času se vyvinul v ničivý botnet. Dlouhodobě se jednalo o nejúspěšnější a nejrozšířenější malware roku 2020.

První verze Emotetu se objevila již v roce 2014. A od té doby tohoto nezvaného návštěvníka kyberzločinci neustále vylepšovali, takže se postupně vždy vracel do čela žebříčku nejrozšířenějších kybernetických hrozeb. Ani to už ale po vyřazení botnetu z provozu možné není.

Trickbot byl v roce 2020 čtvrtým nejrozšířenějším malwarem a zasáhl 8 % organizací po celém světě. Hrál klíčovou roli v jednom z nejvýznamnějších a nejnákladnějších kybernetických útoků roku 2020, který zasáhl Universal Health Services (UHS), předního poskytovatele zdravotní péče v USA.

Znovuoživený Emotet přitom využívá právě Trickbota a jeho infrastrukturu. „To urychlí nejenom jeho šíření a proniknutí do podnikových sítí po celém světě, ale také to znamená pokračování spolupráce skupin stojících za Trickbotem a Emotetem," varoval Kovalčík.