Návrat obra. Po více než roční odmlce v Praze opět přistál Antonov An-124
Populární výrobky firmy TP-Link mají problémy v USA. Možná je zakážou
Phishing a sociální inženýrství a Vánoce
Vánoční nákupy jsou v plném proudu a my se honíme za dárky na poslední chvíli. Blížící se konec roku tomu nepřidává – stres roste a obezřetnost občas ustupuje stranou. Když zjistíte, že dárek pro někoho blízkého má zpoždění, snadno podlehnete panice. A právě v takových chvílích mají podvodníci šanci. Umí využít naší nepozornosti a nalákat nás do pasti. Dnes se podíváme na konkrétní případ, který nám přistál ve frontě.
Ohlášení incidentuNahlašovatel nám poslal screenshot SMS zprávy, která informovala o zpoždění doručení zásilky kvůli nezaplacenému clu. V SMS byl uveden odkaz vedoucí na URL adresu, která zkracovačem přesměrovávala na aplikaci napodobující přihlašovací portál České pošty.
Na dané doméně jsme objevili ”Index of”, odkud se nám podařilo stáhnout zdrojový kód phishingové stránky ještě před jejím odstraněním. Díky tomu jsme dostali jedinečnou příležitost nahlédnout pod pokličku útočníků analyzovat metodiku útoku. Phishingová stránka nebyla nijak sofistikovaná – šlo o jednoduché HTML dokumenty vizuálně připomínající stránky České pošty. Přiznejme si, šikovný deváťák s ChatGPT by něco takového zvládl vytvořit za jeden večer.
Úvodní SMS nás vyzývá k zaplacení cla v hodnotě 67,28 Kč. To není mnoho, a vzhledem k tomu, že podobné podvody mají úspěšnost odhadem v řádu procent, je jasné, že výdělek z jedné takové kampaně není nijak závratný. Skutečný zisk ale leží jinde. Pojďme si rozebrat, jak tento podvod funguje.
Analýza útokuPhishingová aplikace je postavená na několika formulářích. První z nich žádá uživatele o zadání osobních údajů, jako je adresa, datum narození a kontaktní informace. Ze zdrojového kódu víme, že tyto údaje jsou odesílány pachatelům prostřednictvím API na Telegram.
Mezi jednotlivými formuláři se zobrazuje animace, která simuluje zpracování dat. Ve skutečnosti jsou informace už dávno bezpečně odeslané na Telegram.
Další formulář vyžaduje zadání údajů o platební kartě – jméno držitele, číslo karty a její expiraci. Stránka provádí základní kontrolu těchto údajů, například ověřuje správnost čísla karty pomocí Luhnova algoritmu. Pokud by oběť udělala překlep, aplikace by jí zobrazila chybu a požádala o opravu. Podobně se kontroluje, zda expirace karty není v minulosti.
Po odeslání údajů o kartě se uživatel dostane na další stránku, která napodobuje platební bránu. Čekací doba a časový limit mají vytvořit dojem standardního postupu.
Kliknutí na potvrzení platby nám odkryje formulář s polem pro zadání ověřovacího kódu a tlačítek, z nichž jedno se nepodařilo zcela správně přeložit. Anglické slovo “close” sice v češtině znamená “blízko”, ale pro zavření formuláře se hodí více slovo “zavřít”. Toto je krásná ukázka toho, jak je možné phishing rozpoznat. Mnoho anglických slov má v češtině více významů a člověk, který nemluví česky při překládání snadno udělá chyby, které nemá šanci zaznamenat. Žádný česky mluvící vývojář by ale jistě nepoužil pro zavření formuláře slovo “blízko”.
Uživatel je následně požádán o zadání ověřovacího kódu. Proces vyžaduje zadání kódu alespoň třikrát – první dva pokusy vždy skončí „chybou“. To má zajistit, že útočníci dostanou platný kód, protože většina lidí zadá stejný kód vícekrát.
Nabízí se otázka, kde uživatel tento ověřovací kód najde? Odpověď je jednoduchá, přijde mu totiž v SMS po objednávce, kterou za něho vytvořil podvodník.
Než se pustíme dál, pojďme si zrekapitulovat, jaké údaje vlastně útočník má momentálně k dispozici. Adresa, datum narození, email a telefonní číslo. To jsme mu předali v prvním kole. Pro demonstraci, jak by mohl útočník postupovat, si můžeme otevřít libovolný e-shop nabízející platbu kartou. Zde například vidíme proces objednávky v e-shopu datart.cz se zbožím připraveném v košíku. Pachatel tedy může vyplnit formulář s našimi údaji za nás. Tím je první fáze objednávkového procesu dokončena.
Objednávku je ale samozřejmě také potřeba zaplatit. Co s tím?
Kompletní údaje o platební kartě oběť vyplnila ve druhém formuláři společně se svým jménem. Pachatel zadá tyto údaje do formuláře na vybraném e-shopu. To samotné ale pro dokončení nestačí, je potřeba ještě něco. Potvrzovací kód v platební bráně. A právě ten oběť vyplní v aplikaci.
Pachatel si v podstatě nechá poslat kód na telefonní číslo oběti, která mu jej vzápětí pošle přes phishingovou aplikaci. Ne každému může být na první pohled jasné, že kód je vygenerovaný opravdovou platební bránou Visa a bezmyšlenkovitě ho vyplní, a to hned třikrát, aby se předešlo možným překlepům. Útočník dostává na telegram zprávu s platným jednorázovým kódem, zadá jej do platební brány a transakce je dokončena. Objednávka je vyřízena, zaplacena a oběť ani netuší, že právě někoho obdarovala třeba novými hodinkami. Toto je příklad toho, co může vidět podvodník čekající na ověřovací kód.
ReakcePo nahlášení incidentu jsme okamžitě kontaktovali správce webu s žádostí o odstranění stránky. Phishingová aplikace byla deaktivována během dvou hodin. Sotva jsme stihli získat zdrojový kód k analýze. Druhý den jsme zaznamenali dvě další hlášení na stejnou aplikaci, tentokrát hostovanou na jiné doméně a s využitím Cloudflare. I zde jsme postupovali standardně – kontaktovali Cloudflare a následně správce serveru.
PoučeníTento případ ukazuje, jak snadno mohou podvodníci využít lidské nepozornosti a vytvořit věrohodně vypadající past. Dávejte si pozor na nevyžádané SMS zprávy nebo e-maily a vždy si pečlivě ověřujte, kam vás odkazy vedou. Gramatické chyby nebo nelogické kroky by měly okamžitě vzbudit vaši pozornost.
Jsme všichni z Mallorky? Před 273 miliony lety na ní žil náš příbuzný
Působivé oslavy hned několika výročí. I to byla letecká show RIAT 2024
Pět věcí pro Chrome a Edge zlepší YouTube, vytáhnou text z videa a nejen to
Krátké vlny: Priority polského předsednictví a útoky na cloudovou infrastrukturu
Poslední vysílání Krátkých vln pro rok 2024 by se mělo odehrávat v uvolněnějším a pozitivnějším duchu, ale ve světě regulací neexistují Vánoce. Návrhy musí být předloženy, formuláře vyplněny a výkazy odevzdány. A nové formuláře a nové návrhy už čekají k rozeslání v novém roce 2025.
Kupříkladu Evropská komise zveřejnila 4. listopadu prováděcí nařízení, které upřesňuje vzory zpráv o transparentnosti vyžadovaných od všech poskytovatelů zprostředkovatelských služeb podle nařízení o digitálních službách (DSA). Povinné osoby (v tomto případě poskytovatelé zprostředkovatelských služeb, poskytovatelé hostingových služeb, online platformy a velmi velké online platformy) by měli vyplnit formulář s vyznačením různých příkazů proti nezákonnému obsahu a příkazů k poskytnutí informací, jak je obdrželi od orgánů členských států, a také moderování obsahu, které provedli z vlastní iniciativy. Informace by měly být poskytovány ve strojově čitelném formátu a zprostředkovatelské služby, poskytovatelé hostingových služeb a online platformy by je měli zveřejňovat jednou ročně a velmi velké online platformy a velmi velké vyhledávače dvakrát ročně.
Mikropodniky (max 10 zaměstnanců a obrat nepřesahující 2 miliony EUR) nebo malé podniky (max 50 zaměstnanců a obrat nepřesahující 10 milionů EUR) jsou z těchto povinností týkajících se transparentnosti naštěstí vyňaty. První vykazované období se vztahuje na období od 17. února 2024 do 31. prosince 2024. Povinné osoby musí zveřejnit zprávy nejpozději do dvou měsíců od data ukončení každého vykazovaného období, takže první reporty budou k dispozici v březnu příštího roku.
Pro fanoušky veřejných cloudových služeb nabízí zajímavé čtení izraelský kyberbezpečnostní úřad, který vydal report s názvem Public Cloud Security with a Focus on Ransomware. Podle dokumentu analýza kybernetických incidentů za posledních pět let zjistila, že útoky ransomwaru stály za 32 % kybernetických incidentů a byly zodpovědné až za 38 % finančních ztrát vzniklých v souvislosti s těmito útoky (v roce 2015 tvořily ransomwarové incidenty pouze 1 % kybernetických incidentů,
ale v posledních letech prudce vzrostl a v roce 2023 představuje významných 52 % kybernetických incidentů.
Typický ransomwarový incident způsobí náklady ve výši 1,4 milionu dolarů! To je více než dvanáctinásobek průměrné finanční škody způsobené jinými kybernetickými útoky. Závažné incidenty ransomwaru budou pravděpodobně mnohem ničivější. V extrémních případech mohou škody dosáhnout až 50 milionů dolarů ve srovnání s 22 miliony dolarů u kybernetických útoků bez ransomwaru.
Počet kybernetických útoků a pokusů o ně na veřejné cloudové služby, včetně ransomwarových kampaní, v poslední době roste. Tento trend odráží celosvětové zneužívání organizací a firem, které spoléhají na cloud pro správu své infrastruktury a dat. Klíčovým problémem zůstává nesprávná konfigurace a nedostatečná implementace zabezpečení na straně uživatelů cloudových služeb. Tyto chyby často odhalují zranitelnosti, které útočníci snadno zneužívají a obvykle k tomu nepotřebují pokročilé technické znalosti nebo velké investice. Jako příklad uvádí zpráva útok na poskytovatele cloudových služeb, který používal produkt MOVEit, jehož zranitelnost útočník využil k provedení útoku ransomwarem.
Techniky útočníků používajících ransomware se v průběhu let vyvíjely, přičemž každá nová technika zahrnovala své předchůdce a přidávala novou schopnost. Z původního útoků zašifrováním dat oběti a jejího vydírání se postupem času útočníci zaměřili na „dvojité vydírání“ únikem dat (hrozba, že odhalení citlivých údajů poškodí pověst oběti a povede k uložení regulačních sankcí), nebo na útoky typu ransom DDoS (RDDoS).
Zpráva izraelského kybernetického úřadu obsahuje, a v tom je asi nejcennější, precizně popsané case study různých technik útoků, kterým mohou být poskytovatelé cloudových služeb a jejich zákazníci vystaveni. Je jasné, že se zvyšujícím využíváním cloudových služeb budou jejich poskytovatelé a zákazníci terčem útočníků.
V listopadu si Interpol připsal na své konto další úspěšnou akci v rámci operace Synergia II, která probíhala od 1. dubna do 31. srpna tohoto roku. Během operace bylo „zlikvidováno“ více než 22 tisíc škodlivých IP adres nebo serverů spojených s kybernetickými útoky a hrozbami typu phishing a ransomware. Interpol zabavil 59 serverů, 43 dalších elektronických zařízení, zatkl 41 osob a dalších 65 je stále vyšetřováno.
Od 1. ledna 2025 začíná polské předsednictví v Radě EU. V digitální oblasti si Poláci stanovili jako priority kybernetickou bezpečnost, implementaci již přijatých předpisů (a že jich je), koordinace aktivit v Mezinárodní telekomunikační unii a digitální diplomacii. To se odráží v programu formálních a neformálních akcí. Kybernetické bezpečnosti by se ministři měli věnovat na neformální Radě pro telekomunikaci ve Varšavě 4. a 5. března 2025, kde se také 12. března 2025 uskuteční konference o ENISA certifikaci. Formální telekomunikační rada ministrů se uskuteční 6. června 2025.
Hlavní akce polského předsednictví v Radě EU v první polovině 2025:
- Brussels – Geneva Interlinks (24. ledna);
- Neformální Rada pro telekomunikace (4. – 5. března);
- Enisa Certification Conference (12. března);
- Konference o Governance for Web 4.0 a Virtuální světy (31. března – 1. dubna);
- SECURE International Summit (3. – 4. dubna);
- The Future is Data (konference) (28. – 29. dubna);
- Konference o mezinárodních digitálních partnerstvích a projektech pro technologickou suverenitu, bezpečnost a demokracii (8. května);
- Formální Rada pro telekomunikace (6. června);
- Digitální Summit (16. – 18. června).
A přeci jen pozitivní zpráva na závěr. Doména gov.cz byla 17. prosince 2024 zmigrována na infrastrukturu sdružení CZ.NIC. Prosté oznámení, které výrazně zvyšuje zabezpečení domény gov.cz. Skvělá práce a díky všem zúčastněným. A někdy příště si můžeme říct, jaké domény mimo gov.cz stát, státní organizace nebo samosprávy používají a v jakém stavu jsou… Krásné Vánoce a úspěšný vstup do nového roku.
Jak starý je doopravdy váš mozek? Otázku zodpoví pouhých třináct proteinů
Blíží se veletrh CES 2025 v Las Vegas. Na co se můžeme těšit
NÁZOR: Bluesky láká novináře a vydavatele. Může jít o oboustranně výhodný vztah
Z devíti dní je deset měsíců. Posádku Boeingu vysvobodí z vesmíru až na jaře
Zotac se „uklikl“ a nechtěně potvrdil spekulace o nových kartách Nvidia
Japonská soukromá raketa nedokončila misi ani napodruhé. Let skončil po startu
Umí víc, než si myslíte. Nastavte svůj wi-fi router jako profík v šesti krocích
Vývoj člověka je zamotanější, než jsme mysleli, ukázal objev Homo juluensis
Spolupráce v oblasti kybernetické bezpečnosti ve světě, v Evropě a v Česku
Od založení prvního bezpečnostního týmu kybernetické bezpečnosti na světě uběhlo více než 35 let a my se v tomto článku podíváme na to, jak probíhá vývoj spolupráce v této oblasti ve světě, v Evropě i v Česku.
V roce 1988 způsobil červ Morris první větší problémy v tehdy ještě malé síti Internet (ta čítala asi 60 000 připojených zařízení). Reakce na jeho šíření byla izolovaná a nekoordinovaná. Mnoho lidí se snažilo vyřešit ten samý problém najednou, což vedlo k různým, často konfliktním řešením. Ještě v tom samém roce bylo zřejmé, že je žádoucí, aby reakce na podobné incidenty byly koordinované. Toho se chopila univerzita Carnegie Mellon a dala tím vzniknout prvnímu bezpečnostnímu týmu na světě. Tato univerzita má dodnes autorské právo k názvu CERT (Computer Emergency Response Team). O udělení oprávnění tento název využívat lze univerzitu požádat, zpravidla jej uděluje bezplatně, pokud tým splňuje náležitosti provozu.
V následujících dvou letech začaly vznikat další bezpečnostní týmy typu CERT/CSIRT (rozdíl je pouze v udělení zmíněného oprávnění k názvu), každý z jiných důvodů a s vlastními procesy. Koordinace mezi těmito týmy byla obtížná především z důvodů spojených s komunikací, časovými pásmy a mezinárodními standardy. Po výskytu dalšího škodlivého softwaru, červa Wank, bylo zřejmé, že nově vznikající týmy musejí lépe spolupracovat. K usnadnění této spolupráce byla v roce 1990 založena první mezinárodní organizace sdružující bezpečnostní týmy po celém světě – FIRST (First Incident Response Team), která v současnosti sdružuje 755 týmů z celkem 111 zemí světa. Na stránkách organizace se můžete podívat na interaktivní mapu s počty týmů na jednotlivých kontinentech a v jednotlivých státech.
Následující graf zobrazuje vývoj počtu CSIRT týmů v rámci této organizace od jejího založení.
O deset let později, v roce 2000, pak pod záštitou organizace Terena (dnes GÉANT) proběhlo první setkání skupiny TF-CSIRT (The Task Force on Computer Security Incident Response Teams). Důvodem pro založení pracovní skupiny TF-CSIRT byly požadavky na vetší lokální obsah a potřeba bližší spolupráce v rámci regionu. Prvního setkání se účastnili zástupci 26 evropských zemí. V roce 2001 měl TF-CSIRT již více než 50 členů.
V současné době existuje v rámci Evropské unie 579 bezpečnostních týmů typu CSIRT/CERT, PSIRT či SOC.
Jak je z uvedené tabulky patrné, díky vysokému počtu zapojených týmů, stojí Česko v popředí této komunity. Vysoký počet týmů a dobrá spolupráce českých odborníků na kybernetickou bezpečnost je od roku 2013 dána především vstupními požadavky projektu FENIX, který má ve svých podmínkách pro členství nutnost mít v organizaci CERT/CSIRT tým s patřičným statusem, dle pravidel Trusted Introducer.
Přínos bezpečnostních týmů napříč Evropou se v průběhu jejich fungování osvědčil. V roce 2016 se staly součástí aktuálně platné legislativy členských zemí EU, díky směrnici o bezpečnosti sítí a informačních systémů (NIS), která fungování CSIRT týmů oficiálně zakotvila a stala se tak prvním zákonným krokem k posílení kybernetické bezpečnosti v EU.
S rostoucí digitalizací bylo nutné reagovat na nové výzvy, což vedlo k přijetí směrnice NIS2, která mimo jiné identifikovala 11 klíčových odvětví. Služby poskytované v rámci těchto odvětví byly přeneseny do českého právního řádu prostřednictvím návrhu nového Zákona o kybernetické bezpečnosti, konkrétně je vymezuje § 4 písm. a) a b) a dále jsou děleny na subjekty s nižšími a vyššími povinnostmi dle vyhlášky o regulovaných službách. Mezi tato odvětví patří například digitální infrastruktura a služby, doprava, energetika, finanční trh, chemický, obranný, potravinářský výrobní a vesmírný průmysl, odpadové a vodní hospodářství, poštovní a kurýrní služby, věda, výzkum a vzdělávání a zdravotnictví. V reakci na rostoucí rizika a jejich dopady směrnice zpřísnila požadavky na řízení kybernetické bezpečnosti a stanovila přísnější sankce za neplnění povinností. Lepší vymezení právního rámce umožňuje efektivněji reagovat na potřeby digitalizované společnosti a chránit ji před stále sofistikovanějšími kybernetickými hrozbami a riziky.
Ať již poskytujete společnosti službu, která spadá do některých zákonem regulovaných odvětví nebo jen chcete mít k dispozici aktuální informace z oblasti kybernetické bezpečnosti a přístup k ostatním členům komunity, budeme rádi, pokud se zapojíte do spolupráce. Kromě celosvětové sítě FIRST, evropské pracovní skupiny TF-CSIRT, provozuje naše sdružení Pracovní skupinu CSIRT.CZ, která čítá již více než 270 členek a členů a je otevřená bezpečnostním expertům z pracovišť typu CSIRT/CERT, PSIRT, SOC a dalším.
Pod hlavičkou nového Zákona o kybernetické bezpečnosti vzniká také Národní centrum výzkumu a vývoje v oblasti kybernetické bezpečnosti a za zmínku stojí například ještě Cybersecurityhub.
Budeme rádi, pokud se s vámi v rámci setkání některé z uvedených organizací setkáme.
Blíží se uvedení HDMI 2.2. Nová verze přinese i nové kabely
NÁZOR: Číňané „okopírovali“ americkou F-35. Zatím nikdo neví, co tato verze dokáže
OBRAZEM: Jumbo Jet, Concorde, Caravelle a další legendy letecké dopravy
- « první
- ‹ předchozí
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- …
- následující ›
- poslední »