Zaplať, tlusťochu!

Report

„Odjedu, až dostanu svoje odškodný. Tlusťochu, zaplať…“ Legendární hlášku Jeana-Paula Belmonda z filmu Policajt nebo rošťák poznala na vlastní kůži americká firma Garmin, která se stala obětí promyšleného hackerského útoku. Digitální zločin roste a nevyhýbá se ani Česku. Jaké jsou nejčastější formy útoků a jak jim lze předcházet?

Audio
verze

Ve čtvrtek 23. července zjistily miliony běžců, cyklistů a dalších sportovců po celém světě, že jim jejich hodinky, náramky a další zařízení neukládají data o právě dosažených výkonech. Společnost Garmin, světového giganta v této oblasti, napadli hackeři. O několik dní později pak Garmin potvrdil, že byl napaden takzvaným ransomwarem, což je škodlivý druh počítačového programu, který zašifruje počítače či soubory a útočníci za jejich odemčení požadují výkupné (anglicky „ransom“). Druhou variantou pak bývá, že si hackeři zkopírují nějaké citlivé informace a vydírají oběť jejich zveřejněním.

Podle zpráv televizního kanálu Sky News Garmin nakonec zaplatil za odblokování svých služeb útočníkům výpalné v milionech dolarů. Útočníci, kteří napadli Garmin, aplikovali postup, který je v poslední době mezi hackery velmi oblíbený. „Po průniku do vnitřní sítě firmy zneužívají k dalšímu postupu standardní nástroje pro správu počítačů či legitimní aplikace pro provádění penetračních testů. Pokud ta firma nemá nastavený systém, který by hlídal i potenciální zneužití legálních aplikací, mohou se útočníci v její síti nepozorovaně pohybovat,“ popisuje Miroslav Dvořák, technický ředitel české pobočky antivirové firmy Eset. V tomto konkrétním případě se navíc hackeři nenabourali do vnitřní sítě Garminu přímo. „Využili internetové stránky, kam zaměstnanci firmy často chodí, tam umístili zip soubor, který se tvářil, jako že obsahuje aktualizaci webového prohlížeče. Nicméně obsahoval první kousek škodlivého softwaru. Samotní zaměstnanci pak nechtěně pomohli útočníkům vstoupit do firmy,“ popisuje princip útoku Miroslav Dvořák.

Útočníci pak nenápadně působili ve firemní síti, a nakonec vyřadili z provozu antivirovou ochranu Garminu. V tu chvíli už jim nic nebránilo spustit vyděračský ransomware. „Pokud už zašifrování proběhne, v drtivé většině případů už není šance na rozšifrování vlastními silami. Firmě pak zbývají pouze dvě možnosti. Buď přistoupí na podmínky útočníků, zaplatí a bude věřit, že hackeři soubory odemknou. Nebo, což je principiálně správné, nezaplatí, a pokud má tu možnost, obnoví svou infrastrukturu z nějakých dříve vytvořených záloh,“ vysvětluje Miroslav Dvořák z Esetu.

S tím, že by bylo lepší útočníkům neplatit, souhlasí i Michal Salát, šéf Threat Intelligence antivirové společnosti Avast. „Za prvé oběť nemá nikdy jistotu, že útočníci opravdu napadené systémy či soubory rozšifrují, případně, že ukradené informace skutečně nezveřejní. A za druhé pak platí, že pokud se hackerům jejich aktivita vyplácí, povzbuzuje je to k dalším a dalším útokům,“ říká Michal Salát. Pokud se firmám starajícím se o kybernetickou bezpečnost podaří některý z ransomwarů rozklíčovat, dávají nástroje k dekódování případným obětem zdarma k dispozici v rámci projektu No More Ransom. „Když to ale útočníci naprogramují správně, je šance na dekódování prakticky nulová,“ shoduje se Michal Salát se slovy Miroslava Dvořáka.

 

Útoky na české nemocnice

Kybernetickému útoku čelily o pár měsíců dříve než Garmin i české nemocnice. Nemocnici Rudolfa a Stefanie ve středočeském Benešově napadli hackeři pár dnů před loňskými Vánocemi, ve středu 11. prosince 2019. „Ze strany neznámého pachatele došlo k zašifrování konkrétních dat v počítačích nemocnice. Nejednalo se však o cílený útok přímo na tuto konkrétní nemocnici, současně byly napadeny i další počítače některých institucí státní správy,“ popsala útok mluvčí středočeské policie Barbora Schneeweissová. 

Benešovská nemocnice, jež je pojmenována po habsburském korunním princi Rudolfovi (stejně jako pražské Rudolfinum) a jeho manželce, podle policejní mluvčí od počátku odmítla přistoupit na jakoukoli platbu útočníkům. I tak bylo ale napadení ransomwarem pořádně drahé. Celkové škody vyšly podle nedávného vyčíslení na 59 milionů korun, největší část z nich způsobilo ochromení provozu. Nemocnice nemohla provádět plánované zákroky a vyšetření a tím pádem za ně také nedostávala peníze od zdravotních pojišťoven. Třiceti miliony přispěje na pokrytí ztrát Středočeský kraj.

Benešovská nemocnice nebyla zdaleka jedinou napadenou. V pátek 13. března 2020 byl po hackerském útoku na čas omezen provoz Fakultní nemocnice Brno, problémy s útoky na své systémy měly později například i ostravská a olomoucká nemocnice. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v březnu oznámil, že varoval zdravotnická zařízení před zvýšeným rizikem útoků, koncem května pak vydal zprávu, že se riziko útoků vrátilo na obvyklou míru.

 

 

Cílený atak vs. Plošná palba

Z pohledu výběru obětí se dají rozlišit dva základní typy útoků. V tom prvním se jedná o pečlivě připravenou a detailně naplánovanou akci, jejímž cílem je zpravidla bohatá firma s velkým počtem zákazníků, nebo instituce, která pracuje s opravdu citlivými daty. „Tam je největší pravděpodobnost, že budou mít útočníci silnou vyjednávací pozici a stoupá jejich šance, že se dostanou k penězům,“ říká Miroslav Dvořák, technický ředitel české pobočky Esetu. Proto se hackerům vyplatí trávit čas na pečlivé přípravě individuálních útoků. 

Ve druhém případě se podle Miroslava Dvořáka dá použít přirovnání k plošné kulometné palbě. Hackeři to vyzkoušejí podobným způsobem na desetitisíce či statisíce cílů a budou čekat, „kdo se chytne“. V takových případech se sice nemohou těšit na výkupné v milionech dolarů, ale při dostatečném počtu obětí se i z mnohem menších částek složí obrovské sumy peněz.

Útočníkem pak nemusí být žádný vysoce specializovaný gang, dokonce ani nikdo, kdo se vyzná v počítačích. „Existují subjekty, které nabízejí poskytování škodlivého softwaru jako službu. Samy pak útoky neprovozují, jen prodají nástroje a útočit pak může kdokoli,“ popisuje Michal Salát z Avastu. Tyto „služby“ známé pod zkratkou RaaS (Ransomware as a service) významně rozšiřují okruh potenciálních útočníků.

 

Výběry v Ho Či Minově Městě

Specifickou formou kybernetických útoků pak jsou ataky vedené přímo na naše peněženky či bankovní účty.

Stalo se mi to před pár lety také. Odlétal jsem zrovna s manželkou z Prahy do Skotska, když se mi do letištní haly dovolala dáma z České spořitelny. „Potřebujeme si u vás ověřit, že nejste ve Vietnamu a nevybíráte z bankomatu v Ho Či Minově Městě,“ zaznělo do sluchátka. Odpověděl jsem, že nikoli, jsem právě na ruzyňském letišti a ano, chápu, že má platební karta byla zneužita a následně zablokována. Stal jsem se obětí takzvaného skimmingu. V mém případě se zločincům podařilo více rychlými výběry těsně po sobě vysát z účtu několik desítek tisíc korun. Kontrolní systém v bance to odhalil, zareagoval a výsledkem byl už zmíněný telefonát. Banka mi následně peníze na účet vrátila.

Skimming patří mezi dlouhodobě známé metody. Zločinci umístí na bankomat nenápadný „nástavec“, který okopíruje údaje z magnetického proužku karty, následně vytvoří její klon a mohou jej používat k výběru peněz či placení. V posledních letech to však podle Martina Zemana, šéfa risk managementu České spořitelny, mají zločinci, kteří provozují skimming platebních karet, o něco složitější. Jednak rychle přibývá bankomatů, kde lze kartu jen bezkontaktně přiložit a není třeba ji strkat dovnitř. A především karetní společnosti upřednostňují bezpečnější čipové technologie, takže ubývá míst, kde lze platit či vybírat kartou, která má jen údaje z magnetického pásku. Proto zločinci posílají takové údaje do regionů, kde ještě nejsou čipové technologie tak rozšířené, například Jižní či Severní Ameriky nebo některých asijských zemí. Tak ale zase stoupá pro banky šance na odhalení pokusů o neobvyklé transakce. Zjednodušeně řečeno, pokud někdo po celý rok používá kartu na výběry z bankomatu v Prachaticích a placení v tamním Lidlu, je pravděpodobnost, že by náhle skutečně potřeboval vybrat větší sumu v Buenos Aires, poměrně nízká.

„V bance běží hned dva systémy, které vyhodnocují jednotlivé transakce,“ říká Martin Zeman z České spořitelny. Ten první pracuje v reálném čase – musí posoudit transakci v době, kdy klient stojí u terminálu nebo bankomatu – a má na to asi dvě desetiny vteřiny. Pokud vyhodnotí transakci jako rizikovou, ta neproběhne, je zamítnuta ze strany banky. Protože to ovšem může mít velký dopad na klienta – představme si, že třeba platíte benzin někde v cizině a platba je zamítnuta – a čas na vyhodnocení je minimální, pracuje tento systém s jasně nastavenými scénáři a schématy. 

Druhý systém už je mnohem důkladnější, začíná běžet zhruba minutu až dvě po uskutečnění transakce. Prověří daleko více faktorů, a pokud transakci vyhodnotí jako nestandardní, vygeneruje varování a pošle jej operátorovi. „Operátoři pak tato varování dále zkoumají a mohou buď posoudit operaci jako bezproblémovou, nebo naopak vidí, že jde o jasný podvod, pak kartu ihned zablokují a teprve následně kontaktují klienta. Pokud si operátor není jistý vyhodnocením, kontaktuje klienta a probere s ním okolnosti transakce,“ popisuje Martin Zeman.

Banka takto nehlídá jen výběry z bankomatů či platby v kamenných obchodech, ale také transakce prostřednictvím karet na internetu. 

„S internetovými transakcemi je to z pohledu banky složitější. Podvodný e-shop nebo casino se ještě dá odhalit celkem snadno. Jenže například velké agregátory typu eBay nebo AliExpress, které sdružují tisíce e-shopů, vypadají směrem k nám jako jeden subjekt a nejsme schopni rozklíčovat to, co je uvnitř a komu konkrétnímu má náš klient platit,“ říká Martin Zeman s tím, že v těchto případech zpravidla nejde o velké sumy peněz, typicky spíše o desetikoruny a stokoruny než o tisíce. Zároveň ovšem spolu s celkovým rozvojem internetových obchodů a služeb roste podobně rychle i počet těch podvodných. „Zaznamenáváme každý rok nárůst zhruba o padesát procent,“ dodává.

 

Maruško, pošli peníze

Vedle karetních podvodů jsou pak další kategorií i pokusy zločinců o získání přístupu k penězům z bankovních účtů. Útočníci se buď v e-mailech nebo telefonátech snaží v klientovi vyvolat dojem, že komunikuje se svou bankou či jiným důvěryhodným subjektem, a vylákat z něj údaje o bankovním účtu nebo jej přimět k tomu, aby sám provedl nějakou transakci. Tyto takzvané phishingové útoky mají spoustu různých variant. Od primitivních mailů oznamujících údajné dědictví a žádajících o „správní poplatek“ až po velmi personalizovanou podobu, kdy se útočníci například nejprve nabourají do e-mailové schránky oběti a mohou tak vytvořit velmi pravděpodobně vypadající žádosti o platby. 

„Situací, kdy klient u těchto podvodů skutečně přijde o peníze, je naštěstí velice málo. V průměru jsou to jednotky případů za čtvrtletí. Ovšem pokusy o různé podvody registrujeme ve stovkách měsíčně, buď jim zabrání obezřetnost klienta, nebo monitorovací systém banky,“ říká Martin Zeman. 

V případě firemních účtů bývá poměrně častý pokus o takzvaný „false CEO/CFO fraud“, kdy se zločinci snaží v zaměstnanci, který je oprávněn zadávat bankovní příkazy, vyvolat dojem, že tak činí v souladu s přáním příslušného šéfa. Účetní pak třeba dostane zprávu z mailu svého nadřízeného, že je ředitel firmy právě v cizině, dojednává skvělý obchod, a proto je potřeba ještě dnes poslat zálohu na uvedený účet. Podobné manipulativní postupy kombinované se zneužitím komunikačních technologií používají zločinci všude a bývají prý až překvapivě účinné. Strach z nesplnění šéfova příkazu dovede potlačit opatrnost. 

 

Hackerem od devíti do pěti

Traduje se, že většina útoků v Česku má svůj původ v cizině. Pravděpodobně to tak bude, ale odkud útočníci skutečně pocházejí, lze zjistit jen obtížně. „Pokud bychom chtěli identifikovat konkrétního útočníka a jeho zemi, vyžadovalo by to rozsáhlou spolupráci policie, poskytovatelů internetového připojení a podobně. Jinak je vystopování útočníka velmi komplikované, pokud tedy neudělá nějakou chybu,“ říká Michal Salát z Avastu.

Určitou nápovědou o regionu, ze kterého útok přichází, pak může dávat čas, ve kterém proběhne. „Za útoky často stojí velké organizace, ať už kriminální, nebo státní, ve kterých se pracuje klasickým kancelářským stylem od devíti do pěti. A podle toho, kdy tu svou pracovní dobu mají, můžeme my odhadovat, kde, respektive v jakém časovém pásmu, a tedy pravděpodobné zemi či regionu sedí,“ říká Miroslav Dvořák z české pobočky Esetu. S Michalem Salátem se pak shodují na tom, že romantická představa osmnáctiletých hackerů v mikině s kapucí, jak ji známe z filmů, v drtivé většině neplatí. O potetované Lisbeth Salanderové ze světoznámé trilogie Milénium ani nemluvě.

Často se i na útocích, které přicházejí z ciziny, podílejí spolupracovníci z Česka. „Jazyková úroveň řady podvodných mailů a znalost místních reálií ukazuje, že by to bez spolupráce s místním prostředím prakticky nebylo možné,“ říká Martin Zeman z České spořitelny.

Všichni tři zmínění odborníci se pak shodují na tom, že se kybernetičtí zločinci neustále zdokonalují.

 

Základy digitální hygieny

Prvním krokem ke snížení rizika kybernetického útoku je podle expertů už to, že si ono riziko uvědomíme. „Můžeme mluvit o nějaké základní digitální hygieně. Základem je nepoužívat stejná hesla k různým službám, což dvojnásob platí u těch, na kterých nám záleží. Jistě, je to otravné, mít spoustu různých hesel. Ale dá se to řešit nějakým správcem hesel nebo si je zapsat třeba do notýsku a zamknout do šuplíku,“ říká Michal Salát a pokračuje: „Pokud něco vypadá podezřele, nebojte se zeptat. Lidé často mají ostych zavolat ve firmě do IT oddělení, aby ze sebe nedělali hlupáky. Já bych každému, kdo se zeptá, dal medaili. Výrazně tak snižuje riziko pro sebe či svého zaměstnavatele.“ Ještě více to prý platí ve chvíli, kdy má člověk pocit, že spustil něco, co spouštět neměl. Pokud to totiž skutečně byl nějaký škodlivý software, nejspíš se na to stejně přijde, ale už může být pozdě.

Pro firemní bezpečnost pak platí, že je potřeba mít nejen správné ochranné technologie, ale také dobře nastavené procesy ve firmě a zaměstnance, kteří je respektují. Odborně se tomu říká „redukce útočné plochy“, tedy snížení prostoru pro kybernetický útok. „Spousta firem si myslí, že jsou dobře chráněny. Až do prvního útoku. Pokud pak zjistí, že nikoli, výrazně na své ochraně zapracují,“ popisuje Miroslav Dvořák, jak v oblasti prevence funguje špatná zkušenost. 

Potíž je v tom, že ta zkušenost může být dost drahá. V Garminu by mohli vyprávět.

 

 

Reklama
Reklama
Reklama

Sdílení

Reklama

Podpořte nezávislou žurnalistiku

I díky Vám mohou vznikat finančně náročné texty a reportáže v magazínu Reportér.

200 Kč 500 Kč 1000 Kč Jiná částka

On-line platby zajišťuje nadace Via a její služba darujme.cz

Reklama
Reklama