V letošním roce zaznamenal Národní úřad pro kybernetickou bezpečnost (NÚKIB) rekordní počet takzvaných DDoS útoků, kterými hackeři zahltili servery různých tuzemských institucí. Útokům se nevyhnula policie, Vězeňská služba ani ministerstvo vnitra či spravedlnosti.
Pokusy o infiltraci do interních systémů společností jsou podle šéfa české e-mailingové platformy Mailkit Jakuba Olexy stále sofistikovanější. Někdy zaberou útočníkům i měsíce práce.
„Nedávno jsme řešili případ, kdy útočníci dokonale napodobili mailovou korespondenci šéfa společnosti a finančního ředitele, ve které měl finanční ředitel potvrdit požadavek svého šéfa na proplacení faktury v hodnotě stovek tisíc eur,“ popisuje Olexa.
K firemní komunikaci se útočníci dostali skrze spear phishing, což je cílený phishingový útok. K úniku financí nedošlo podle Olexy jen proto, že spolu zrovna ve chvíli doručení zdánlivě neškodného e-mailu šéf a finanční ředitel telefonovali.
„Šéf firmy se velmi divil, protože žádný dokument při hovoru neposílal. Stačilo málo a peníze by byly nenávratně pryč,“ říká Olexa.
Nejdražší hack v historii
Podobnými případy se zabývá také bezpečnostní analytik Jakub Onderka. Zmiňuje mimo jiné fakt, že v bezpečí nejsou kromě e-mailu ani všechny další chatovací aplikace. „K phishingu využívají útočníci SMS zprávy, Messenger, Telegram, WhatsApp, nebo také Marketplace,“ vyjmenovává Onderka a zmiňuje příklad zřejmě nejdražšího hacku v historii.
Saúdský korunní princ Muhammad bin Salmán měl v roce 2020 podle informací tajných služeb hacknout telefon majitele Amazonu a jednoho z nejbohatších lidí světa Jeffa Bezose. „Princ se mu údajně dostal do aplikace WhatsApp ve které viděl jeho zprávy s milenkou, na základě kterých měl Bezose vydírat,“ přibližuje Onderka.
Aféra měla vést k Bezosovu rozvodu. Po něm se z jeho exmanželky stala čtvrtá nejbohatší žena na světě.
K „napíchnutí“ Bezosova telefonu měl korunní princ použít velmi jednoduchou techniku. Poslal mu přes WhatsApp odkaz na zábavné video, na které Bezos klikl. „Stát se to může každému z nás, odkazů nebo GIFů se denně posílá obrovské množství. Nejlepší obranou proti takovým praktikám je aktualizovat si všechna svá digitální zařízení. Mobily, laptopy, prostě vše, co používám,“ dodává Onderka.
Hesla už nejsou potřeba
Podle expertů jsou takové útoky cílené, takzvaný spear phishing je již pokročilou verzí klasického phishingu, který lidé znají a mnohokrát se s ním setkali. Při spear phishingu si útočník dopředu získá veškeré dostupné informace o cílové skupině či jednotlivci a vytvoří phishingovou zprávu přesně na míru.
„Pořád se setkáváme s tím, že si klienti nezabezpečí svoje domény proti zneužití a pak se diví, když najednou mají zaplavenou schránku stovkami až desetitisíci oznámení o nedoručení, což je jen potvrzení toho, že jejich e-mailová adresa byla zneužita pro rozesílku nějakého nevyžádaného nebo dokonce škodlivého obsahu,“ potvrzuje Pavel Pola, šéf poradenské společnosti Etnetera Activate.
4. dubna 2023 |
Rozstřel
Sledovat další díly na iDNES.tvZneužít e-mailovou adresu je podle něj extrémně jednoduché, vůbec není potřeba znát heslo, stačí prostě poslat e-mail, kde v adrese odesílatele bude adresa zneužitého uživatele. „Pro i jen lehce zkušeného ajťáka je to otázka na pár minut práce,“ doplňuje Pola.
K nárůstů takových útoků pomáhá kyberzločincům také umělá inteligence (Artificial intelligence, zkráceně AI, pozn. red.) a její jazykové modely včetně nejznámějšího ChatGPT. Potvrzuje to také Natalia Duarte ze společnosti Spamhaus, která se věnuje aktivitám souvisejícím se spamem.
„Strojové učení používáme již řadu let, nepoužíváme však generativní AI typu ChatGPT. Vidíme však, že AI používají ti, kteří jsou uvedeni v našich datových sadách, k vytváření takzvaných žádostí o odstranění z databáze (zdrojů se špatnou pověstí, pozn. red.),“ přibližuje Duarte.
ChatGPT v mobilechLetos v březnu byl představen pokročilejší model umělé inteligence GPT-4. Ten má být schopen poskytovat bezpečnější a užitečnější odpovědi a připravit půdu pro šíření technologií podobných lidem. ChatGPT si v Česku nově mohou stáhnout ve formě aplikace také uživatelé iPhonů, verze pro Android se stále vyvíjí. Za ChatGPT stojí start-up OpenAI, který financuje společnost Microsoft. |
Její tým nedávno obdržel žádost jasně napsanou ChatGPT. „Bohužel pro ně je obsah generovaný umělou inteligencí velmi snadno rozpoznatelný, protože obsahuje mnoho technických chyb,“ říká Duarte a dodává, že typickým příkladem, kde Chat GPT pomáhá v kyberzločinu, je právě e-mailový phishing.
AI dělá chyby. Kdy bude dokonalá?
Podle Martina Vastla, freelancera v oblasti kyberbezpečnosti, se budou AI jazykové modely v budoucnu jen zlepšovat. „Do jejich tréninku se nalévají miliony dolarů, díky zvětšování objemu dat se učí například i překládat,“ říká Vastl.
Odborník zároveň varuje před limity současných jazykových modelů, které ne vždy odpovídají na dotazy uživatelů pravdivě a mnohdy „halucinují“ tedy vymýšlí si odpovědi. „Počet halucinací se zmenšuje, v nejnovějším modelu Chat GPT by to mělo být už jen kolem jednoho procenta odpovědí,“ konstatuje Vastl.
Mezi známé příklady halucinací uvádí Vastl případ z USA, kde se musel advokát omlouvat u soudu za uvedení falešných citací, které mu vygenerovala AI. Jako problém vidí také možnou regulaci těchto modelů v různých částech světa. „Co vadí v Evropské unii, v Číně vadit nebude, může to být i konkurenční nevýhoda v byznysu,“ vysvětluje Vastl.
Vítá vás digitální akademie
S řešením zvýšeného počtu kyberútoků chce pomoci americká společnost Google, která ve spolupráci s tuzemskou neziskovou organizací Czechitas spouští v Česku nový školicí program pro kyberexpertky.
„Stále sledujeme poptávku na pracovním trhu v IT. Aktuálně v rámci Digitální akademie vzděláváme ženy v testingu, datové analytice a webovém vývoji. To jsou pozice, které jsou stále velmi žádané, ale začali jsme intenzivně vnímat i zájem po pracovnících, kteří rozumí kyberbezpečnosti. Proto jsme neváhali a připravili kurzy pro ženy v této oblasti,“ říká zakladatelka Czechitas Dita Formánková.
Do programu, jenž se otevře letos na podzim, se mohou přihlásit ženy, které mají už nějaké základní vstupní znalosti sítí a operačních systémů. Czechitas otevírají devítiměsíční kurz pro 25 zájemkyň, které na jeho konci získají certifikát.
„Po jeho absolvování by ženy mohly nastoupit na juniorní pozice jako například SOC (Security Operations Center, pozn. red.) analytička nebo bezpečnostní inženýrka,“ vyjmenovává Formánková.
Zájemci se mohou přihlásit také k online kurzu pro školení kyberexpertů od společnosti Google. Ten je pro omezený počet pěti set zájemců bez rozdílu pohlaví zdarma. „Je to bezpochyby dobrý první krok, do budoucna ale budeme expertů potřebovat daleko více,“ uzavírá Formánková.
13. května 2023 |