V digitálním prostředí čelí firmy i jednotlivci sofistikovaným metodám kyberkriminality. Útoky na počítače a mobilní zařízení jsou dnes běžnou praxí, přičemž cílem jsou nejčastěji bankovní účty, osobní identita nebo citlivá data. Základním pilířem bezpečnosti je prevence. Porozumění mechanismům, které útočníci používají, výrazně snižuje riziko, že se stanete další obětí. Bezpečné chování na internetu je nezbytností pro každého – od soukromých osob až po majitele firem.
Znalost základních triků útočníků je vaší nejlepší obranou. Nejčastější kybernetické útoky dnes jsou:
- Bankovní podvody: Sofistikované útoky na vaše finance.
- Krádeže identity: Zneužití vašich osobních údajů v digitálním prostoru.
- Úniky citlivých dat: Ohrožení soukromí i firemního know-how.
V předešlém článku bylo vysvětleno, že zatímco technologie se v průběhu času mění, vzorce lidského chování a podstata manipulace zůstávají stejné. Principy, které podvodníci a manipulátoři úspěšně využívali v uplynulých staletích, jim fungují i dnes. Navíc v neprospěch svých obětí zneužívají i moderní počítačovou techniku a internet.
Počítačová ochrana: Na co přesně si dávat pozor?
Je to jako s pašováním šifrovaných dokumentů v pivní zátce v kauze Marie Stuartovny v předešlém článku. Marie Stuartovna se utvrzovala v naivním dojmu, že je vše zabezpečeno. Pokud šlo o běžné anglické obyvatelstvo 16. století, to samozřejmě o ničem nevědělo a ani by v případě náhodného nálezu nedokázalo číst šifry. Podvodníci ale věděli vše.
Paralela s online komunikací v 21. století? Zabezpečení naší online komunikace není ani tak kvůli běžnému obyvatelstvu, ale kvůli jednotlivcům z řad podvodníků a hackerů.
- Kvůli nim byste měli průběžně kontrolovat aktualizace softwaru v počítači i v mobilu.
- Používat dvou faktorovu autentizaci pro bezpečnější přihlašování – to znamená, že do svého účtu se dostanete, jen když současně zadáte heslo a potvrdíte kód v mobilu, který je k účtu přiřazen.
- Na internetu se připojujete pouze k serverům, které mají v adrese https://
- Vždycky platí, že než budete někam zadávat své údaje nebo platbu, nejprve se ujistěte, že adresa webu odpovídá deklarovanému webu.
- Na veřejných Wi-Fi sítích se buď vůbec nepřipojujte k poště a osobním účtům nebo si nastavte VPN zabezpečení.
- V emailech neotevírejte žádnou přílohu, která není ze spolehlivého zdroje.
- Když vám někde nečekaně dojde baterie, resp. energie v mobilu, odborníci doporučují si mobil nenabíjet přes veřejně dostupné USB nabíječky. Je to zbytečně rizikové.
Sebevědomí před podvodníky neochrání
Možná si ale říkáte: Já bych se určitě nachytat nenechal. Vůbec nechápu, jak může někdo takovému neznámému podvodníkovi naletět. Cizímu člověku bych nikdy svůj PIN kód nedal, nikomu bych do zahraničí žádné peníze neposílal, i kdyby mi slibovali jakýkoli výnos.
Zajímavé je, že podobně sebevědomě se k situaci stavěla i Marie Stuartovna (viz předešlý článek). Případ, který ji přivedl před soud totiž nebyl prvním okamžikem, kdy se s šifrováním a pašovanou korespondencí setkala. Ve skutečnosti měla dlouhodobý zvyk používat šifrované dopisy pro tajnou komunikaci během celých 19 let věznění, což ji paradoxně činilo zranitelnější vůči tajným spolupracovníkům sira Walsinghama.
V únoru 2023 zveřejnil tým kryptologů objev a dekódování 57 šifrovaných dopisů Marie Stuartovny, nalezených v Bibliothèque nationale de France v Paříži. Šlo o dopisy psané mezi lety 1578–1584, tedy ještě předtím, než se na Marii zaměřil Walsingham v rámci Babingtonova spiknutí. A zajímavé bylo, že tyto dopisy byly psány v homofonní šifře se 191 symboly – tedy každé písmeno mělo více variant pro obtížnost prolomení. To je docela sofistikované šifrování.
Dlouhodobá praxe zvyšovala Mariino sebevědomí a snižovala její obezřetnost. Přestala si dávat pozor. Byla to kombinace zoufalství a falešného pocitu bezpečí. Uvěřila své nezranitelnosti dokonce do té míry, že místo v jinotajích se se ve svých dopisech začala vyjadřovat úplně otevřeně.
Bylo to jako by si profesionální počítačový expert nebo ministerský úředník sedl někde ve vlaku či v kavárně, připojil se k nezabezpečené Wi-Fi a začal tam řešit ty své supertajné pracovní záležitosti.
Marie přitom dobře věděla, že špioni anglického království nejsou v oblasti šifrování žádní amatéři. To podtrhuje varovný prvek celého příběhu:
Skutečnost, že někdo zná různé „tajné“ metody, nezabrání tomu, aby ho někdo jiný nezmanipuloval.
Oslepení důvěrou v „bezpečnou“ komunikaci
Kauza Marie Stuartovny je tak učebnicovým příkladem situace, že technologie (šifra) může být sebekvalitnější, ale pokud selže lidský faktor nebo procesy kolem, je celá ochrana k ničemu.
Podvodník se snaží různými formami manipulace, přesvědčování a citového nátlaku získat důvěrné údaje. Působí na to, co je nejméně chráněné, a to jsou emoce, obavy, touhy, které jsou spolehlivým spouštěčem pro zbrklost, nesoustředěnost a zkratkovité jednání.
V kauze Marie Stuartovny se „nejslabší článek“ projevil v několika rovinách:
1. Přílišná důvěra v „bezpečný kanál“
Marie žila v izolaci a zoufale toužila po komunikaci se svými příznivci. Když se objevila nová možnost pašování dopisů, nekriticky uvěřila v její absolutní bezpečnost. Nedocházelo jí, že celý tento „bezpečný kanál“ vymyslel a nastražil sám Walsingham.
Dnešní paralela: Je to jako když vám v seznamce nebo přes WhatsApp někdo napíše, že pro vás má „bezpečný a diskrétní způsob“, jak převést peníze nebo sdílet citlivá data. Uživatel v nouzi nebo pod tlakem často přestane být ostražitý.
2. Falešná identita
Marie bláhově věřila tomu, že každý je tím, za koho se vydává. Kolem ní se to přitom hemžilo dvojitými agenty.
Dnešní paralela: Deklarovaná online identita nemusí být skutečná. Krásná žena z Floridy, která potřebuje vaše peníze, je většinou ošklivý chlap na druhém konci světa.
3. Sociální inženýrství (manipulace oběti)
To byl nejsilnější Walsinghamův tah. On nechtěl Marii jen odposlouchávat, on ji chtěl od začátku dotlačit k chybě, aby ji pak mohl poslat před hrdelní soud.Do některých odeslaných dopisů nechal dokonce některé pasáže dopisovat. Třeba dovětek žádající Mariiny příznivce, aby uvedli konkrétní jména osob, které budou do spiknutí zapojeny.
Dnešní paralela: Klasický phishing, smishing, vishing. Útočník vám pošle zprávu, která vypadá jako by byla od vaší banky nebo od vašeho kolegy, a vyvolá ve vás pocit, že musíte odpovědět nebo kliknout na odkaz. Marie „na podvodný odkaz klikla“ tím, že reagovala na korespondenci, která přicházela zvenčí.
4. Některá důležitá hesla se vyplatí nedávat nikomu
Marie své dopisy nešifrovala sama. Měla na to své tajemníky. Ti znali šifrovací klíče i obsah zpráv. Když byli zatčeni a bylo jim pohrozeno mučením (nebo jim bylo slíbeno mírnější zacházení), tajemníci potvrdili pravost dopisů a pomohli vyšetřovatelům s interpretací.
Dnešní paralela: I když máte data v cloudu zašifrovaná, jsou mimo váš počítač. Nejslabším článkem je cizí administrátor s přístupovými právy nebo zaměstnanec, který může podlehnou nátlaku či úplatku. Rozumný člověk si do cloudu nikdy nebude ukládat hesla ani jiné supertajné informace. Uvážlivý člověk nikdy nebude svým kolegům říkat, jaké má heslo do počítače.
5. Špatná údržba hesel
Marie Stuartovna používala podobné principy šifrování dlouhá léta. Walsinghamovi lidé měli dostatek času studovat její zvyklosti. Místo aby na hradě Chartley pro novou situaci vybrala nějakou složitější šifrovací metodu, zvolila tu nejprimitivnější.
Dnešní paralela: Triviální nebo univerzální hesla typu 1234, nebo zdvojený rok narození 19991999 apod. A samozřejmě stejné heslo do všech účtů a po mnoho let ho neměnit…
Shrnutí pro 21. století
Nejslabším článkem nebyly technologie, ale:
- Potřeba Marie komunikovat za každou cenu (emoční zranitelnost).
- Důvěra v prostředníka, který nebyl prověřený.
- Neschopnost rozpoznat podvrženou informaci.
- Naivní důvěra v „tajný“ kanál.
Případ Marie Stuartovny ukazuje, jak slabé ‚bezpečnostní postupy‘ v jakékoli době umožňují manipulátorům ovlivňovat vaše jednání. Walsingham nevyhrál díky tomu, že by byl lepší matematik a krypto specialista, ale díky tomu, že byl lepší psycholog a stratég. To je přesně to, co dělají moderní podvodníci a hackeři – většinou neútočí na váš firewall, ale na vaši zvědavost, strach nebo nepozornost.
Pokud nechcete mít vykradený bankovní účet, zavirovaný počítač a oči pro pláč, buďte maximálně obezřetní.