Aktuálně:
Schmarcz: Krutá a absurdní ekonomika války: Rusko přes všechny sankce vydělává na ropě a plynu více, než před agresí
Důvěra na prvním místě: Co si říkají páry, které si opravdu věří?
Co pro spotřebitele znamená obrat v úrokových sazbách v USA? 
Španělská obrana v pasti: Embargo na Izrael a výzva za 2 miliardy dolarů
Dánové stupňují boj proti byrokracii EU
Big Mac mluví jasně: Euro je vůči dolaru nadhodnoceno o 15 %
Akcie Alibaby prudce vzrostly poté, co získala významného zákazníka pro své čipy s umělou inteligencí
EU plánuje další sankce proti Číně. Bude to Trumpovi stačit?
Čína: Největší přehrada na světě. Komu vadí a koho ohrožuje?
Trumpův půlrok: Amerika na prvním místě, svět v nejistotě
EU versus Francie: Recyklace jako překážka jednotného trhu?
BYD brzdí v Maďarsku: Proč čínský gigant odkládá výrobu elektromobilů?
Německo dostalo zelenou proinvestovat miliardy EUR
Jak funguje inflace?
Francie vzkazuje Bruselu: S Trumpem přestaňte hrát mile!
Schmarcz: Kam se poděli národohospodáři? Strany nemají ani ponětí, co by chtěly dělat s ekonomikou a vlastně ani nevědí proč
Čína versus EU: Hrozba odvetných opatření před klíčovým summitem

Více než tisíc ukradených hesel bylo volně přístupných na internetu

09.02.2021, Autor: Z blogosféry

0 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 5
Více než tisíc ukradených hesel bylo volně přístupných na internetu

Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil ve spolupráci s výzkumníky ze společnosti Otorio rozsáhlou phishingovou kampaň.


Útočníci nechtěně nechali přes tisíc odcizených přihlašovacích údajů veřejně přístupných na internetu.
Phishingová kampaň začala v srpnu loňského roku a využívala e-maily, které se vydávaly za oznámení od Xeroxu (nebo Xerosu). E-maily se snažily nalákat uživatele k otevření škodlivé HTML přílohy pod záminkou zobrazení naskenovaných souborů. Zajímavé je, že škodlivému HTML souboru se podařilo maskovat a vyhnout odhalení antivirovými programy i bezpečnostními mechanismy Microsoft Office 365 Advanced Threat Protection. Útočníkům se podařilo ukradnout více než tisíc přihlašovacích údajů, které ukládali na speciálních webových stránkách. Google ovšem při indexování internetu zaindexoval i tyto webové stránky, takže se k odcizeným datům mohl dostat kdokoli. Stačilo jednoduše vygooglit některou z ukradených e‑mailových adres a bylo možné se dostat i k ukradeným heslům, což značně zvyšovalo riziko dalších útoků.
Podvod byl také průběžně vylepšován, aby působil co nejvěrohodněji a zvýšila se šance, že oběti poskytnou své přihlašovací údaje.

Zdroj: Check Point Software Technologies

Analýza útoku

  1. Útočníci nejdříve rozeslali potenciálním obětem phishingové e-maily se škodlivým HTML souborem.
  2. Jakmile uživatel klikl na HTML soubor, zobrazila se přihlašovací stránka napodobující značku Xerox.
  3. Hesla a e-mailové adresy obětí byly odeslané a uložené v textovém souboru na speciálním serveru.
  4. Zatímco hackeři kradli informace, Google průběžně indexoval textové soubory po celém internetu, takže zaindexoval a zpřístupnil i ukradená data na serverech útočníků.

Zdroj: Check Point Software Technologies

„Uživatelé se často domnívají, že když někdo ukradne hesla, v nejhorším případě s nimi budou hackeři obchodovat na dark netu. Ale v tomto případě byly odcizené informace volně přístupné veřejnosti a mohl je tak zneužít kdokoli. Jednalo se o jasné selhání útočníků, kvůli kterému byl tento útok ještě nebezpečnější než obvykle,“ říká Peter Kovalčík, Regional Director, Security Engineering EE v kyberbezpečnostní společnosti Check Point.
Bezpečnostní tipy pro ochranu před phishingem:

  1. U každé zprávy zkontrolujte, kdo ji posílá. Kdo nebo co je zdrojem zprávy? Dávejte pozor na překlepy nebo rozdíly v e-mailové adrese odesílatele.
  2. Všímejte si detailů. Pokud budete pozorní, můžete odhalit řadu věcí, které signalizují phishing. Jedná se například o špatné formátování, pravopisné a gramatické chyby, včetně názvů domén, a obecné pozdravy jako „vážený uživateli“ nebo „drahý zákazníku“. Ujistěte se také, že odkazy začínají https:// a nikoli http://. A nikdy nedůvěřujte podezřelým zprávám a dejte si pozor na napodobeniny známých webů.
  3. Ujistěte se, že odkaz, na který chcete kliknout, vede skutečně na legitimní web. Neklikejte na odkazy v e-mailech a najděte si raději vše prostřednictvím nějakého vyhledávače, jako jsou Google nebo Seznam. Následně klikněte až na odkaz na stránce s výsledky vyhledávání.
  4. Neodkládejte aktualizace. V mobilním telefonu i počítači používejte vždy nejnovější verze softwaru. Nové verze mají totiž opravené chyby a záplatované zranitelnosti. Použití zastaralého softwaru může hackerům umožnit, aby se dostali k vašim osobním informacím.
  5. Nenechte se zmanipulovat tónem e-mailu. Techniky sociálního inženýrství se snaží zneužívat lidskou přirozenost. Lidé častěji udělají chybu, když spěchají nebo se snaží plnit zdánlivě důležité příkazy. Phishingové útoky běžně používají tyto techniky k přesvědčení obětí, aby ignorovaly jakékoli podezření a klikly na odkaz nebo otevřely přílohu.
  6. Nikdy nevěřte příliš dobrým nabídkám, jako jsou například „Exkluzivní lék na koronavirus za 150 dolarů“ nebo „osmdesát procentní sleva na nový iPhone“.
  7. Nikdy nesdílejte své přihlašovací údaje a nepoužívejte stejná hesla. Řada lidí používá stejná uživatelská jména a hesla napříč různými účty, takže krádež přihlašovacích údajů k jednomu účtu pravděpodobně poskytne útočníkům přístup k dalším online službám.
  8. Důležitým prvním krokem k ochraně je pochopení taktik hackerů a rizik souvisejících s phishingovými útoky. Moderní phishingové kampaně jsou ale sofistikované a je pravděpodobné, že řada lidí podvod nepozná. Důležité je proto používat i bezpečnostní řešení na ochranu koncových bodů a e-mailů a pokročilé anti-phishingové řešení.

Foto: pixabay.com
Zdroj: Check Point Software Technologies

Sdílet
Hodnotit
1 Star2 Stars3 Stars4 Stars5 Stars
Z blogosféry

Autor článku

Z blogosféry

Předchozí článek V roce 2021 pozvolna porostou úrokové sazby hypoték a sníží se odhadní ceny nemovitostí
Další článek Recenze novely zákona o volbách do Parlamentu ČR

Doporučujeme

Digitální euro na obzoru: ECB chystá revoluci v platbách

Digitální euro na obzoru: ECB chystá revoluci v platbách

28.08.2025, Autor: red

Evropská centrální banka (ECB) se blíží k rozhodujícímu momentu ve vývoji digitálního eura, digitální formy hotovosti, která má doplnit klasické bankovky a mince. V srpnu  finišuje přípravná fáze projektu, jenž slibuje revoluci v platbách, ale zároveň vyvolává otázky o soukromí, bezpečnosti a dopadech na bankovní sektor. Jaké šance a rizika přináší tato novinka pro nás v Česku, i když nejsme členy eurozóny?

Euro versus dolar: Jak stablecoiny pomáhají digitální dominanci dolaru

Euro versus dolar: Jak stablecoiny pomáhají digitální dominanci dolaru

13.08.2025, Autor: Josef Neštický

Když Christine Lagarde hovoří o „momentu eura,“ má na mysli ambiciózní plán posílit pozici evropské měny v digitálním světě. Jenže stablecoiny navázané na americký dolar, jako Tether či USD Coin, se staly nepřítelem číslo jedna. S tržní kapitalizací přes 240 miliard USD hrozí, že evropské naděje na konkurenci s dolarem zůstanou jen na papíře.

Thomson Reuters na vzestupu díky umělé inteligenci

Thomson Reuters na vzestupu díky umělé inteligenci

09.08.2025, Autor: Marek Hájek

Thomson Reuters hlásí za druhé čtvrtletí 2025 tržby 1,79 miliardy dolarů, což je meziroční nárůst z 1,74 miliardy USD. Klíčovým motorem růstu se stává umělá inteligence, která už tvoří 22 % základní smluvní hodnoty firmy.

Google investuje do vzdělání v oblasti AI miliardu dolarů

Google investuje do vzdělání v oblasti AI miliardu dolarů

08.08.2025, Autor: red

Google oznámil investici jedné miliardy dolarů do vzdělávání v oblasti umělé inteligence na amerických univerzitách. Tento krok slibuje revoluci v přístupu studentů k technologiím, ale zároveň vyvolává otázky o budoucnosti akademické integrity a rovnosti.

Ukrajina je 5. nejdigitálnější zemí světa. ČR až na 59. místě

Ukrajina je 5. nejdigitálnější zemí světa. ČR až na 59. místě

04.08.2025, Autor: red

Ukrajina se řadí mezi nejdigitálnější země světa, a to i přes probíhající válečný konflikt. Jak je možné, že země pod palbou raket buduje digitální infrastrukturu? Od aplikace Diia, kterou používá přes 21 milionů lidí, až po IT sektor jako pilíř ekonomiky.

Byznys z opravování umělé inteligence

Byznys z opravování umělé inteligence

16.07.2025, Autor: Vojtěch Benda

Díky nadšení pro umělou inteligenci mnoho lidí zapomíná, jaká má omezení. Netýká se to jen špatně vypadajících obrázků nebo nepovedených domácích úkolů. Některé firmy spoléhají na AI bez pochopení toho, co je realisticky možné očekávat. Přehnaná důvěra v programy jako ChatGPT se může velmi nevyplatit.

Apple pod tlakem EU: Nová pravidla App Storu mění hru pro vývojáře

Apple pod tlakem EU: Nová pravidla App Storu mění hru pro vývojáře

06.07.2025, Autor: Jaromír Muchka

Apple mění pravidla svého App Storu v Evropské unii, aby vyhověl přísným antimonopolním nařízením. Nová struktura poplatků a větší volnost pro vývojáře však vyvolávají otázky – je to skutečný krok ke spravedlivější konkurenci, nebo jen další chytrý tah technologického giganta?

Konec vyhledávání, jak jej známe

Konec vyhledávání, jak jej známe

21.06.2025, Autor: Vojtěch Benda

„Zeptej se ChatuGPT,“ tam, kde dříve byla výzva k použití Googlu, může dnes zaznít tato věta. Lidé se staví k AI různě a mají různá využití pro nový multifunkční nástroj. Někteří jí využívají jako vyhledávač například místo zavedeného Googlu. Ten, možná v reakci na konkurenci, nyní zavedl podobnou funkci přímo na svou úvodní stránku.