Stejné heslo a ukradená databáze

Tato situace je typická pro sextortion, jeden z druhů vydírání, které uplatňují kyberzločinci. Po pravdě, jedná se zpravidla o falešný důkaz, neboť heslo nebylo zcizeno z vašeho počítače, ale pochází z nějaké uloupené databáze. Co se stalo, než heslo doputovalo v emailu zpátky k vám?

Na začátku je průlom do informačního systému nějaké organizace nebo obchodníka, u kterého jste zaregistrováni a k jejímž službám potřebujete přistupovat autentizovaně (třeba, aby si e-shop rychleji načetl z databáze vaši adresu a třeba i kreditní kartu). Zpočátku se zdá, že se nic neděje, napadená organizace nebo obchodník buď o ničem neví, nebo si informaci ponechává pro sebe. Na internetu, tedy na hackerských fórech a na DarkWebu se však začínají objevovat informace, že je k mání nějaká databáze, že se povedl útok. Pokud tyto zdroje nesledujete, nemáte zpravidla tušení, že se něco stalo.

První signál, že by mohl být problém, přichází v okamžiku, kdy se napadená organizace rozhodne své uživatele či zákazníky informovat, že došlo ke kompromitaci databáze a buď Vám účet sama zresetuje nebo vás k tomu vyzve. Tady se dostávám k tomu stejnému heslu, praxe (a kyberzločinci to samozřejmě ví) je taková, že uživatelé používají stejná hesla ke všem svým účtům (a pokud mají jako přihlašovací jméno svůj email, tak ten používají zpravidla také stejný). Uživatel či zákazník v daném okamžiku obvykle změní své heslo k dotčené službě, ale otázka zní: Změní své heslo, (které je stejné) i k ostatním službám? Odpověď nechám na každém z nás.

Mezitím je zcizená databáze různě prodávána mezi kyberzločinci, spousta z nich vidí profit v čistém prodeji těchto informací a nijak s nimi nepracuje. Nakonec však databáze skončí u hackera, který s ní začne pracovat.

Prací rozumíme to, že začne zkoušet prolamovat hesla. V případě méně bezpečných systémů, jako je např. hash hesla pomocí MD5 (jedna, celkem nedávno v Česku ukradená databáze takhle držela hesla) je otázkou jen a pouze dostatečný výpočetní výkon a čas. Výkon je k dispozici (třeba těžaři kryptoměn mají celé farmy strojů zpracovávajících matematické úkoly) a čas je v takovém případě relativní veličina. Mimochodem, nemusí jít jen o skutečné matematické prolamování hashů, ale může jít i o prohledávání jiných dříve zcizených databází, které hesla třeba nechránily nebo již mají hesla prolomena (také se prodávají). Potom algoritmy hledají v zcizených databázích odpovídající páry emailových adres a hash hesel.

A jsme zase u toho, že všude stejné heslo, není dobrý nápad. Výtěžnost nebo úspěšnost je odhadována kolem 1 %, to číslo se může zdát malé, ale nezapomeňme, že se jedná o procento, často z miliónů záznamů. Procento z miliónu je deset tisíc. Ještě jednou deset tisíc.

Výsledek je následně dále prodáván nebo přímo použit kyberzločinci. Mohou se pokusit dostat do vašeho bankovnictví, e-mailu, k vašemu zaměstnavateli nebo jiným službám. Opravdu vše se dá zneužít a tak vyděrači mohou vytvořit cílený spearphishing e-mail, ve kterém vám prezentují vaše heslo.

Občas se setkávám s názorem, že stejně je to účet jen do nějakého e-shopu a tam o nic nejde, protože tam dotyčný(á) nemá uloženou kreditku. Připomenu tedy jeden příběh z kybernetického podsvětí :-). Nejmenovaný prodejce sportovního oblečení neměl zabezpečen e-shop a kyberzločinci zcizili jeho databázi. Po nějaké době (pár měsíců) začali zákazníci dostávat od daného e-shopu e-maily s nabídkou, získat zpět nějaké to procento z posledního nákupu jako promotion cash back služby. Zpráva obsahovala detailní informace o posledním nákupu zákazníka a stačilo jenom kliknou na vložený odkaz a vyplnit formulář pro vrácení finančního obnosu. Ano, samozřejmě se jednalo o podvrh, kdy podvodník dokonale využil získané informace, ale ruku na srdce, dokážeme ten podvrh vždy rozeznat a třeba takové lákavé nabídce odolat?

Co tedy dodat? Vzdělávejme své uživatele, protože pracují a používají přístupová hesla i do našich systémů, vysvětlujme jim, co je nebezpečné chování v prostředí internetu a čeho se mají vyvarovat. Přínos bude nejen pro nás, ale i pro ně.

Pokud nevíte, jak sestavit efektivní školící program, co byste měli udělat hned a co počká, jaký školící program je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká, za zeptání nic nedáte. :-) AUTOCONT ví jak.