Digitální šmejdi, co se teď rojí v Česku, jsou fakt neodbytní. Aktuálně tu máme masivní vlnu podvodů přes WhatsApp, SMS a maily, která lidem luxuje konta i identity.
A hned to nejdůležitější: Zapomeňte na Matrix. Tady se nekoná žádné složité hackování serverů přes terminál. Tady se prostě čeká, až uděláte chybu vy. Jak se říká, pro hloupého každý hloupý, a útočníci na to spoléhají.
Jak tenhle „exploit“ na lidi funguje? Scénář je v podstatě pořád stejný copy-paste: Přistane vám zpráva od někoho, koho máte v kontaktech (protože už ho předtím „hackli“). Uvnitř je odkaz na nějaké hlasování, soutěž nebo balík, co prý někde visí. Kliknete a vybalí se na vás stránka, která vypadá úplně jako originál – ať už je to WhatsApp Web, pošta nebo banka. A tady přichází ten „commit“: Buď tam nasázíte svoje údaje, nebo – a to je teď hit – naskenujete QR kód. Jenže ten QR kód neslouží k přihlášení vás, ale k tomu, aby se útočníkův počítač spároval s vaším účtem. V ten moment má útočník váš WhatsApp v kapse a může si tam číst i psát, co se mu zlíbí.
Co má útočník v logu? Kompletní přístup k vašim chatům. Možnost psát vaším jménem a tahat z vašich známých peníze. Přístup k různým ověřovacím kódům, co vám chodí přímo do zpráv.
Odrazový můstek pro další útoky na vaše okolí.
Důležité info pro váš klid: Útočník vám nesežral celý telefon. Nevidí do vašich fotek, neovládá foťák ani jiné aplikace. Má „jen“ ten WhatsApp – ale věřte mi, že i s tím dokáže nadělat víc škody než hladový bug v produkci.
Proč na to lidi skáčou?
Je to čisté sociální inženýrství. Zpráva od kamaráda budí důvěru a ten falešný web vypadá až mrazivě autenticky. Lidi zkrátka nečtou URL adresy a pod tlakem nebo v emocích dělají chyby. Žádné CVE (oficiální zranitelnost) na to nehledejte. WhatsApp i Android jsou v tomhle nevinně. Útočník zkrátka nehledá díru v systému, ale díru v lidské pozornosti. A jak víme, chybami se člověk učí, ale v IT to občas dost bolí.
Jak si udržet firewall v hlavě?
Nikdy neskenujte QR kódy, které vám někdo pošle v odkazu. Tečka. WhatsApp Web si otevírejte sami na adrese web.whatsapp.com. Občas v nastavení WhatsAppu koukněte na „Propojená zařízení“. Pokud tam vidíte něco cizího, okamžitě to odpojte. Zapněte si dvoufázové ověření (PIN). Je to ta nejlepší obrana, co můžete mít.
Když po vás někdo chce peníze, prostě mu zavolejte. Dvakrát měř, jednou řež platí v IT dvojnásob.
Útočník vás neovládne tím, že naskenujete QR kód. Ovládne vás tím, že vás k tomu naskenování ukecá. Nenechte se opít rohlíkem a hlídejte si své přístupy!
Pokud jste často v presu, dost pomůže antivirový program s ochranou proti Phishingu. Ten vám podvodnou stránku ani nedovolí navštívit. Třeba ESET od Pažouta ;-)