Článek
Kybernetičtí piráti začali například ve velkém skupovat domény, které souvisí s nemocí Covid-19. Zatímco na konci loňského roku, kdy se začal koronavirus šířit, se registrovaly maximálně desítky domén týkajících se koronaviru, aktuálně se již počet registrací za týden přiblížil tisícovce.
Všechny registrace pochopitelně nepatří výhradně počítačovým pirátům, ale podstatná část z nich ano, jak potvrdila kyberbezpečnostní společnost Check Point. Útočníci totiž spoléhají na to, že lidé budou na internetu hledat co nejvíce informací týkajících se této nemoci, a že tedy prostřednictvím vyhledávačů, odkazů na sociálních sítích nebo v nevyžádaných e-mailech zabloudí i na jejich stránky.
Domény související s koronavirem se kupují ve velkém. Nelení ani kyberzločinci
Slibují exkluzivní informace
Důvěřivcům slíbí například exkluzivní informace o koronaviru. "Řada domén bude pravděpodobně použita pro phishingové útoky. Hackeři se budou snažit nalákat uživatele na diskuze o viru, na prodej roušek a obličejových masek, vakcíny nebo domácí testy na detekci viru," konstatoval Peter Kovalčík, bezpečnostní výzkumník Check Pointu.
„Příkladem takové webové stránky je vaccinecovid-19\.com. Poprvé byla vytvořena 11. února 2020 a byla zaregistrována v Rusku. Web nabízí prodej ‚nejlepšího a nejrychlejšího testu na detekci koronaviru za fantastickou cenu 19 000 ruských rublů (téměř 7000 Kč)‘,“ popsal bezpečnostní expert.
Místo exkluzivních informací ale bude na podvodném webu čekat na návštěvníky škodlivý kód. Tímto způsobem se například v uplynulých týdnech šířil trojský kůň Emotet. Ten otevíral útočníkům zadní vrátka do napadeného stroje, aby do něj mohli propašovat další nezvané návštěvníky.
Obezřetnost je tedy rozhodně namístě i ve světě internetu. V nadcházejících dnech totiž snahy hackerů, jak uživatele v souvislosti s koronavirem napálit, rozhodně neopadnou.
Hackeři se zaměřili na videohovory, varovali bezpečnostní experti
Nebezpečný virus
Bezpečnostní experti z antivirové společnosti Sophos zase odhalili nový typ e-mailového spamového podvodu, který zneužívá paniky lidí okolo koronaviru. Útočníci v něm nabízí dokument, který údajně obsahuje seznam opatření proti infekci, ve skutečnosti tak ale šíří trojského koně Trickbot.
Trickbot přitom není žádná nová hrozba. Tento trojský kůň se objevil již ve spamových kampaních v loňském roce, kdy útočníci pod různými záminkami rozesílali zfalšovaný excelový soubor. Po jeho otevření se stáhne Trickbot do počítače oběti, šíří ho napříč sítí a sbírá bankovní informace a snaží se také ukrást daňové dokumenty, které by bylo možné dále zneužít.
Nyní tedy pouze kyberzločinci převlékli Trickbota do nového kabátu, jak zjistili členové týmu SophosLabs. „Kyberútočníci stojící za malwarem Trickbot jsou pravděpodobně zkušení a využívají současné obavy, aby vystrašili lidi, kteří pak kliknou na přiložený dokument,“ prohlásil Patrick Müller, Senior Channel Account Executive pro Českou republiku a Slovensko ve společnosti Sophos.
SPECIÁL: COVID-19 | Vše o nákaze, rady a tipy, jaké jsou příznaky
Obavy promění v příležitost
Podle něj aktuální kampaň cílí především na Italy. „Přestože jde v současné době o Itálii, můžeme podobný útok očekávat také v dalších zemích, kde panují velké obavy z ohnisek viru Covid-19,“ zdůraznil Müller.
„Nejlepším způsobem, jak se tomuto typu útoků vyhnout, je vypnout makra, dávat si velký pozor, na co klikáte, a mazat e-maily, které vypadají podezřele nebo pocházejí z neznámého zdroje,“ konstatoval bezpečnostní expert.
„Kdykoli se objeví nějaké veřejně zajímavé téma, jako je Covid-19 nebo požáry v Austrálii, vidíme, že se kyberzločinci snaží proměnit naše obavy ve svoji příležitost. Musíme zůstat ostražití a v dobách krize nedůvěřovat příchozí komunikaci a akceptovat jen rady od veřejných zdravotnických institucí,“ uzavřel Müller.
Slibují lidem exkluzivní informace, ale místo toho je oškubou. Přesně tímto způsobem útočí nechvalně známý bankovní trojan Ginp, který je schopný vložit falešný text do schránky běžné SMS aplikace. Poté, co se trojský kůň stáhne do zařízení oběti, dostane příkaz otevřít internetovou stránku s názvem „Vyhledávač koronaviru“ (Coronavirus Finder). Na displeji se následně zobrazí upozornění, že se v okolí uživatele pohybují lidé nakažení tímto virem.
„Aby se uživatel dozvěděl, kde přesně se nacházejí, musí zaplatit 75 centů. Pokud uživatel souhlasí, stránka ho přesměruje na platební bránu, kde zadá své platební údaje. Poté se ale nestane už nic – peníze nejsou z účtu strženy a uživatel se ani nedozví o pohybu údajně nakažených lidí. Místo toho ale údaje o kreditní nebo platební kartě putují přímo do rukou hackerů,“ upozornil bezpečnostní odborník ze společnosti Kaspersky Alexander Eremin s tím, že lidé touto cestou snadno přijdou o peníze.
Ginp je podle něj trojský kůň, který se neustále zdokonaluje a získává nové schopnosti. „V minulosti se zaměřoval především na uživatele ze Španělska, ale název současné verze dává tušit, že útočníci budou útočit i na cíle z jiných zemí,“ varoval bezpečnostní expert.
Nezvaný návštěvník se zaměřuje na zařízení s operačním systémem od Googlu. „Doporučujeme proto všem uživatelům Androidů, aby byli v tuto chvíli obzvláště ostražití a vyskakovací okna, podezřelé internetové stránky nebo nečekané zprávy týkající se koronaviru přijímali s opatrností,“ komentoval Eremin.
Nejen spekulanti snažící se vydělat nabízejí na internetu roušky. Bezpečnostní experti z antivirové společnosti Eset zachytili hned několik falešných e-shopů v českém jazyce, které zneužívají obav lidí z koronaviru. Důvěřivci však místo získání roušek přijdou o osobní údaje.
Především v nevyžádaných e-mailech je tak možné narazit na nabídky roušek či například dezinfekčních gelů, které směřují právě na falešné e-shopy. Útočníci se logicky soustřeďují na sortiment, který je v lékárnách nedostatkový.
Jejich motivace je nasnadě, o peníze tentokrát vůbec nejde. „Tyto weby se snaží odcizit osobní údaje lidí, kteří si chtějí ochranné pomůcky objednat,“ vysvětlil Ondrej Kubovič, specialista na digitální bezpečnost z Esetu.
„Jejich tvůrci přitom zjevně ovládají češtinu, stránky totiž neobsahují překlepy ani zjevný strojový překlad. Obě podvodné stránky jsou takřka identické a zachytili jsme je ve stejné podobě i na Slovensku,“ konstatoval Kubovič.
Aby podvodné e-shopy získaly na důvěryhodnosti, doplňují je o falešné recenze uživatelů z celé republiky. Podle společnosti Eset kontaktní formulář na doposud objevených stránkách pouze odešle osobní údaje útočníkům. Podobná data totiž mají na černém trhu cenu zlata, útočníkům značně usnadňují zcizení totožnosti apod.
S nadmírou reklamy se mohou setkat tuzemští uživatelé na svých chytrých telefonech. Českým internetem totiž hojně kolují škodlivé aplikace, jejichž hlavním úkolem je právě zobrazování reklamy. Za to pak kyberzločinci inkasují peníze.
Právě adware – tedy škodlivé programy zobrazující reklamu – představovaly v minulém měsíci nejčastější hrozbu pro chytré telefony a počítačové tablety s operačním systémem Android. Konkrétně šlo o škodlivé kódy z rodiny Hiddad.
„V České republice stojí adware Hiddad přibližně za pětinou detekcí. Jednotlivé verze rodiny nejsou tak výrazné. Typický scénář vypadá tak, že útočník si zakoupí zdrojový kód Hiddadu na dark webu. Kód si pak upraví a vytvoří vlastní variantu, kterou pomocí spamu rozšíří mezi uživatele. My pak detekujeme desítky variant jedné rodiny,“ vysvětlil Martin Jirkal, vedoucí analytického oddělení v pražské pobočce firmy Eset.
Podle něj malware z rodiny Hiddad zobrazuje reklamu skrytým způsobem, uživatel tak není schopen určit, odkud přichází a jak se jí zbavit. „Pro uživatele výrazně snižuje komfort při užívání napadeného zařízení, byť další riziko samotný adware nepředstavuje,“ konstatoval Jirkal.
Druhým nejběžnějším rizikem byl v minulém měsíci backdooor Qysly. Tento malware dokáže pro útočníky získat osobní údaje, zašifrovat telefon, což umožní žádat po majiteli dat výkupné nebo instalovat další reklamní malware.
Počítačovým pirátům se podařilo propašovat do oficiálního obchodu Google Play desítky zavirovaných aplikací. Výzkumný tým Check Point Research jich dohromady identifikoval 56, dohromady si přitom tyto nebezpečné programy stáhlo více než milion lidí. Cílem útočníků bylo v tomto případě infikovat co největší počet zařízení a využít je k podvodům s mobilními reklamami.
V aplikacích se ukrýval nezvaný návštěvník Tekya, který využívá mechanismus „MotionEvent“. To v podstatě znamená, že napodobuje aktivity uživatele a kliká na reklamy a bannery od organizací, jako jsou Google AdMob, AppLovin', Facebook a Unity.
„V rámci této kampaně byly klonovány oblíbené aplikace. 24 infikovaných aplikací bylo zaměřeno na děti (od logických her až po závodní), zbytek tvořily užitečné aplikace, například kuchařky, kalkulačky, překladače a podobně,“ uvedl Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.
Podle něj si touto cestou mohli hackeři přijít na stovky tisíc dolarů za den, tedy miliony korun. „Navíc vzhledem ke schopnosti malwaru napodobovat uživatele a klikat na různé odkazy by útočníci v budoucnu mohli celkem snadno pozměnit kód malwaru Tekya a využít ho k ještě nebezpečnějším útokům," zdůraznil bezpečnostní expert.
Dobrou zprávou podle něj je, že všechny infikované aplikace již byly z Google Play odstraněny. Pokud je ale lidé mají stále nainstalované na svých chytrých telefonech a v počítačových tabletech, mohou je počítačoví piráti zneužívat na dálku.
Velmi často se mohou v poslední době objevovat na sociálních sítích, podvodných webech nebo v nevyžádaných e-mailech nabídky mobilů zadarmo pod hlavičkou operátorů. Podvodníci tvrdí, že daný poskytovatel připojení – nejčastěji O2, T-Mobile nebo Vodafone – slaví výročí. A lidé v rámci soutěže mohou získat prémiové telefony a další hodnotné dárky zadarmo.
Po pár klicích v údajné soutěži na uživatele vyskočí další okno, ve kterém si může vybrat odměnu. Aby útočníci důvěřivce co nejvíce nalákali, celou řadu „výher“ mají označenou jako vyprodanou. Zpravidla je ale možné vybírat mezi prémiovými smartphony od Samsungu či Applu.
Podvodníci tvrdí, že lidé budou platit pouze cenu poštovného. Vyplnit je však nutné své kompletní údaje včetně adresy a telefonního čísla. Následně pak odeslat platbu ve výši 38 Kč na účet, který útočníci uvedou.
Útočníci si tak mohou snadno založit na jméno podvedeného důvěřivce bankovní účet, přes který mohou prát špinavé peníze nebo si klidně vzít nějakou půjčku.
Nejlepší samozřejmě je, pokud uživatelé na podobné výzvy vůbec nereagují. Pokud ale lidé již sednou útočníkům na lep, je nutné následně jednat co nejrychleji. Bezprostředně by se měli obrátit na policii a informovat ji o celém podvodu.
Nutné je také kontaktovat banku, na kterou platba odešla. Uživatelé jednoduše zjistí, o jaký ústav jde, podle kódu na konci čísla účtu. Na infolince dané banky uživatelé mohou podle svého jména a telefonního čísla ověřit, zda bez jejich vědomí nebyl založen nějaký účet či zda není evidována nějaká půjčka.