Zodpověděli jsme nejčastější otázky z kybersvěta, ať se už nikdy neproklikneš do maléru.
Platím v e-shopu, který po mně chce zadat číslo karty včetně CVC kódu. Je bezpečné tyto údaje zadat?
Obecně platí, že zadávání údajů z platební karty, včetně CVC kódu, je choulostivé a je potřeba být obezřetný. Nejbezpečnější je využít platební služby jako Google Pay nebo Apple Pay, kde se obchodník nikdy nedozví číslo tvé karty. Pokud ale obchod tuto možnost nenabízí a požaduje zadání čísla karty přímo, je důležité si uvědomit s tím spojená rizika.
Pokud používáš jednorázovou platební kartu, která generuje nové číslo pro každou transakci, nemusíš se obávat. Pokud tuto možnost nemáš, doporučuji nastavit v bankovnictví nízký limit pro internetové platby a podle potřeby ho dočasně navýšit pro konkrétní platbu. Nízký limit je obecně dobré mít nastavený pro všechny online platby, protože to omezuje potenciální škody v případě zneužití.
Další možností je založit si u své banky druhý účet určený výhradně pro internetové platby a na tento účet si před platbou vždy převést pouze částku, kterou plánuješ zaplatit.
Ani jedna z těchto metod tě však neochrání před situací, kdy na podezřelém e-shopu zadáš údaje a peníze odejdou, ale zboží ti už nepřijde. Tyto postupy tě pouze chrání před tím, aby někdo nevyužil údaje z tvé karty k dalším podvodným transakcím. Než zadáš své platební údaje, nezapomeň vždy provést kontrolu důvěryhodnosti e-shopu, například podle recenzí od ostatních zákazníků.
A pokud se přeci jen staneš obětí podvodného e-shopu, podej u své banky žádost o reklamaci platby! Pravděpodobnost, že ti banka vrátí peníze zpět, je poměrně vysoká.
Jsem v hotelu, signál operátora je pouze EDGE a je prakticky nepoužitelný, ale je tu místní Wi-Fi, bez hesla. Jaké mám možnosti?
Pro běžné úkoly, jako je zjišťování počasí nebo plánování výletů, je použití veřejné Wi-Fi v pořádku. Nicméně pokud se chceš přihlásit ke službám, které vyžadují zadání citlivých údajů (např. bankovní účty, e-mail, sociální sítě nebo firemní VPN), může to představovat riziko.
Je důležité si uvědomit, že veřejná Wi-Fi síť je riziková, ať už má heslo, nebo ne. Pokud je heslo volně přístupné (například na jídelním lístku, na stole nebo na dveřích pokoje), je situace prakticky stejná, jako kdyby žádné heslo nebylo.
Podrobnosti včetně doporučených opatření najdeš zde.
Jaká rizika mohou nastat při připojení k naší firemní síti TTC prostřednictvím mobilního telefonu?
Pokud se připojuješ ke guest síti, neexistuje velké riziko pro tebe ani pro firmu. Guest síť je návštěvnická síť, která je oddělená od interní sítě a slouží pro přístup hostů nebo pro zařízení, která nemají schválený přístup do firemní sítě.
Na druhou stranu, pokud by ses připojil/a k interní síti a tvůj telefon byl infikovaný malwarem, mohl by se malware dostat do firemní sítě. To by mohlo způsobit ohrožení citlivých dat nebo narušit bezpečnostní infrastrukturu. Z tohoto důvodu je připojování osobních zařízení, včetně mobilů, do interní sítě bez schválení IT oddělením zakázáno.
Právě k těmto účelům je určena guest síť, která zajišťuje základní připojení k internetu bez přístupu k interním firemním systémům.
Podrobné informace o guest síti jsme popsali zde.
Jsem do firmy připojen/a přes VPN, ale zároveň je můj notebook připojen k veřejné Wi-Fi. Jaká jsou rizika?
Platí to samé jako u předchozí otázky. Pokud se jedná o nedůvěryhodnou síť, může být komunikace monitorována, odposlouchávána, a případně i modifikována. Z nedůvěryhodných sítí se do firemní VPN nepřipojuj.
Když zákazníkovi potřebuji poslat velký soubor a použiji k tomu Dropbox, jaká jsou rizika?
Pro sdílení velkých firemních souborů vždy používej firemní OneDrive! Dropbox a jakákoliv jiná soukromá úložiště, včetně soukromého OneDrive, jsou pro ukládání firemních dat zakázána.
Hlavním rizikem je, že data uložená v soukromých cloudových úložištích mohou uniknout, mohou být zveřejněna nebo zneužita. Pokud používáš soukromé cloudové úložiště, firemní IT oddělení o tomto úniku nebude vědět, a tudíž nebude moci odpovídajícím způsobem reagovat. Za škodu způsobenou únikem dat budeš zodpovědný/á ty.
Firemní data patří do firemního cloudu nejen z důvodu právních předpisů a vnitropodnikových směrnic, ale také kvůli lepší ochraně dat a řízení přístupů.
Jak správně sdílet soubor se zákazníkem?
1. Klikni pravým tlačítkem myši na soubor.
2. Vyber možnost Sdílet.
3. Stiskni ikonu ozubeného kolečka (nastavení).
4. Vyber možnost Kdokoliv.
5. Vygenerovaný odkaz pošli zákazníkovi. Tento odkaz se po maximálně 3 dnech automaticky deaktivuje.
Má smysl procházet adresář SPAM, zda tam nespadlo něco důležitého? Co když při tom otevřu něco nebezpečného?
Ano, občas se může stát, že legitimní pošta omylem spadne do složky SPAM. Pokud očekáváš důležitý e-mail, který nedorazil, má smysl složku SPAM zkontrolovat. Měj ale na paměti, že nebezpečný e-mail může být nejen ve SPAMu, ale i v doručené poště.
Samotné otevírání e-mailů obvykle nepředstavuje riziko. Pokud ale klikneš na neznámý odkaz nebo otevřeš přílohu, může dojít k útoku. Proto buď velmi opatrný/á a dbej na to, aby ses vyhnul/a klikání na odkazy nebo otevírání příloh v podezřelých e-mailech.
Podívej se také na toto video, po kterém budeš expertem na to, jak rozpoznat falešné e-maily!
Když dostanu e-mail s vloženým odkazem, mohu jej nějak ověřit, aniž bych na něj klikl/a?
Kontrola odkazu je klíčová pro ochranu před phishingovými útoky! Zde je několik způsobů, jak to provést:
a) Najetí myší na odkaz (bez kliknutí): Když na odkaz najedeš myší (neklikáš), většina e-mailových klientů ti zobrazí skutečnou URL v dolní části obrazovky. Na mobilním zařízení stačí dlouze podržet odkaz. Pokud se text odkazu (např. tvabanka.cz) liší od skutečného odkazu (např. www.tvabanka-podvod.cz), jedná se pravděpodobně o podvod.
b) Kontrola domény: Pečlivě si prohlédni hlavní doménu (např. amazon.com). Podvodné weby často používají podobné názvy (např. amaz0n.com nebo security-amazon.com).
c) Zkopírování a vložení odkazu do bezpečnostních nástrojů: Pokud si nejsi jistý/á, můžeš zkopírovat odkaz a vložit ho do nástrojů pro kontrolu URL, jako je VirusTotal. Tento nástroj zkontroluje, zda je stránka bezpečná.
Nástroj umožňuje i kontrolu souborů, tam ovšem pozor na nahrávání potenciálně citlivých dat. Vše, co tam nahrajete, bude přístupné i ostatním!
d) Pozor na zkracovače adres (bit.ly): Zkrácené adresy maskují skutečný cíl odkazu. Můžeš použít nástroj, jako je CheckShortURL, který ti ukáže skutečný cíl zkráceného odkazu.
e) Pokud máš podezření na falešný e-mail, nejlepší je ho ignorovat. Pokud je však zpráva důležitá, ověř si legitimnost u odesílatele jiným způsobem (telefonicky). U firemních e-mailů je vždy vhodné kontaktovat IT oddělení.
Když dostanu e-mail s přílohou, má smysl ji uložit, prověřit antivirem a pak otevřít?
Stahování podezřelých příloh je vždy rizikové. Pokud ti příloha připadá podezřelá, nedoporučujeme ji stahovat a nejlépe ověřit u odesílatele (např. telefonicky).
Většina poskytovatelů e-mailu (např. Microsoft, Google) prověřuje e-maily a jejich přílohy již před doručením.
Pokud používáš e-mailový klient, pravděpodobně ti tvůj antivir skenuje přílohy doručované do schránky. Tím pádem jejich opětovné stahování a prověřování nemá smysl.
Je nějaký konkrétní antivir doporučený pro mobilní telefon?
Obecně lze říci, že pro mobilní telefon je možné použít jakýkoliv z prověřených antivirových programů. Pokud nemáš žádný k dispozici, můžeš využít firemní licenci antiviru ESET. Případně se pro podrobnější konzultaci obrať na bezpečnostní tým.
Co kromě antiviru bychom měli mít nainstalováno nebo nastaveno v mobilním telefonu?
Kromě antiviru je naprostou nezbytností pravidelná aktualizace zařízení. Aktualizace operačního systému a aplikací obsahují důležité bezpečnostní záplaty, které chrání tvůj telefon před novými hrozbami.
Dalším důležitým krokem je mít zapnuté šifrování dat. V případě ztráty nebo krádeže zařízení šifrování zajistí, že neautorizované osoby nebudou moci získat a zneužít tvá data. Většina novějších telefonů má šifrování zapnuté automaticky, takže není potřeba nic manuálně nastavovat.
Pro vyšší bezpečnost a komfort doporučujeme používat biometrické ověřování jako je otisk prstu nebo rozpoznání obličeje, což ti umožní rychlé a bezpečné odemykání telefonu.
Mnoho antivirových programů, jako je ESET, nabízí kromě ochrany proti malwaru také další užitečné funkce, které stojí za to využít. Např.:
- Anti-theft funkce: Umožňuje lokalizaci zařízení v případě ztráty nebo krádeže, a dokonce vzdálené vymazání dat.
- Blokování podvodných volání: Chrání tě před nechtěnými nebo škodlivými hovory.
- Ochrana citlivých aplikací otiskem prstu: Umožňuje zamknout specifické aplikace a odemknout je pouze pomocí biometrických údajů.
Proč je nutné mít silné heslo do online služeb, když už jsou chráněné proti brute-force útokům pomocí prodlev mezi pokusy a zablokováním účtu po několika neúspěšných přihlášeních?
I když jsou online služby chráněné proti brute-force útokům pomocí prodlev a zablokování účtu, existují techniky, jak tyto ochrany obejít. Například metoda password spraying znamená, že útočník zkouší stejné slabé heslo na velké množství účtů (místo opakovaných pokusů na jednom účtu), což je obtížnější detekovat. Útočníci obvykle testují slabá nebo uniklá hesla po delší dobu a často používají různé IP adresy, aby se vyhnuli blokaci.
Dále, pokud útočník získá databázi hesel, nemá je obvykle v čitelné podobě, ale jako tzv. hash (otisk hesla). Při snaze získat původní heslo z tohoto hash kódu nejsou uplatňovány žádné limity na počet pokusů. Pokud je heslo krátké nebo jednoduché, útočník může rychleji rozlousknout hash a získat původní heslo.
Co když ztratím druhý faktor? Bojím se, že ztratím přístup do mého účtu kompletně.
Nemusíš se bát, většina služeb nabízí způsob, jak obnovit přístup i v případě, že ztratíš druhý faktor (např. telefon). Je ale třeba si předem zajistit některou z těchto možností:
1. Nouzové kódy: Při registraci druhého faktoru většina služeb zobrazí nouzové kódy, které si můžeš uložit na bezpečné místo. Tyto kódy můžeš použít k přihlášení do účtu, pokud ztratíš přístup k druhému faktoru, a následně nastavit 2FA znovu.
2. Zálohování ověřovací aplikace: V některých případech je možné druhý faktor z ověřovací aplikace zálohovat. Například u Google Authenticatoru můžeš vygenerovat QR kód, který si uložíš na bezpečné místo a v případě potřeby ho použiješ pro obnovení aplikace na novém zařízení.
U firemních účtů ti druhý faktor v případě problémů resetuje na požádání IT oddělení.
Je bezpečné, pokud kliknu na podvodný odkaz, ale následně na falešné stránce nevyplním žádné přihlašovací údaje? Znamená to, že útočník nezíská žádné informace a situace je v pořádku?
Pokud jsi po kliknutí zjistil, že stránka je podvodná, ale nezadal jsi své přihlašovací údaje, je to dobrá zpráva. Nicméně i samotné kliknutí na podvodný odkaz může představovat bezpečnostní riziko. Stránka útočníka může využít zranitelnosti tvého prohlížeče a získat citlivé informace, jako jsou uložená hesla nebo platební údaje.
V krajních případech může stránka dokonce nainstalovat malware, který by útočníkovi umožnil získat kontrolu nad tvým zařízením. Proto je důležité být opatrný/á při klikání na podezřelé odkazy, i když na stránce přímo nezadáš žádné údaje.
Nastav si svou osobní kyber bezpečnost!
Budeme rádi, když nám dáš vědět, co z toho pro tebe byla novinka a jestli se ti podařilo zvládnout nastavit vše bez problémů.
A pokud ti něco z toho není jasné a potřebuješ k tomu více informací, neváhej se obrátit na našeho kyberšerifa Dana Válu.
