Vytisknout celou knihuVytisknout celou knihu

Minimální úroveň kyber-sebeobrany

Stránky: DemoG
Kurz: Kurz kybernetické bezpečnosti
Kniha: Minimální úroveň kyber-sebeobrany
Vytiskl(a): Nepřihlášený host
Datum: Středa, 1. dubna 2026, 15.45

Obsah

1. Úvod

Největší nebezpečí je vždy na straně uživatele a kroků, které provede. Jinými slovy největší nebezpečí se nachází mezi klávesnicí a židlí. Cílem kyberútoků totiž není prvoplánově složitě nabourávat bezpečnostní systémy IS systémů. Naopak cílem je jít co nejjednodušší a nejúčinější cestou, tato cesta vede přes uživatele. Tato oblast se nazývá sociálním inženýrstvím.

V této knize si představíme problematiku nebezpečení a možné obrany v případě:

  • phisingového útoku,
  • spear-phisingového útoku,
  • ransomware,
  • vydírání.

2. Phishing

Nejčastější způsob, jak vylákat z uživatelů jejich hesla či jiné údaje, jsou podvodné e-maily, tzv. phishing. Na institucích různého zaměření, vč. institucí veřejné správy řeší desítky někdy i stovky útoků tohoto typu ročně. Scénář je vždy stejný, přijde Vám e-mail, ve kterém Vás nějaká autorita jako např. správa IT, personální oddělení nebo právní oddělení žádá, abyste vyřešili nějakou urgentní věc, např. možné zablokování e-mailové schránky. V e-mailu je odkaz na stránku, ve které se máte přihlásit svým zaměstnaneckým heslem.

Problém je v tom, že e-mail je podvržen a webová stránka, i když může vypadat podobně jako webová stránka vašeho zaměstnavatele, je ve skutečnosti ve vlastnictví útočníka.

Při cvičných phishingových testech v prostředí veřejné správy pravidelně podlíhá tomuto klamu více než 10 % uživatelů. Jedná se tedy o skutečný problém. Zkusíme Vám poradit, jak phishingové e-maily snadno poznat a rovnou smazat.

  • V tomto kontextu platí, že čeština je naštěstí složitý jazyk a útočníci v ní většinou nejsou příliš kovaní. Pokud e-mail začíná slovy „drahoušek uživatel“, máme ihned jasno. Prvním varovným impulsem by tak měl být kostrbatý jazyk zprávy. Ale pozor, automatické překladače se stále zlepšují a nelze vyloučit i tuzemské útočníky. Je tedy třeba pokračovat dál. Obsah zprávy bývá obtížně uvěřitelný. Opravdu mi někdo chce smazat e-mailovou schránku, opravdu mi bude zakázán přístup k SAP? Takové věci se běžně nedějí.
  • Dalším faktorem může být, že zpráva obsahuje časový nátlak. Útočník chce, abyste neměli čas o zprávě přemýšlet. Chce po Vás reakci do pár minut, do hodiny, do jednoho dne.
  • E-mailová adresa, ze které je zpráva poslána, byla často také ukradena někomu jinému. Jako odesílatelé phishingové zprávy tak vystupují mnohdy osoby ze zcela jiných organizací. To je další signál, ale i zde pozor, nemusí tomu tak být vždy. Adresu odesílatele e-mailu lze za jistých okolností celkem snadno podvrhnout.
  • Finálním a nejdůležitějším signálem však je, na jakou stránku Vás phishingový e-mail navádí. Nedbejte na to, jak stránka vypadá. Vždy si v adresním řádku prohlížeče ověřte, že stránka patří vašemu zaměstnavateli a je tedy ve správné doméně. Pozor si dávejte na přesnou textaci domény (např. očekávané @mvcr.cz lze snadno přehlédnout v případě @mucr.cz)

3. Spear-phishing

Zatímco o phishingu jste pravděpodobně už slyšeli, ve tvaru Spear-phising možná nikoli. V případě Spear-phisingu se jedná o útok, který je pečlivě plánován a cíleně mířen na konkrétní osobu. Útočník si nejen zajistí rodilého mluvčího, ale o daném uživateli si zjistí řadu dostupných informací, např. z webových stránek nebo sociálních sítí. Velmi uvěřitelnou formou se pak snaží uživatele přimět udělat nějaký chybný krok. Pro názornost uvedeme několik příkladů spear-phishingu. A věřte, i takovéto případy se ve veřejné správě dějí, resp. nejen ve veřené správně ale napříč všemi sektory.

Do kanceláře Vám zavolá někdo, kdo se představí jako IT pracovník vaší organizace. Máme problém s vaším počítačem, šíří se z něj masivně viry, ohrožuje celou síť a je potřeba to okamžitě řešit. Pracovník chce, abyste mu sdělili vaše heslo, on se na počítač vzdáleně připojí a problém opraví. Ale je to skutečně on?

Účetní dostane e-mail od svého vedoucího. Má okamžitě proplatit přiloženou fakturu. Je už po splatnosti a hrozí vysoké sankce. Ale tak se přece běžně nepostupuje, je ten e-mail opravdu od šéfa?

Referentce na studijní oddělení přijde od renomované počítačové firmy balíček: fleška v dárkovém balení. Fleška ale obsahuje virus a po zasunutí do počítače získá útočník kompletní přístup k počítači, včetně všech dat. Je normální, že firmy posílají referentkám dárky?

Zatímco phishing je relativně snadno rozpoznatelný, u tohoto typu útoků je obecně složitější rozpoznat, že se jedná o útok. Obecně lze poradit pouze ostražitost v případech, kdy se děje cokoli neobvyklého.

4. Ransomware

Slovo, ze kterého má obavy mnoho uživatelů. Do počítače se Vám dostane program, který zakóduje všechna Vaše data, na která dosáhne, a pak po Vás chce zaplatit výkupné v Bitcoinech. Buď může jít o individuální útok na počítač jednotlivce nebo o koordinovaný útok na servery a počítače v celé organizaci. Podle toho se pak vyvíjí výše výkupného, od tisícovek až po desítky milionů korun.

V některých případech se ransomware do počítače dostane bez zásahu uživatele skrze slabiny operačního systému. Proto jsme v předcházející kapitole tak zdůrazňovali pravidelné aktualizace. Na vniknutí tohoto viru do počítače se však ve většině případů aktivně podílí sám uživatel. Nejčastěji tím, že otevře zavirovanou přílohu nebo navštíví nebezpečné webové stránky. Mezi nebezpečné soubory patří například makra v souborech Word a Excel nebo i PDF dokumenty. Ransomware se také někdy může vydávat za běžné aktualizace programů nebo doplněk nutný k přehrání multimediálního obsahu. Jediný návod tedy je neotvírat neznámé přílohy od neznámých lidí, neinstalovat neznámé programy. Pokud Word či Excel požaduje spuštění maker, nepovolovat. A nechodit na weby, které jsou na dálku podezřelé.

Co dělat ve chvíli když už se to stane? Opět platí již řečené, a sice klíčem k úspěšnému zvládnutí ransomwarového útoku je existence záloh Vašich dat. Poté se s byť úspěšných útokem dokážete vyrovnat a nemusíte přistupovat na vydírací taktiky útočníků. V opačném případě budete muset řešit otázku, na kolik si svých dat ceníte a jestli zaplatíte výkupné nebo ne.

5. Vydírání

Častou technikou sociálního inženýrství, se kterou se lze setkat i v prostředí veřejné správy již tradičně, je finanční vydírání uživatele pod pohrůžkou zveřejnění jeho intimních fotografií nebo video záznamů.

Útočník tvrdí, že má plný přístup k Vašemu počítači, což dokládá například tím, že e-mail odeslal z Vaší e-mailové schránky. Pozor, ale ve skutečnosti to tak není. Adresa odesílatele e-mailu se dá relativně snadno zfalšovat. Pokud se Vám něco takového stane, nejprve se poraďte se specialisty z vašeho IT oddělení. Specialista je schopen poznat, jestli e-mail opravdu odešel z Vašeho účtu. Navíc pokud takovouto aktivitu hlásí větší množství uživatelů, lze usoudit, že se jedná o hromadný útok. Rozhodně nepanikařte a nic neplaťte.