CZ 
 
www.SAMURAJ-cz.com 
30.11.2025 Ondřej VÍTEJTE V MÉM SVĚTĚ
 
 
Petr Bouška
SAMURAJ-cz.com
IT Manager OKsystem
Veeam Vanguard
View profile
An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
Account security at work and home

Bezpečnost účtů v práci i doma

| Petr Bouška - Samuraj |
Kybernetická bezpečnost je v dnešní digitální době stále důležitější. Je jedno, zda používáme pracovní (ve firemním prostředí) nebo soukromý (doma) účet. Útoky cílí na získání přístupu do našich účtů. Stručně shrneme tři aktuální oblasti. Jednou z nejčastějších hrozeb je Phishing, který se snaží vylákat citlivé údaje, obejít zabezpečení a získat neoprávněný přístup k našim účtům. Velkým nebezpečím je škodlivý kód označovaný jako Infostealer, který vykrádá informace z počítače. Jako první krok je důležité využívat bezpečné metody přihlášení (MFA).
zobrazeno: 2 868x (2 210 CZ, 658 EN) | Komentáře [3]

Pozn.: Článek je pouze stručným popisem dvou aktuálních způsobů, které zneužívají útočníci. Uvádí důležitost používat MFA metody pro přihlášení. Je určen běžným uživatelům.

Account security, authentication, phishing

Phishing - nenechme se nachytat

Phishing je bohužel stále jedním z nejčastějších způsobů, jak se útočníci snaží dostat k našim účtům nebo citlivým údajům. Týká se to nejen práce, ale i našeho soukromí - určitě nechceme, aby se někdo dostal do našeho internetového bankovnictví. Typicky přijde e-mailem nebo SMS zprávou, která se tváří, že je od důvěryhodného odesílatele. Cílem je přimět nás kliknout na škodlivý odkaz nebo otevřít přílohu. Jejich kvalita již dnes může být opravdu dokonalá.

Pozn.: Nezaměňujme Phishing a Spam. Spam je nevyžádaná reklama, Phishing je pokus o podvod.

Jak může fungovat útok pomocí Phishingu?

Dostaneme email s odkazem na falešnou stránku, která vypadá jako skutečná (např. přihlašovací stránka). Pokud tam zadáme své údaje, útočník je okamžitě použije k přihlášení do skutečné služby. Někdy nás stránka dokonce přesměruje na pravý web nebo zobrazí nějakou chybu a my si ničeho nevšimneme.

Tím útočník získá přihlašovací údaje nebo aktuálně přihlášenou session. Jde o útok typu Man-in-the-middle. Neochrání nás ani vícefaktorové ověření (MFA), pokud není odolné proti Phishingu. Útočník se přihlašuje za nás, takže pomocí MFA potvrdíme jeho přihlášení.

Při práci s elektronickou poštou musíme dávat pozor

  • neklikáme na podezřelé odkazy ani přílohy (nespěcháme a přemýšlíme)
  • zkontrolujeme adresu odesílatele - vypadá důvěryhodně?
  • nezasíláme citlivé informace emailem
  • používáme antivirovou kontrolu
  • ve firemním prostředí podezřelé emaily hlásíme, při nejistotě kontaktujme IT oddělení

Jak poznat nebezpečný e-mail

  • příliš dobré, aby to byla pravda - velmi výhodná nabídka, jako výhra v loterii, dědictví či zboží zdarma
  • pocit naléhavosti - snaha donutit uživatele, aby jednal bez přemýšlení, pokud je v emailu uvedeno, že musíme reagovat do pár minut (třeba, aby nedošlo ke smazání účtu), tak je to podezřelé
  • odkazy - pokud je v textu uveden odkaz, ale po najetí se zobrazí, že vede někam jinam (na jinou doménu), tak to může být podezřelé, pokud přijde informace, že si máme zkontrolovat nějaké údaje (například) v internetovém bankovnictví a je zde odkaz, tak bychom jej neměli použít, ale otevřít stránku banky ručně
  • přílohy - pokud je v e-mailu neočekávaná nebo nesmyslná příloha, je lepší ji neotvírat (na první pohled nemusí být poznat ani typ souboru), případně nejprve uložit a provést antivirovou kontrolu
  • odesílatel - neočekávaný odesílatel (či celá zpráva), neznámá osoba nebo známá osoba, ale jméno uvedeno podivně, to vše by mělo vést ke zvýšené pozornosti
  • požadavek na citlivé informace - žádná seriózní organizace nebude požadovat zaslání citlivých informací e-mailem (třeba číslo karty, heslo do bankovnictví)
  • podezřelá doména - doména v adrese odesílatele, nebo v odkaze, může vypadat oficiálně, ale pokud je v detailu chyba - překlep (třeba místo microsoft.com uvedeno microsof.com) nebo je podezřelá koncovka domény TLD (místo očekávaného .cz je .cn), tak je to jasný znak Phishingu
  • špatná gramatika - dříve byly škodlivé emaily často generované nebo překládané z jiného jazyka do češtiny, takže obsahovaly hodně chyb a obecně špatnou češtinu, v poslední době jsou často i nebezpečné zprávy psány dobrou češtinou

Infostealer - tichý zloděj dat

Stále více lidí se chrání pomocí MFA. Útočníci hledají jiné způsoby než ukradení nebo prolomení hesla. Jedním z nich jsou tzv. Infostealery. Jde o škodlivý software, podobně jako keylogger, který odesílá útočníkovi vše, co napíšeme. Infostealer sbírá citlivé informace z našeho počítače (přístupové údaje, cookies, dokumenty nebo obsah prohlížeče) a odesílá je útočníkovi. Infostealer malware je zde již dlouho, ale v posledních letech se začal využívat níže popsaným způsobem.

Jak útočník získá přístup do našeho účtu?

Při přihlášení ke službě se v prohlížeči vytvoří a uloží autentizační cookie, abychom se nemuseli ověřovat stále dokola. Infostealer může tyto cookies ukrást a poslat útočníkovi. Útočník vloží odcizenou cookie do svého prohlížeče. Server ověřuje pouze platnost cookie (která může být hodiny, dny i déle), tak se útočník stává přihlášeným uživatelem (pod naším účtem).

Obchází se MFA, protože bylo použito při získání cookies. V některých případech si může útočník přidat vlastní ověřovací metodu do našeho účtu. Tento útok se označuje jako Pass-the-Cookie.

Jak se k nám Infostealer dostane?

  • Infostealer se často šíří pomocí Phishingových emailů (jako příloha).
  • Skrze podvodné weby s malwarem (může na ně směrovat reklama na Google, Facebook).
  • V poslední době se jej útočníci snaží dostat do internetových prohlížečů. To může být s instalací nějakého veřejně dostupného doplňku / rozšíření.

Na co dát pozor

  • jaké weby navštěvujeme
  • na jaké odkazy klikáme
  • jaký software instalujeme do počítače (a to nejen celé aplikace, ale i doplňky apod)

Heslo nestačí - přihlašujme se bezpečněji

Přihlášení k účtům musíme co nejvíce zabezpečit. U každé služby je ideální mít jiné silné heslo (ta můžeme ukládat v ověřeném správci hesel). Ale ještě lepší je nepoužívat jen heslo (nebo vůbec heslo), ale zapnout si vícefaktorové ověření (MFA - Multi-Factor Authentication). Heslo totiž může někdo uhádnout, odchytit nebo prolomit.

MFA ověřovací metody

Existuje řada MFA metod, ale ne všechny jsou stejně bezpečné. Vždy je lepší používat nějakou MFA metodu než žádnou.

  • kód přes SMS - již se moc nedoporučuje, je snadno zneužitelný
  • OATH Token - ověřovací kód, který se pravidelně mění v aplikaci, je lepší volba, ale pořád to není ono
  • přihlášení bez hesla (Phone Sign-in) - pro Microsoft účty můžeme využít tuto metodu v rámci Microsoft Authenticator

Nejlepší MFA metody jsou ty, které se označují jako MFA odolné proti phishingu. Kontroluje se adresa, kde se přihlašujeme, a nedovolí využít na podvržené. Patří sem

  • FIDO2 security key
  • Windows Hello for Business
  • ověřování pomocí certifikátů

Osobně doporučuji využití (pokud to lze) Windows Hello for Business, které je jednoduché a bezpečné. Pracuje s Passkeys, stejně jako FIDO2 security key. Microsoft v rámci Entra ID již plně podporuje Passkeys v aplikaci Microsoft Authenticator.

Pozn.: Za určitých podmínek můžeme využít MFA i pro přihlášení přes RDP k firemnímu počítači - Remote Desktop - připojení ke vzdálené ploše.

Více informací

Autor:

Související články:

Bezpečnost

Nástroje zajišťující bezpečnost. Primárně Firewall a podobné.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře
  1. [1] Michal ZOBEC

    díky za pěkný článek, nejsem si jist jestli je užitečné v článku pro běžné uživatele doporučovat "Windows Hello for Business".

    taky si myslím, že by bylo vhodné některé použité termíny vysvětlit, protože přirovnání infostealeru ke keyloggeru mi připadne neužitečné, bez vysvětlení, co je keylogger.

    ale i tak považuji článek za velmi užitečný, protože mne donutil zamyslet se co mám případně špatně v prostředí pro osobní použití. :)

    Sobota, 12.04.2025 12:13 | odpovědět
  2. [2] Samuraj

    odpověď na [1]Michal ZOBEC: Díky. Ten článek jsem psal do firmy a chtěl jsem tam dát informaci, že na stejné věci je potřeba dávat pozor i doma. Snažil jsem se jej udělat co nejkratší (delší věci lidé vůbec nečtou) a nedávat tam moc technických věcí. Navíc to navazuje na jiné informace, které jsem dříve psal. Rozhodl jsem se to dát na svůj web, kde jsem to upravil a rozšířil, ale pořád jsem to chtěl udržet stručné.

    Já používám doma Windows Hello, které je sice méně bezpečné než Windows Hello for Business, ale myslím, že pořád lepší, než řada jiných metod. Ale celkově to bylo zaměřeno na firemní účty.

    Neděle, 13.04.2025 08:15 | odpovědět
  3. [3] Vencour

    Pořád mi přijde nej používat více fyzických zařízení. A vyhýbat se Windows a cloudu co to jde. Ohledně mailu i jiné podezřelé aktivity sledovat zdrojový kód, překopírovat text z mailu a ten řešit. Občas zapnout wireshark nebo proxy a sledovat co tam běhá.

    Pondělí, 14.04.2025 09:17 | odpovědět
Přidat komentář

Vložit tag: strong em link

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách