Hackeři už neřeší šifrování, napadají přímo telefony: Tohle radí experti z USA

Nové hrozby, na které musíte reagovat

Kybernetičtí zločinci stále častěji využívají takzvané sociální inženýrství. To znamená, že se vás nesnaží napadnout technicky, ale psychologicky vás donutí, abyste jim sami otevřeli dveře do svého účtu. Typický příklad: Dostanete varování, že váš účet byl kompromitován. Ve skutečnosti jde o falešnou zprávu, která vás má vystrašit a přimět k nějakému ukvapenému kroku, který útočníkům pomůže.

Hackeři také zneužívají QR kódy. Když naskenujete škodlivý QR kód, můžete nechtěně propojit svůj účet s cizím zařízením. Útočník pak nepozorovaně čte všechny vaše zprávy, aniž by musel složitě lámat šifrování.

Jak zabezpečit Android

Majitelé Androidu mají trochu složitější situaci, protože ne všechny telefony jsou stejně bezpečné.

• Vybírejte telefony s dobrou bezpečnostní reputací - CISA doporučuje používat modely, které pravidelně dostávají bezpečnostní aktualizace. Ideálně každý měsíc a minimálně pět let od výroby. Google vede seznam doporučených zařízení pro firemní použití, kde najdete modely splňující vysoké bezpečnostní standardy.
• Ověřte šifrování v Google Zprávách - ujistěte se, že v aplikaci Google Zprávy je zapnuté end-to-end šifrování. Používejte službu RCS pouze když je šifrovaná.
• Nastavte bezpečné DNS - stejně jako u iPhonu můžete použít DNS servery Cloudflare, Google nebo Quad9 pro šifrované DNS dotazy.
• Zkontrolujte zabezpečené připojení - ověřte, že všechna připojení k webovým stránkám používají protokol HTTPS. Toto nastavení najdete v prohlížeči.
• Zapněte rozšířenou ochranu v prohlížeči Chrome - v prohlížeči Chrome aktivujte Vylepšenou ochranu pro bezpečné prohlížení. Chrání vás před škodlivými weby, phishingovými pokusy a nebezpečnými soubory ke stažení.
• Zkontrolujte Google Play Protect - tato funkce kontroluje aplikace, zda se nechovají podezřele. Hackeři se často snaží uživatele přimět, aby ji vypnuli. Pravidelně kontrolujte výsledky skenování.
• Omezte oprávnění aplikací - v Nastavení > Aplikace > Správce oprávnění můžete odebrat aplikacím nepotřebná oprávnění.
   

Jak nastavit iPhone pro maximální bezpečnost

CISA doporučuje majitelům iPhonů několik konkrétních kroků:

• Používejte režim uzamčení - je navržen tak, aby chránil zařízení před sofistikovanými kybernetickými útoky. Omezuje některé funkce telefonu, čímž snižuje „útočnou plochu“ pro potenciální hackery. Některé věci sice přestanou fungovat, ale zároveň se minimalizuje prostor pro útok hackerů. Najdete ho v Nastavení > Soukromí a zabezpečení.
• Vypněte SMS zálohu pro iMessage - když posíláte zprávu jinému uživateli Applu a nefunguje iMessage, telefon ji automaticky pošle jako běžnou SMS. To ale znamená, že zpráva není šifrovaná. Vypněte tuto funkci v Nastavení > Aplikace > Zprávy a deaktivujte možnost „Poslat jako textovou zprávu“.
• Využijte iCloud Soukromý přenos - pokud máte předplatné iCloud+, zapněte si Soukromý přenos (Private Relay). Tato služba maskuje vaši IP adresu a používá zabezpečené DNS, takže je těžší vás sledovat při prohlížení internetu.
• Alternativní DNS pro větší soukromí - pokud nechcete platit za iCloud+, můžete použít bezplatné šifrované DNS servery - například Cloudflare 1.1.1.1, Google 8.8.8.8 nebo Quad9 9.9.9.9.
• Zkontrolujte oprávnění aplikací - projděte si v Nastavení > Soukromí a zabezpečení, které aplikace mají přístup k vaší poloze, fotoaparátu, mikrofonu a dalším citlivým údajům. Odeberte oprávnění, která aplikace skutečně nepotřebují.

Obecná doporučení pro všechny telefony

Některé bezpečnostní kroky platí univerzálně bez ohledu na to, jaký telefon používáte.

• Používejte jen šifrované komunikační aplikace - Signal, WhatsApp nebo podobné aplikace s end-to-end šifrováním by měly být vaší jedinou volbou pro důležitou komunikaci.
• Zapomeňte na SMS autentizaci - dvoufázové ověření pomocí SMS je dnes již zastaralé a nebezpečné. Místo toho použijte FIDO klíče jako Yubico nebo Google Titan, přístupové klíče (passkeys) jsou přijatelná alternativa a pro méně důležité účty aspoň autentizační aplikaci.
• Nastavte správce hesel - CISA zmiňuje několik kvalitních správců hesel - Apple Passwords, 1Password, Google Password Manager, Dashlane, Keeper nebo Proton Pass. Tyto nástroje vás upozorní na slabá, opakovaná nebo uniknutá hesla.
• Nastavte PIN u mobilního operátora - požádejte svého operátora o nastavení PIN pro změny na vašem účtu. Sníží to riziko takzvaného SIM swappingu, kdy útočník přenese vaše číslo na svou SIM kartu.
• Pravidelně aktualizujte software - zapněte automatické aktualizace na telefonu. Bezpečnostní záplaty řeší známé zranitelnosti, které hackeři aktivně zneužívají.
• Kupujte nejnovější hardware - novější telefony mají lepší zabezpečení na úrovni hardwaru, včetně zabezpečených enkláv a hardwarových bezpečnostních modulů.

• Vyhněte se osobním VPN službám - zejména těm bezplatným. Podle CISA totiž jen přesouváte riziko od vašeho poskytovatele internetu k poskytovateli VPN, což může být ještě horší.
• Zapněte automatické mazání zpráv - většina šifrovaných aplikací umožňuje nastavit automatické mazání zpráv po určité době. U pracovních telefonů si ale nejdříve ověřte, zda to není v rozporu s firemními pravidly pro uchovávání záznamů.
• Neklikejte na podezřelé odkazy a QR kódy - pokud vás někdo zve do skupiny pomocí QR kódu nebo odkazu, ověřte si pravost pozvánky jiným komunikačním kanálem - například zavolejte tvůrci skupiny.
• Buďte obezřetní u bezpečnostních varování - zůstaňte skeptičtí k neočekávaným bezpečnostním upozorněním, i když vypadají, že pocházejí přímo z aplikace. Zejména pokud po vás žádají PIN kódy nebo jednorázová hesla.
• Kontrolujte propojená zařízení - v nastavení většiny komunikačních aplikací najdete seznam všech zařízení, na kterých jste přihlášeni. Pravidelně ho kontrolujte a okamžitě odeberte jakákoliv neznámá nebo nepotřebná zařízení. Hackeři totiž zneužívají právě tuto funkci k tichému odposlouchávání vašich konverzací.

Koho se tyto hrozby týkají

CISA uvádí, že cílem těchto sofistikovaných útoků jsou především vysoko postavení úředníci, političtí představitelé, vojáci a členové občanských organizací v USA, Evropě a na Blízkém východě. To ale neznamená, že běžní uživatelé jsou v bezpečí.

Nástroje, které dříve používaly jen státy, se dnes prodávají komerčně a jsou dostupné širšímu okruhu útočníků. Špionážní software dokáže číst celou historii chatů, zachytávat nahrávky a soubory, sledovat polohu, odchytávat hovory a proměnit telefon v komplexní sledovací zařízení. U některých útoků dokonce není potřeba, abyste na cokoli klikli. Pomocí speciálně připravených zpráv nebo mediálních souborů dokážou hackeři zneužít chyby v aplikacích nebo operačním systému a spustit škodlivý kód na pozadí. Takový útok je extrémně těžké odhalit.

Žádné opatření neodstraní všechna rizika úplně. Implementace těchto kroků ale výrazně zvyšuje ochranu vaší komunikace před státními hackery i komerčními kybernetickými žoldáky. CISA zdůrazňuje, že i když jsou tato doporučení primárně určena pro vysoce ohrožené jednotlivce, uplatnit je může kdokoli. V dnešní době, kdy je telefon naším hlavním komunikačním nástrojem a obsahuje citlivé osobní i pracovní informace, je čas věnovaný zabezpečení dobře investovaný.

Zdroj: CISA, Techspot, Cybernews