Děláte všechno správně. Neklikáte na divné odkazy, neodpovídáte na e-maily nigerijských princů, používáte silná hesla, a kde to jde, tak i dvoufaktorovou autentizaci. Svou digitální stopu máte pod kontrolou a jste na sebe právem hrdí. Jenže…
Stačilo, že jste před rokem dali své telefonní číslo někomu, kdo si vás uložil jako „Petr V. – bezpečák Tovek“. Jeho dítě si pak do jeho telefonu stáhlo „bezplatnou“ hru obsahující malware typu infostealer. Během vteřiny putoval celý jeho telefonní seznam na dark web. Vaše údaje jsou teď součástí balíčku na prodej za pár dolarů. A vy o tom nemáte tušení. Ano, zjednodušil jsem to, ale v principu to takto opravdu funguje.
Když o vás vědí víc, než byste chtěli
Problém však není pouze v tom, že unikne vaše telefonní číslo propojené s vaším jménem. Podle toho, jak si vás vaši kolegové a známí ukládají v telefonu, získávají útočníci i další velice cenný kontext. Viděli jste již někdy podobně uložené kontakty?
- „Petr Bezpečák“ – prozrazuje vaši profesní specializaci
- „Brouček“ – odhaluje možný intimní vztah, i ten utajovaný
- „Ganja Dejvice“ – naznačuje nelegální aktivity
- „Pavel od Jarušky“ – prozrazuje jméno partnera
- „Tatínek od Natálky“ – odhaluje jméno dítěte
- „Pepa z operativy“ – pro příslušníky bezpečnostních složek může být takový únik i život ohrožující
Samozřejmě že všechny tyto informace pak mohou být použity k velice dobře cílenému phishingu nebo sociálnímu inženýrství. Útočník vás osloví jménem, zmíní vaši manželku nebo dceru, odkáže se na společného známého. A vy mu uvěříte, protože „tyto informace přece nemůže znát nikdo cizí“.
Profese v první linii rizika
Určitě teď nenapíšu: „Přestaňte si ukládat telefonní čísla do svých mobilů.“ Spíš dávám k zamyšlení, zda jste někdy nad svým telefonním seznamem takto uvažovali.
Rizikové profese, které svou podstatou k tomuto problému nevědomky přispívají více než jiné, jsou ty, jež nelze vykonávat bez neustálého navazování nových kontaktů: obchodníci, personalisti, realitní makléři, pojišťováci, vysoce postavení manažeři a další. Jejich telefony se mohou stát veřejnými telefonními seznamy, často s tisíci kontakty včetně detailů o firmách a pozicích.
Na druhé straně problému pak stojí třeba příslušníci bezpečnostních složek. Pro operativce, zpravodajské důstojníky nebo policisty může únik informací o jejich identitě nebo pracovním zařazení znamenat značný problém. Nejde jen o jejich osobní bezpečnost, ale i o bezpečnost probíhajících operací, informátorů a dalších kolegů.
Telefonní čísla a e-maily: Dvojitá hrozba
Dosud jsme se bavili především o telefonních číslech, ale nesmíme zapomínat ani na e-maily. Ty jsou často ještě zranitelnější, protože je lze propojovat s konkrétními účty na sociálních sítích, e-shopech a dalších službách.
Běžný uživatel má svůj e-mail propojený s desítkami služeb. Pokud útočník zjistí, jaký e-mail používáte, může snadno určit, kde všude máte účty, a pokusit se o jejich převzetí. Jakýkoliv další uniklý údaj jim k tomu pomáhá.
OSINT jako zbraň v rukou útočníků
OSINT (Open Source Intelligence) je disciplínou, kterou běžně používají bezpečnostní složky k získávání a vyhodnocování veřejně dostupných informací – tedy i těch uniklých. Jenže stejné techniky dnes využívají i útočníci.
OSINT analýza již několik let není součástí mé práce. I tak jsem v některých případech schopen z uniklého telefonního čísla za pár minut zjistit jméno, datum narození, adresu bydliště, zaměstnavatele, rodinný stav, jména rodinných příslušníků, fotografie, přátele a možná i používaná hesla z některého z předchozích úniků dat. Existují i uniklé databáze (týkající se např. Indie nebo USA), kde lze zjistit rodná čísla, ale třeba i typ osobou používaného vozidla včetně jeho VIN. A představte si, jak hluboko v takovém „šťourání“ ve vašich životech může jít někdo, kdo je k tomu navíc finančně motivovaný.
Regulace jako GDPR a NIS2: Důležité, ale ne všemocné
Možná si teď říkáte, že se to musí řešit na úrovni státu, protože jde o plošný problém. To je sice pravda a v kontextu kybernetické bezpečnosti jsou evropské regulace jako GDPR a NIS2 bezpochyby krokem správným směrem. Komplikací však je, že většina obchodníků s uniklými daty operuje mimo dosah EU. Regulace jednoduše nemůže řešit globální problém, pokud není globálně vymahatelná.
Co je však ještě důležitější – žádná regulace neochrání vaše údaje před únikem z telefonu vašeho známého, který si stáhl závadnou aplikaci. Můžeme regulovat, jak firmy nakládají s našimi daty, ale nemůžeme efektivně regulovat, jak s nimi zacházejí jednotlivci.
I přesto jsou však GDPR a NIS2 naprosto zásadní pro zlepšení kybernetické bezpečnosti v Evropě. Jde o strategickou úroveň bezpečnosti a odpůrci ji možná spíš nechápou nebo ji z různých důvodů chápat nechtějí. Ale na problematiku prodeje a využívání uniklých dat je každá regulace krátká.
Není to vše mnoho povyku pro nic?
V oboru OSINT působím skutečně dlouho, začal jsem s tím v roce 2010. Tedy v době, kdy v ČR o OSINT vědělo jen pár lidí. Viděl jsem, jak se OSINT změnil z čistě zpravodajské a trochu opomíjené disciplíny na strategickou schopnost státních organizací i firem. Nyní v Toveku často konzultuji, přednáším a snažím se v této problematice vzdělávat příslušníky většiny státních analytických útvarů v ČR. A jedno vím jistě – rizika úniku dat nejsou přehnaná. Jsou reálná a jejich dopady mohou být pro organizace i firmy naprosto fatální.
Co odhalil můj praktický výzkum
Nechtěl jsem se spoléhat jen na vlastní zkušenosti, a tak jsem uskutečnil malý průzkum. Vybral jsem padesát telefonních čísel z různých sociálních skupin – od dvacetiletých studentů po sedmdesátileté seniory, od dělníků po top manažery. Zařadil jsem i lidi, kteří vědomě minimalizují svou digitální stopu a snaží se být „neviditelní“ v on-line světě.
Výsledky mě překvapily:
- U téměř 75 % čísel jsem během pár minut zjistil jméno a příjmení.
- U poloviny z nich jsem získal i další informace – bydliště, pracovní pozici nebo další kontakty.
A teď si představme, že máte v telefonu 200 kontaktů. Stačí, aby procento z nich mělo mobil infikovaný infostealerem. To na první pohled nevypadá hrozivě, že?
Jenže realita je jiná: to procento nakažených zařízení může znamenat, že osobní údaje více než 75 % lidí v propojeném systému jsou exponované.
Položme si otázku: Je pravděpodobné, že mezi vašimi 200 kontakty není ani jeden jediný nakažený telefon? Odpověď je jasná – šance je mizivá.
Na základě dlouhodobého sledování si troufám říct, že nějaké podstatné údaje (jméno, telefonní číslo, e-mail…) unikly minimálně 70–80 % dospělých v České republice. A stačí k tomu pouhé procento infikovaných mobilů. Už to nezní tak nevinně, že?
Firemní benefit budoucnosti: Ochrana digitální identity
I z pohledu těchto čísel doufám, že využívání OSINT dat se brzy stane součástí běžných firemních procesů, ale i benefitem, kterým se společnosti budou chlubit při náboru nových zaměstnanců. Progresivní firmy si budou aktivně hlídat uniklé údaje svých lidí (i ty osobní), doporučovat jim, co dělat v případě úniku, a tím chránit nejen je, ale i svůj nejcennější majetek – data, zaměstnance a jejich know-how.
Představte si, že vám zaměstnavatel nabídne:
- Pravidelný monitoring vašich osobních údajů na dark webu
- Okamžité upozornění při detekci úniku
- Služby specialisty, který vám pomůže minimalizovat dopady
- Právní podporu v případě zneužití vašich dat
Teď si jako majitel firmy možná říkáte: „Proč bych měl platit za hlídání soukromých uniklých informací našich lidí?“ Odpověď je jednoduchá – protože jejich kybernetická bezpečnost se přímo dotýká vaší organizace. Uvažte tato rizika:
- Většina zaměstnanců používá stejná nebo podobná hesla pro osobní i pracovní účty.
- Vyděrač, který má osobní informace o vašem zaměstnanci, může získat významnou páku i na vaši organizaci.
- Únik informace „Petr V. – finanční ředitel ABC“ prozrazuje organizační strukturu vaší firmy a identifikuje klíčové osoby pro cílené útoky.
- Uniklé údaje mohou být použity k průniku do vašich systémů prostřednictvím sociálního inženýrství.
Jak vám může pomoci společnost Tovek
Vyvinuli specializované OSINT nástroje, které pomáhají organizacím identifikovat úniky dat a preventivně chránit své zaměstnance před následky těchto úniků. Kromě toho můžete stejné nástroje využít i při náboru nových zaměstnanců, abyste předem odhalili potenciální bezpečnostní rizika.
Pomůžeme vám nejen s případnou implementací našeho řešení, ale také poskytneme pravidelná školení, aby vaši zaměstnanci uměli data správně používat a interpretovat. Nabízíme též konzultace a jednorázové audity uniklých údajů o vašich zaměstnancích.
Pro začátek si na našem webu můžete zažádat o kontrolu, kolik e-mailů z vaší organizace bylo kompromitováno. Stačí navštívit www.tovek.cz/nis2.
A co můžete dělat teď, než nás oslovíte?
- Minimalizujte osoby, kterým dáváte své telefonní číslo – každý nový kontakt zvyšuje riziko.
- Oddělte pracovní a soukromý telefon – pokud dojde k úniku z jednoho zařízení, druhé zůstane chráněné.
- Mluvte o tomto problému s přáteli a kolegy – většina lidí si riziko vůbec neuvědomuje.
- Neinstalujte aplikace, které nepotřebujete – zvláště ty méně důvěryhodné jsou častým zdrojem infostealerů.
- Kontrolujte zařízení svých dětí – „bezplatné“ hry jsou častým zdrojem malwaru.
- Důvěřujte autoritám, jako je NÚKIB – když varují před aplikacemi jako Temu, TikTok, WeChat apod., mají k tomu pádný důvod.
A hlavně – nemyslete si, že jste imunní, protože "„vám je jedno, co o mě kdo ví, na mně si nemá co vzít“. Věřte, že může. A když ne na vás, tak na vašich blízkých. V digitálním světě nikdo není izolovaný ostrov. Vaše neopatrnost ohrožuje všechny kolem vás.
PŘEDPLATNÉ
ČLÁNKY DO MAILU