Uplynulý týždeň bolo vo svete internetových sociálnych sietí rušno. Útoky hackerov dočasne odstavili Facebook i mikroblog Twitter. A zatiaľ čo americkým mariňákom zakázali využívať tieto služby v práci, britskí vojaci pre ne naopak získali oficiálny manuál.

Udalosti z minulého týždňa opäť obrátili pozornosť na otázku bezpečnosti sociálnych sietí. Ich rastúca obľúbenosť čoraz viac láka kybernetických kriminálnikov, ktorí hľadajú nové spôsoby, ako zarábať. A využívajú pritom neopatrnosť a prehnanú dôveru internetistov. 

Prvé narodeniny. Minulotýždňové incidenty označované ako DDoS (Distributed Denial of Service), ktorým čelili Facebook a Twitter, boli pre používateľov skôr nepríjemné ako nebezpečné. Útočníci využili rozsiahlu sieť infikovaných počítačov, ktoré servery zahltili požiadavkami a tak webové služby paralyzovali. Surferi mali len obmedzený alebo žiadny prístup na stránky, no ich dáta ohrozené neboli.

V digitálnom svete nejde o žiadnu novinku. Cieľmi DDoS útokov sa už stali mnohé vládne či korporátne weby aj spravodajské portály. Vrátane slovenských, ako napríklad Sme.sk či web televízie TA3. 

Minulý týždeň sa stala ešte jedna, na prvý pohľad málo nápadná udalosť. Prvých narodenín sa dožil internetový červ Koobface. Nie je to ani najsofistikovanejší, ani najrozšírenejší škodlivý kód všetkých čias. No je to prvý červ, ktorý sa nepretržite úspešne šíri cez sociálne siete. „Jeho úspech môže, nanešťastie, vytvoriť precedens pre iné škodlivé kódy, zneužívajúce sociálne siete,“ tvrdia pracovníci spoločnosti Trend Micro v júlovej správe.

Koobface sa šíri relatívne jednoducho. Používateľ dostane správu od známeho, ktorá ho nabáda otvoriť odkaz na stránku napodobňujúcu YouTube, kde vraj nájde zaujímavé video. Len čo si ho chce pozrieť, stránka mu ponúkne aktualizáciu softvéru na prehrávanie videa, Adobe Flash player. Ak tak spraví, v skutočnosti si nainštaluje Koobface. Nakazený počítač potom bez vedomia používateľa rozposiela rovnaké správy kontaktom z Facebooku, MySpacu či Twitteru.

Rôzne varianty Koobfacu môžu z nakazeného počítača odchytávať a odosielať dáta alebo ponúknuť nič netušiacemu používateľovi falošný antivírusový program. Červ je navrhnutý tak, že do infikovaného počítača môže na základe príkazov zo vzdialeného servera sťahovať ďalší škodlivý kód. Práve na tejto schopnosti jeho tvorcovia podľa expertov firmy Trend Micro zrejme zarábajú. Nazdávajú sa, že ostatné skupiny šíriace škodlivý kód im platia za každú úspešnú inštaláciu svojho softvéru.

Zdroj: Profimedia

Priveľa dôvery. Dôvodov, prečo hackerov lákajú sociálne siete, je niekoľko. Azda najväčším je rýchlo rastúci počet používateľov. A teda i potenciálnych obetí. „Tvorcovia škodlivého kódu potrebujú, aby sa infiltrácie čo najviac rozšírili. Je prirodzené, že sústredia aktivitu tam, kde je veľa ľudí,“ mieni technický a marketingový špecialista slovenskej spoločnosti Eset Miroslav Majtáz.

Útočníci môžu navyše ťažiť z až prehnanej dôvery, ktorú voči sebe chovajú používatelia sociálnych sietí. Tí vychádzajú z predpokladu, že ich známi nepredstavujú riziko. A pri otváraní správ či odkazov sú menej opatrní. Aj preto sa podľa firmy Kaspersky Lab šíria vírusy cez sociálne siete až desaťkrát  efektívnejšie ako inými spôsobmi.

V skutočnosti sa používatelia ani veľmi nezamýšľajú nad tým, či sú ich kontakty skutočne tými, za koho sa vydávajú. „Očakávajú len málo dôkazov o identite svojich priateľov, stačí im meno, fotka a pár bitov znalostí o jeho skutočnom živote,“ píše časopis BusinessWeek inšpirovaný malým experimentom dvoch IT konzultantov.

Tí so súhlasom svojho priateľa Marcusa Ranuma, známeho vďaka vytvoreniu prvého e-mailového servera pre doménu whitehouse.gov, založili v sieti LinkedIn jeho profil. Všetky údaje, vrátane životopisu a fotky, získali z webu. Potom sa pokúsili pridať do jeho siete kontaktov manažérov zodpovedných za IT a bezpečnosť veľkých podnikov, odborníkov z oblasti obrany a ďalších, ktorých mohol M. Ranum poznať v skutočnom živote. Napriek tomu, že šlo o ľudí so znalosťami zo sféry bezpečnosti, väčšina z nich požiadavku akceptovala. A tým falošný profil konzultanta získaval na dôveryhodnosti aj v očiach tých ostatných.

Hľadanie informácií. Z rovnakého predpokladu vychádzajú mnohí online podvodníci. Existuje viacero prípadov, keď používateľov Facebooku kontaktovali známi z reálneho života. Napríklad ich prosili o pomoc, lebo ich vraj v zahraničí okradli a teraz potrebujú peniaze na letenku či na ubytovanie. V skutočnosti šlo o podvodníkov. Tí zrejme vylákali prístupové údaje od reálnych vlastníkov prostredníctvom falošných webstránok, ktoré sú na nerozoznanie od originálu (hovorí sa tomu phishing).

Nie všetky podvody sa odohrávajú výlučne online. Americké a kanadské úrady zaznamenali vlani nárast telefonátov od podvodníkov, ktorí sa orientovali na starších ľudí, píše spoločnosť Cisco v správe o bezpečnosti za uplynulý rok. Seniorom tvrdili, že potrebujú peniaze na zaplatenie kaucie za ich vnúčatá. Išlo obvykle o tínedžerov či vysokoškolákov, o ktorých zistili potrebné informácie

a rôzne detaily na sociálnych sieťach či blogoch. Podľa Cisca takto podvodníci získavali tisíce dolárov. „Práve zhromažďovanie rôznych informácií zo

sociálnych sietí je zdrojom obživy mnohých záškodníkov,“ konštatuje systémový inžinier slovenskej pobočky Cisca Tomáš Ondovčík.

A pripomína, že zverejnenie akýchkoľvek informácií na internete si treba dobre premyslieť. Aj preto, že takéto údaje sa z internetu ťažko vymazávajú, keďže môžu byť zapísané v databázach, ktoré používateľ nevidí. 

Rozvinutý je tiež obchod s marketingovými databázami. Ak sa chce používateľ vyhnúť zbytočnému spamu či otravným reklamným telefonátom, nemal by na internete  zverejňovať e-mailovú adresu a telefónne číslo. Informácie o veku, zamestnaní a záľubách pomáhajú zase presnejšie zacieliť reklamné kampane. Ak tieto údaje na sociálnej stránke používateľ uvádza, mal by zvážiť, akú časť z nich zobrazí vo verejne prístupnom profile, ktorý je dostupný aj úplne cudzím ľuďom.

Zneužiteľné sú za určitých okolností aj informácie, ktoré vyzerajú na prvý pohľad úplne nepoužiteľne. Stredné meno matky, miesto narodenia, meno prvého učiteľa či prvého domáceho miláčika. Práve to bývajú odpovede v takzvaných tajných otázkach, ktoré kladú napríklad e-mailové služby tým, čo zabudnú svoje prístupové heslá.

Rozprávať by o tom vedeli prevádzkovatelia Twitteru, ktorý mal v tomto roku už viacero problémov s bezpečnosťou. Práve uhádnutím odpovede na tajnú otázku sa podľa správy Cisca podarilo jednému hackerovi dostať k e-mailovej schránke zamestnanca Twitteru. A tak získal prístup k rôznym firemným údajom. 

Ešte viac. Očakáva sa, že útokov hackerov či podvodníkov využívajúcich sociálne siete pribudne. Aspoň v najbližších rokoch. „V roku 2003 sa autori škodlivých kódov začali namiesto slávy orientovať na zisk. A sociálne siete sú ďalším spôsobom, ako zvýšiť príjmy z tohto biznisu,“ mieni M. Majtáz z Esetu. No podľa jeho kolegu Martina Baranoviča sa sociálne siete nezaradia k najpoužívanejším spôsobom šírenia vírusov: „Časom tieto siete prestanú ľudí baviť a svoju pozornosť zase presunú inam.“

T. Ondovčík z Cisca to vidí obdobne: „V sociálnych sieťach ešte stále nie je veľká časť internetovej populácie. Kým drvivá väčšina ľudí má e-mail.“ Dodáva, že najviac peňazí sa v súčasnosti točí v biznise so spamom. A jeho objem aj napriek účinnejším filtrom neklesá.

Ako sa chrániť pred internetovými útokmi

• Neklikať na podozrivo vyzerajúcu správu alebo link od známeho
• Neklikať na linky a neotvárať prílohy v podozrivých e-mailoch
• Vždy poriadne skontrolovať stránku, na ktorú ste sa dostali kliknutím na nejaký odkaz
• Nahlásiť spam či pokus o podvod prevádzkovateľovi webstránky
• Dávať si pozor na neobvyklé žiadosti o pomoc od priateľov v núdzi
• Používať silné heslá
• Nepoužívať rovnaké heslo pre rozličné kontá
• Nikomu neprezrádzať prihlasovacie údaje a dávať pozor, na aké stránky ich zadávate
• Chrániť konto aj bezpečnostnou otázkou: pokojne v odpovedi klamte
• Poriadne zvážiť, aké osobné informácie na internete uverejniť
• Skontrolovať nastavenia v profile týkajúce sa sprístupnenia osobných informácií
• Vyberať si svojich priateľov na sieti a ak je to možné, overovať si ich totožnosť
• Pravidelne aktualizovať operačný systém, internetový prehliadač a antivírus

Zdroj: Facebook, Symantec, Eset