Napadení (hacknutí) je stresující. Může působit osobně, naléhavě a matoucím způsobem najednou. Můžete vidět podivné upozornění na přihlášení, najít zprávy, které jste neodeslali, ztratit přístup k účtu, všimnout si, že vám zmizely peníze, nebo zjistit od přátel, že jim od vás dorazily podezřelé odkazy.
Nejdůležitější je nečinit ukvapená rozhodnutí z paniky. Útočníci často spoléhají na rychlost, zmatek a tlak. Vaším cílem je situaci zpomalit, omezit škody, získat nad vším kontrolu a odstranit slabá místa, která kompromitaci umožnila.
Tento průvodce vás provede praktickými kroky, které je třeba podniknout, pokud byl napaden váš osobní účet, pracovní účet, zařízení nebo online služba.
Pokud existuje byť jen malá šance, že by mohla být ohrožena vaše firma, zákazník nebo jiná organizace, obratem kontaktujte odpovídající IT nebo bezpečnostní tým. Nečekejte, až budete mít úplný důkaz. Týká se to situací, kdy byl kompromitovaný přístroj použit k pracovním účelům, zařazen jako BYOD zařízení, použit pro přístup k pracovnímu e-mailu, při jednotném přihlašování, nebo jste v něm přihlášeni do firemního správce hesel, VPN, správního panelu, repozitáře zdrojového kódu, cloudové konzole či služby pro sdílení souborů.
Tento krok provádějte ještě předtím, než se budete snažit všechno vyšetřit sami. Organizace může potřebovat zrušit aktivní relace, vyměnit pověření, zkontrolovat logy, izolovat dotčené systémy nebo dočasně omezit přístup v průběhu incidentu.
Opožděné oznámení může vést k větším škodám a vystavit vás sankcím, pokud organizace utrpí škody, které mohly být zavčasu omezeny. Pokud nemohou být ovlivněny žádné služby, zařízení, účty či data firmy, pokračujte obnovou osobních účtů podle následujících kroků.
Pokud se domníváte, že váš počítač nebo telefon může být napaden, nepoužívejte totéž zařízení pro resetování hesel nebo přihlašování k důležitým účtům. Malware může zachytit nová hesla, ukrást session cookie, pořizovat screenshoty nebo odchytávat obnovovací kódy.
Použijte zařízení, kterému důvěřujete, například:
Pokud nemáte přístup k bezpečnému zařízení, odpojte podezřelý přístroj od internetu a zaměřte se nejdřív na získání pomoci, než budete zadávat nové přihlašovací údaje.
Váš e-mailový účet je často klíčem ke všemu ostatnímu. Pokud útočník ovládá váš e-mail, může si obnovit hesla k bankovnictví, nákupům, cloudovému úložišti, sociálním sítím, vývojářským platformám či pracovním nástrojům.
Začněte u vašeho hlavního e-mailu a zkontrolujte:
Pozornost věnujte hlavně pravidlům v poště – útočníci často vytváří filtry, které skryjí bezpečnostní upozornění, přeposílají faktury nebo potají kopírují emaily s obnovou hesel na jinou adresu.
Po zajištění e-mailu pokračujte účty, které představují největší riziko. Neztrácejte první kritické minuty na méně důležitých účtech, dokud mohl mít útočník stále přístup třeba k vašemu bankovnictví, cloudovému úložišti nebo administraci.
Prioritizujte účty v tomto pořadí:
Každé nové heslo musí být jedinečné. Použijete-li tentýž nový kód pro víc účtů, jedno poslední slabé místo může vše znovu ohrozit.
Změna hesla je důležitá, ale útočníka již přihlášeného to nemusí odhlásit. Mnoho služeb ponechává existující relace aktivní i po změně hesla, pokud je výslovně neodeberete.
Hledejte nastavení jako:
Odstraňte vše, co neznáte. U firemních nebo vývojářských účtů vyměňte i API tokeny, deployment klíče, SSH klíče, webhooky a účty služeb, které mohly být ohrožené.
Dvoufaktorové ověření, označované také jako MFA nebo 2FA, dokáže zastavit mnoho pokusů o převzetí účtu, i když se útočník dostane k heslu. Pokud jste MFA dosud nezapnuli, nastavte jej alespoň na důležitých účtech teď.
Preferujte nejsilnější dostupné možnosti:
SMS kódy jsou lepší než žádný druhý faktor, ale jsou slabší než aplikace či hardwarové klíče. Telefonní číslo lze zneužít přes útok SIM swap, zachytit v některých situacích nebo ho zneužít přes zranitelné procesy obnovy účtu.
Při nastavování MFA vygenerujte záložní kódy a bezpečně je uložte. Jinak může ztráta telefonu nebo bezpečnostního klíče znamenat další nouzový stav při obnově účtu.
Pokud se přes napadený účet dostal útočník k penězům, dokladům totožnosti, fakturám, zákaznickým údajům či daňovým informacím, předpokládejte, že si užitečná data mohl zkopírovat – i pokud získáte přístup rychle zpět.
Zkontrolujte zejména:
Při podezřelé aktivitě ihned kontaktujte svou banku nebo poskytovatele plateb. V mnohých případech rychlé oznámení zvyšuje šanci na vrácení peněz či omezení odpovědnosti.
Je člověku přirozené chtít vše rychle uklidit, ale pokud smažete zprávy, logy nebo soubory moc brzy, ztížíte pozdější šetření. Než odstraníte podezřelý obsah, uložte základní důkazy. Platí to dvojnásob před přeinstalací nebo vymazáním zařízení, zejména pokud může jít o finanční prostředky, firemní data, data zákazníků, ransomware či právní povinnosti.
Užitečnými důkazy jsou:
Tyto informace pomohou týmům podpory, bance, policii, pojišťovně, interním IT týmům či specialistům na incidenty pochopit, co se stalo.
Pokud je to možné, zvažte u stolních počítačů a notebooků vyjmutí originálního disku a instalaci nového pro čistou instalaci systému. Budete mít čistý systém k práci a původní disk pro případné šetření. V případě firemního incidentu před změnou disku nebo zapnutím zařízení vše konzultujte s IT nebo specialisty na incidenty.
Pokud kompromitace začala malwarem, škodlivou přílohou, falešným rozšířením prohlížeče, pirátským softwarem nebo neznámými dálkovými nástroji, samotné obnovení účtů nestačí. Zařízení už nemusí být důvěryhodné. Útočník mohl nainstalovat nástroje pro perzistenci, změnit systémová nastavení, ukrást session cookie nebo zanechat další software, který po zadání nových přihlašovacích údajů vše opět ukradne.
V takové situaci je bezpečnější nikoliv zařízení "čistit ručně", ale uložit potřebné důkazy, zálohovat jen skutečně nezbytná data, zařízení smazat a systém čistě přeinstalovat.
Důležité zásady:
U vážných incidentů, např. ransomwaru, podvodu s pracovním e-mailem, přebírání účtů adminů či podezření na únik dat, se nejprve obraťte na profesionální specialisty na incidenty. U firem jsou často nutné důkazy pro šetření, pojišťovny, právní zástupce i pro komunikaci se zákazníky.
Pokud útočník použil váš účet k rozesílání zpráv, faktur, odkazů nebo souborů, varujte příjemce. Upozornění udržte krátké a konkrétní.
Například:
Můj účet byl kompromitován. Prosím, neotvírejte odkazy, přílohy, platby ani soubory sdílené mnou mezi [časy]. Přístup už mám zpět a situaci řeším.
U firem může být oznámení i zákonnou či smluvní povinností. Pokud mohlo dojít k úniku dat zákazníků, zaměstnanců, plateb, zdravotních informací nebo důvěrných klientských informací, zapojte včas právní, compliance a bezpečnostní týmy.
Ne každý napadený sociální účet vyžaduje policejní oznámení, ale některé incidenty by oznámeny být měly. Platí to hlavně pro finanční podvody, krádeže identity, ransomware, podvodné pracovní e-maily, úniky zákaznických dat či výhrůžky proti osobám.
Užitečné kanály pro nahlášení mohou být:
Oznámení incidentu navíc vytváří záznam. Ten může být důležitý, pokud podvodné aktivity potrvají nebo budete potřebovat prokázat, že jste jednali včas.
Ve firmách není napadený účet nikdy jen "problém daného účtu". Může to být první známka širšího incidentu. Kompromitovaná schránka může být vstupní branou k zákaznické komunikaci. Ukradené heslo administrátora může vést k úniku dat. Uniklý deployment klíč může ovlivnit produkci.
Firemní postup by měl zahrnovat:
Pokud incident zasahuje regulovaná data, zákaznická data, produkční infrastrukturu, privilegované účty nebo jde o ransomware, kontaktujte experty včas. Přílišné čekání ztěžuje jak zajištění, tak sběr důkazů.
Některé dobře míněné kroky situaci jen zhorší nebo přinesou další riziko.
Vyhněte se chybám jako:
Až bude akutní situace zažehnána, věnujte čas posílení zabezpečení. Většina kompromitací nemá příčinu ve "vysokém hackingu", ale v opakovaně použitých heslech, phishingu, slabých možnostech obnovy, malwaru, starých zařízeních či zapomenutých přístupech.
Praktický checklist pro posílení bezpečnosti:
Bezpečnost nemusí být dokonalá, aby byla mnohem lepší. Pár osvojených návyků odstraní nejsnadnější cesty útoku a omezí škody, pokud by k něčemu znovu došlo.
Napadení není vždy známka, že jste udělali něco hloupého. Útočníci zkouší zasáhnout lidi i firmy neustále a i opatrný uživatel může být oklamán věrným phishingem, opakovaně použitým heslem z dávného úniku nebo nepozorovanou kompromitací zařízení.
Ze všeho nejdůležitější je reakce: nejdříve zabezpečte e-mail, měňte hesla z důvěryhodného zařízení, zrušte ostatní relace, nastavte silné MFA, prověřte finanční a identitní rizika, uložte důkazy a informujte všechny, koho se to mohlo týkat. Následně zlepšete návyky a systémová opatření, která sníží pravděpodobnost úspěchu příštího útoku.