Možná jste ho dostali také: e-mail, který vyhrožuje zveřejněním masturbačního videa, pokud nezaplatíte výkupné v bitcoinech. Nejste sami, vlna spamu zasáhla celou Českou republiku. Připravili jsme pro vás odpovědi na otázky, co se děje a jak reagovat.

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Co mám dělat? Je moje bezpečnost ohrožena?

Zprávu podobnou níže uvedené můžete bezpečně ignorovat. Vyděrač žádné vaše intimní video nemá. Jediné, co má, je vaše e-mailová adresa a zkouší to. Že byla vaše vlastní adresa uvedena jako adresa odesílatele nic neznamená, je triviální ji podvrhnout, nelze tomu nijak zabránit a nepředstavuje to žádné nebezpečí.

V e-mailu je však uvedené i heslo, které běžně používám. Co mám dělat?

To už je trochu vážnější, ale vaše intimní videa pořád nikdo nemá. Útočník pravděpodobně získal heslo z nějaké špatně zabezpečené služby, kterou používáte nebo jste v minulosti používali. Po internetu koluje velké množství "dumpů" – sad údajů o uživatelích, které tím či oním způsobem unikly provozovateli nějaké webové služby, již používáte. Může se jednat o bezpečnostní problém na straně provozovatele, uniklé zálohy, cokoliv.

Pokud chcete zjistit, o jakou službu se mohlo jednat, podívejte se na adresu www.haveibeenpwned.com. Po zadání svého e-mailu zjistíte, jestli byly vaše uživatelské údaje kompromitovány a případně kde. Můžete si též nastavit hlídání, kdy budete na nějaký další únik upozorněni.

Některé služby vaše heslo ukládají v otevřeném tvaru (i když by to dělat neměly), jiné ho hashují způsobem, který dnes již nelze pokládat za bezpečný a je možné jej prolomit. Tímto způsobem může útočník získat kombinaci jména a hesla a jejich seznamy jsou běžně k dispozici. To je důvod, proč byste pro každou službu (účet) měli používat jiné heslo (pokud možno automaticky generované a uložené ve správci hesel). Tím zabráníte možnosti křížové kontaminace, kdy kompromitace jedné služby umožní útočit na jiný váš účet.

Pokud máte důvod předpokládat, že se vás tento problém týká (např. e-mail obsahuje vaše heslo), změňte si napadené heslo všude, kde ho používáte.

mail

Proč e-mail přišel zrovna mně? Kde útočník vzal mou e-mailovou adresu?

E-maily jsou rozesílány na obrovské množství e-mailových adres, nejde o konkrétní útok na vás osobně. Útočník vaši e-mailovou adresu mohl získat mnoha způsoby. Možná se někde volně válí na webu, třeba jste ji napsali do nějakého inzerátu nebo na podobné místo. Je možné, že unikla z nějakého webu, kde jste ji použili, viz výše.

Jak se takovému útoku bránit? Jde to vůbec?

On to vlastně ani není útok. Je to prostě pokus spočívající v tom, že někdo rozešle s malými náklady miliony e-mailových zpráv, a i když se chytí jenom velmi malé množství lidí, pořád se to vyplatí. Obrana není možná, prostě tyto pokusy ignorujte.

Rozumnou prevencí proti úniku údajů z jednotlivých služeb je používat pro každou službu unikátní heslo. To nemáte šanci si zapamatovat (a používat "generovaná" hesla, kde nějakým rádoby sofistikovaným algoritmem do hesla zamotáte název služby, nemá smysl). Proto použijte správce hesel (password manager) a generovaná hesla.