Vážené kolegyně, vážení kolegové,
přináším vám další pravidelné shrnutí toho nejdůležitějšího, co se ve světě kybernetické bezpečnosti událo za uplynulý měsíc.
Phishing 2.0: Sociální inženýrství na maximální úrovni
V TTC jsme opět zaznamenali případ hacknutého Whatsappu – tedy stejný případ jako minulý měsíc popisovaný v naší rubrice Na vlastní kůži. Prosím, přečtěte si ho. Teď vám to zabere 5 minut, ale následné řešení prekérní situace vám zabere času mnohem více. Nově se podvody také šíří na platformě Signal.
Bezprecedentní nárůst zaznamenal tento měsíc také vishing (hlasový phishing). Útočníci vám zatelefonují, vydávají se například za banku, policii nebo IT podporu a pod obrovským umělým tlakem se vás snaží zmanipulovat k převodu peněz nebo předání citlivých údajů.
Klasické phishingové e-maily už dnes navíc téměř neobsahují gramatické chyby a do hry masivně vstupují deepfakes. Podvodníci už umí věrohodně naklonovat hlas vašeho kolegy, nadřízeného či člena rodiny. Dnes je tedy naprosto klíčové: při jakékoliv nestandardní žádosti (pokud navíc působí emocionálně) si požadavek vždy ověřte přes jiný komunikační kanál (například zavolejte zpět na bezpečné, vám známé číslo). Zdravá paranoia už není nic přehnaného, je to základní pud sebezáchovy v digitálním světě.
Správce hesel
Aktuálně nasazujeme nového správce hesel – Bitwarden. Začínáme v Technickém úseku a postupně budeme tento nástroj rozšiřovat napříč celou společností, abychom vám všem maximálně usnadnili a zabezpečili práci s přihlašovacími údaji. Pokud máte zájem být mezi prvními, napište nám na bezpecnost@ttc.cz.
Někteří z vás si již všimli – v knihovně platformy KnowBe4 se objevily kromě nového dílu Inside Mana i volitelné tréninky zaměřené na obecné principy tvorby hesel a výhody správce hesel. Doporučuji se na ně podívat, jen upozorňuji, že jsou k dispozici pouze v angličtině.
Březnové útoky: V bezpečí nejsou úřady ani nadnárodní instituce
Útokům rozhodně nedochází dech. Jen za březen padly za oběť hackerům instituce všech velikostí – od pojišťovny Slavia přes Evropskou komisi až po městské úřady v Židlochovicích a Jemnici. Je to jasný důkaz, že ostražitost je na místě úplně všude a terčem se může stát kdokoliv. Právě proto u nás neustále běží phishingové simulace. Mají nás udržet ve střehu a pomoct nám trénovat pozornost tak, abychom neskončili jako další varovný titulek v novinách.
Zranitelnosti v mobilních telefonech
Velká část zařízení s Androidem (včetně verze 13 a starších) už nemusí dostávat bezpečnostní aktualizace. Patříte mezi ně? Takový telefon je mnohem snazší hacknout – zranitelnosti v systému zůstávají neopravené a útočníci je tak mohou snadno zneužít. Čím déle je navíc zranitelnost známá, tím vyšší je pravděpodobnost, že ji někdo použije proti vám.
Používat dlouhodobě neaktualizovaný telefon je dnes zkrátka velký risk, a to samozřejmě neplatí jen pro Android, ale i pro starší zařízení s operačním systémem iOS od Applu. Zkontrolujte si proto, zda máte systém ve svém telefonu aktuální.
Nová bezpečnostní směrnice pro tvorbu hesel (platnost od 1. 4. 2026)
Vzhledem k sofistikovanosti dnešních útoků jsme nuceni s okamžitou platností zpřísnit pravidla pro hesla do interních systémů. Od dnešního dne musí vaše heslo obsahovat minimálně 35 znaků, alespoň jeden staroegyptský hieroglyf, nesmí v něm být obsaženo jméno vašeho prvního domácího mazlíčka a pro úspěšné přihlášení bude nově nutné ho srozumitelně zazpívat do mikrofonu. Kdo nestihne heslo změnit do dnešních 15:00, bude mu přístup zablokován a jako alternativní způsob ověření (tzv. 2FA) mu bude zaslán poštovní holub s jednorázovým PINem.
…Dobře, je to samozřejmě apríl! 😄 Ale ten správce hesel Bitwarden, o kterém píšu výše, myslíme naprosto vážně. Ušetří vám totiž přesně tyhle nervy s vymýšlením složitých kombinací.
V případě podezření na incident se neváhejte ozvat na bezpecnost@ttc.cz.