Prolomené heslo e-mailu
Prolomením hesla rozumíme stav, kdy se nepovolaná osoba (tedy kdokoli krome uživatele a oprávněných administratorů) dostala k platnému heslu poštovní schránky a je schopna přistupovat k jejímu obsahu, nastavení a dalším službám na danou e-mailovou schránku navázaným – nejčastěji se jedná o internetové bankovnictví, nastavení webhostingu nebo přístup do sociálních sítí. K získání hesla je možné použít metod čistě mechanických, metod sociálního inženýrství, ať už cílených či plošných, nebo kombinace obou přístupů. Obecně platí, že nejčastější příčinou prolomení hesla je neznalost, neopatrnost nebo důvěřivost uživatele samotného.
Mechanické metody
Nevyžadují žádnou znalost o uživateli – útok je veden přímo na poštovní server "naslepo". Do této kategorie patří:
- Útok hrubou silou (Brute Force Attack) – stroj útočníka postupně zkouší všechny kombinace možných znaků ve stále delších řetězcích na poštovním serveru, až dospěje ke správné kombinaci. Vyžaduje obvykle značný výpočetní výkon na straně útočníka. Hlavní překážkou úspěchu této metody je délka hesla - roste s ní doba potřebná k prolomení a tím i šance, že útok bude odhalen.
- Slovníkový útok (Dictionary Attack) – stroj útočníka využívá připravená slova a fráze, které uživatelé mohou použít jako heslo. Zdrojem těchto frází může být například jazykový korpus. Zkoušejí se i v obvyklých variantách, například nahrazování některých písmen číslicemi (tzv. 133t 5pe4k). Pokud pro snadnější zapamatování používáte jako heslo frázi, vyhněte se obvyklým slovům a pořadí, například příslovím nebo textům písní. Kombinujte více zdrojů, používejte neobvyklá spojení. Vyhledejte si seznam nejpoužívanějších hesel a důsledně se jim vyhněte.
- Přímo odvozené heslo – jde o specifickou podmnožinu předchozí metody, útok se pokouší heslo odvodit z e-mailové adresy uživatele. Vyhněte se jakékoli podobnosti hesla s doménou nebo uživatelským jménem - včetně případných synonym.
- Zachycení hesla (Password sniffing) – útočník monitoruje provoz v nezabezpečenem spojení (například přes "odposlech" Wi-Fi) a tím odhalí uživatelské heslo. Pro připojení k poštovní schránce vždy používejte SSL šifrování – nejedná se o šifrování vašich zpráv, pouze o zabezpečení komunikace mezi vámi a serverem.
Prolomení hesla necíleným mechanickým způsobem se lze vyhnout volbou dostatečně dlouhého hesla bez vztahu k uživateli, jeho doméně a běžným frázím. Podmínkou je ovšem SSL šifrované spojení se serverem.
Sociální inženýrství – plošné
Tyto metody využívají obecnou lidskou nepozornost a neznalost. K úspěchu vyžadují součinnost uživatele alespoň v jednom (klíčovém) bodě procesu. Nejedná se však o přesně cílené útoky, jde o "hromadný sběr" dat od důvěřivých uživatelů. Jedná se především o tyto:
- Podvržené stránky (Phishing) – uživatel je e-mailem vyzván, často velmi naléhavým jazykem, aby se okamžitě přihlasil do své schránky přes webové rozhraní, na které ve zprávě dostane rovnou odkaz. Stránka je obvykle k nerozeznání od rozhraní poskytovatele služby, nachází se však na úplně jiné (mnohdy ovšem podobné) doméně. Zde zadá přihlašovací údaje, které se uloží na serveru útočníka k dalšímu zpracování. Jediným způsobem, jak se phishingu vyhnout, je důsledně kontrolovat adresu odkazu, případně certifikát přihlašovací stránky. V ideálním případě neklikejte na odkazy ve zprávě, ale jděte na adresu svého poskytovatele služby "po paměti" až v prohlížeči. Vždy ověřujte certifikát stránky, jeho vydavatele a držitele.
- Trojský kůň/Odposlech klávesnice (Trojan/Keylogger) – uživatel obdrží zprávu s přílohou, která obsahuje spustitelný kód, nebo si takový kód stáhne z infikovaneho webu. V prvém případě je třeba přílohu otevřít a spustit, ve druhém obvykle stačí odkliknout nezávadně vyhlížející tlačítko ve vyskakovacím okně. Aplikace pak přímo v jeho počítači sleduje kompletní provoz v síti a odchytává spojení, nebo monitoruje stisky kláves. Nasbíraná data odesílá k dalšímu zpracování útočníkovi. V tomto případě je řešením vhodný antivirus, firewall a případná imunizace proti známým infikovaným webům. Méně zkušený uživatel by nikdy neměl mít možnost na počítači instalovat ani spouštět neznámé aplikace.
Jakkoli jsou tyto metody často nazývány viry, neaktivují se samy a vyžadují spoluúčast uživatele – souhlas nebo předání přihlašovacích údajů. Prevencí je zde především ostražitost při otevírání zpráv z neznámých adres a neznámých webových stránek.
Sociální inženýrství – cílené
Cílené sociální inženýrství vyžaduje aktivní účast živého útočníka/hackera, který sbírá osobní údaje o uživateli a na jejich základě se pokouší získat heslo – ať už přímo, nebo například přes obnovení hesla na podpoře poskytovatele služby.
Před osobním útokem jako prevenci můžeme doporučit pouze užívání odlišných hesel k různým službám, bezpečné ukladání těchto hesel a důsledná politika neprozrazovat (byť z pohledu uživatele banální) nadbytečné osobní údaje.
Reakce na prolomení hesla
Pokud dojde k prolomení hesla poštovní schránky, je třeba reagovat co nejrychleji. Prvním krokem je bezpodmínečně změna hesla – jak u dané schránky, tak u všech služeb, které jsou na ni navázány! – z jiného zařízení, než které běžně používáte. To je nutno před přihlášením kamkoli nejprve zkotrolovat na přítomnost nechtěných aplikací a případně znovu zabezpečit. Pokud se jedná o naše poštovní služby, kontaktujte administrátora účtu postmaster na své doméně nebo naši zákaznickou podporu – pokusíme se vám pomoci.