Kyberzločinci se snaží zneužít nákupní horečky

Blíží se Vánoce a obchodníci se snaží nalákat zákazníky na slevy, a tak kyberzločinci číhají na svou šanci a hledají nové způsoby, jak uživatele okrást. Výzkumníci nedávno zjistili, že zločinci mají nový způsob, jak zaútočit na online nakupující na populárním nákupním portálu s více než 100 miliony zákazníků.

wallet 2668549 960 720V návaznosti na objevení zranitelnosti, portál, který bere oblast kyberbezpečnosti velmi vážně, okamžitě informoval své zákazníky a vše opravil do dvou dnů od oznámení. Tento přístup je chvályhodný a měl by sloužit jako dobrý příklad i pro další online obchodníky.

Útočníci nejdříve poslali odkaz na webovou stránku AliExpressu obsahující škodlivý Javascript kód. Po otevření stránky byl kód spuštěn ve webovém prohlížeči uživatele, takže útočníci obešli zabezpečení AliExpressu.

Portál podle Check Pointu používá na svých stránkách k přilákání nových i stávajících zákazníků kupóny. Jakmile zákazníci navštíví domovskou stránku AliExpressu, obvykle se zobrazí ve vyskakujícím okně nabídka, aby uživatel zadal údaje o své kreditní kartě a mohl nakupovat ještě efektivněji, využít online plateb a rychlejšího dokončení nákupu.

Pokud útočníci ale najdou způsob, jak vložit škodlivý kód do AliExpressu, mohou celý proces zneužít. Útok začíná v momentě, kdy kyberzločinci nalákají oběť ke kliknutí na škodlivý odkaz, například poslaný e-mailem. Zákazník se dostane na přihlašovací stránku a po přihlášení může být oběť přesměrována na stránku s vloženým škodlivým kódem. Uživateli se tak zobrazí vyskakující okno s podvodným kupónem a je vyzván k zadání údajů o platební kartě za odměnu 50 dolarů na další nákupy. Jakmile útočníci citlivá data získají, mohou je samozřejmě dále zneužívat.

5 tipů na zabezpečení domova

house 2368389 960 720Podle statistik se u nás od ledna do listopadu 2016 událo 26 150 vloupání, z toho 2 975 vloupání se událo v rodinných domech a 2 627 v bytech. Častým terčem jsou také víkendové chaty, dále pak obchody, restaurace nebo ubytovací zařízení. Za stejné období v roce 2015 se událo 31 748 případů vloupání, v roce 2014 to bylo 46 003 případů a v roce 2013 dokonce 57 656 případů. Počty vloupání se tedy v posledních letech razantně snižují. Důvodem může být třeba i uvědomělost občanů, kteří čím dál více kladou důraz na dobré zabezpečení své domácnosti. Jaká zabezpečení mohou i vám pomoci proti zlodějům? 

  • Nechlubte se

Nejzákladnějším pravidlem, které vlastně nic nestojí, je diskrétnost. V době sociálních sítí existuje mnoho zdrojů, ze kterých mohou potenciální zloději hledat informace o vás a vašem domově.

„Dejte si proto pozor na to, co kde píšete a sdílíte. Určitě se na své facebookové zdi nechlubte, že jedete na dovolenou (a tedy nikdo není doma), a vyhněte se také přílišnému sdílení fotografií vašeho bytu či domu. Podle nich si totiž pachatel může své vloupání dobře naplánovat. Nevyplatí se ani sdílení fotek s cennostmi, které se ve vašem obydlí nachází,“ radí specialisté z portálu Detektivni-expert

  • Zabezpečte dveře

Mnoho zlodějů se do bytů a domů dostává oknem, takže pokud bydlíte ve vyšších patrech, můžete být trochu klidnější. Mnoho pachatelů se však nezdráhá ani použít vchodové dveře. Investice do bezpečných dveří tedy nepřichází vniveč. Za bezpečné se považují dveře, které odpovídají alespoň třetí bezpečnostní třídě. Bezpečnostní dveře by měly být opatřeny kvalitním zámkem, který je při odchodu nejlepší zamykat na dva západy. Dveřní kování by mělo být ve stejné bezpečnostní třídě jako vložka i vlastní dveře.

  • Nezapomínejte na okna

Pokud bydlíte v domě, vyplatí se zabezpečit okna. Velkým pomocníkem mohou být venkovní rolety se závěsy, které zabraňují nadzvednutí. Předokenní rolety mohou být také opatřeny hodinami pro nastavení jejich automatického zatahování a vytahování. Další vychytávkou je bezpečnostní fólie, která se lepí na okenní tabuli. Zabraňuje prohození předmětů a znesnadňuje vnik do objektu. Výhodou fólie je její nenápadnost.

Typem zabezpečení, které lze spatřit spíše na starších objektech, jsou bezpečnostní mříže na oknech i dveřích. Mříže přitom nemusí vypadat jako ve vězení. Často se jedná o pěknou kovářskou práci, která naopak může dům ozvláštnit.

  • Čidla

Velmi sofistikovanou ochranou proti zlodějům jsou čidla, která snímají pohyb. Pohlídají jakýkoliv prostor bytu či domu včetně oken i dveří. Pohybová čidla se umisťují do prostoru, aby zajistila co největší přehled. Instalace je jednoduchá, zvládne ji i úplný laik. Čidla bývají opatřena alarmem a mohou být napojena také na inteligentní systémy.

TIP: Fotopast na zloděje s GSM modulem a neviditelným IR osvětlovačem s880g

Fotopast na zloděje s880g je užitečné zařízení s neviditelným IT osvětlovačem, pohybovým čidlem PIR aktivujícím práci, GSM modulem umožňujícím přenášení nashromážděného materiálu bez ohledu na denní dobu. Pořízené fotografie i videomateriál jsou díky osvětlovači kvalitní a jasné jak ve dne, tak v noci. Přístroj je odolný vůči nepříznivým podmínkám počasí, je tedy vhodný nejen k ochraně domů a bytů, ale také například chaty.

Cena: 7 735 Kč vč. DPH

  • Skryté kamery, alarmy a inteligentní systémy

Velmi účinným řešením jsou skryté kamery. „Existují různé druhy, přičemž některé z nich snímají obraz černobíle, některé barevně a některé si i dokážou na objekt přisvítit infra světlem. Některé kamery umožňují také otáčení optiky a zajištění různých pohledů. Skryté kamery by měly být propojeny s nahrávacím zařízením či počítačem,” radí expert.

Největší překážkou pro zloděje jsou alarmy, které hlasitou reakcí jejich práci znemožní. Zloděje lze nachytat při vstupu na pozemek pomocí infračerveného paprsku, který vytváří neviditelnou bariéru. Nejmodernější variantou jsou různé inteligentní systémy, které mají na starost sledování a zabezpečení celého objektu. Umožňují dohlížení na domácnost i z velkých vzdáleností pomocí počítače nebo mobilního telefonu a internetu.

Autor: Petr Smolník, šéfredaktor

Session-replay skript o vás zaznamená úplně všechno, i číslo vaší kreditky, a to ještě dříve než odešlete formulář

Odborníci z Princeton University publikovali studii, jejíž výsledky vás mohou šokovat.

Možná víte, že většina webových stránek používá analytické skripty třetích stran (např. Google Analytics), které zaznamenávají navštěvy stránky a vyhledávání. V poslední době však stále více webů používá skripty "replay session". Tyto skripty zaznamenávají stisknutí kláves, pohyby myší a rolování, spolu s celým obsahem formulářů navštívených stránek a posílají je na servery třetích stran. Na rozdíl od typických služeb pro analýzu, které poskytují souhrnné statistiky, jsou tyto skripty určeny pro záznam a přehrávání jednotlivých relací prohlížení, jako kdyby se vám někdo díval přes rameno.

Rozsah dat shromažďovaných těmito službami však přesahuje očekávání uživatelů. Text zadaný do formulářů je zaznamenán dříve než uživatel odešle formulář a zároveň jsou uloženy všechny pohyby myši, to vše bez vizuální indikace pro uživatele. Nelze tedy očekávat, že tato data budou anonymní. Ve skutečnosti některé společnosti umožňují vydavatelům explicitně propojovat nahrávky s reálnou identitou uživatele.

session replay companies

Co se může pokazit? Stručně řečeno, hodně.

Shromažďování obsahu stránky může způsobit, že citlivé informace, jako jsou zdravotní údaje, údaje o kreditní kartě a další osobní data zobrazená na stránce mohou uniknout. To může vystavit uživatele krádežím identity, online podvodům a jinému nechtěnému chování. Totéž platí pro shromažďování vstupů uživatele během procesu kontroly a registrace.

Služby "session-replay" nabízejí kombinaci ručních a automatických redakčních nástrojů, které vydavatelům umožňují vyloučit citlivé informace ze záznamů. Nicméně, aby se zabránilo úniku, vydavatelé by museli pečlivě zkontrolovat a vyčistit všechny stránky, které zobrazují nebo přijímají informace o uživateli. Pro dynamicky generované weby by tento proces zahrnoval kontrolu kódu podkladové webové aplikace na straně serveru. Dále by se tento proces musel opakovat pokaždé, když je web aktualizován nebo změněna webová aplikace, která zajišťuje výkon stránek.

Největší slabiny vyplývající z testů:
1. Hesla jsou zahrnuta v nahrávkách relace
2. Citlivé uživatelské vstupy jsou redigovány částečně a nedokonalým způsobem
3. Ruční redakce osobních identifikačních údajů zobrazených na stránce je v principu nebezpečný model
4. Záznamové služby mohou selhat při ochraně uživatelských dat.

Konkrétní příklad selhání služby: Po dokončení záznamu relace jej vydavatelé mohou zkontrolovat pomocí řídicího panelu poskytovaného nahrávací službou. Dashboardy vydavatelů pro Yandex, Hotjar a Smartlook poskytují záznam v rámci stránky HTTP, a to i pro data, která se zadávají na stránkách HTTPS. To umožňuje vložení skriptu do stránky a extrakci všech záznamových dat (Man-in-the-middle). Ještě horší je, že Yandex a Hotjar doručují obsah stránky vydavatele přes HTTP a data, která byla dříve chráněna HTTPS jsou nyní zranitelná vůči pasivnímu sledování sítě.

Dalším překvapením pro vás možná bude, že tyto praktiky nejsou nijak vyjimečné. Při analýze TOP 10000 webů podle Alexy byly nalezeny záznamy o existenci těchto skriptů v 1239 případech a zahrnují weby jako microsoft.com, wordpress.com, adobe.com, hp.com, avg.com, reuters.com. Kompletní seznam si zobrazíte ZDE.

Následující video zobrazuje sledování návštěvy real-time:

A co GDPR?

RV