Medzinárodnú zločineckú organizáciu zatkol Europol

Europol organizoval zatýkaciu medzinárodnú akciu a vyhlásil, že táto organizovaná skupina na svoju protizákonnú činnosť používala hlavne útok – SIM swap. Tento typ útoku spočíva v tom prehovoriť mobilného operátora, aby vymenil SIM karty.

V prípade ak sa to zločincom podarí, tak získajú prístup k telefónnemu číslu svojej obete. Telefónne číslo môže zločinec využiť na resetovanie hesiel alebo dokonca obísť dvojfaktorové overenie. Táto skupina svojou nelegálnou činnosťou získala okolo 100 miliónov dolárov.

Útok SIM swap 

Pomocou tejto metódy sa im podarilo ukradnúť peniaze, bitcoiny, kontakty ďalších ľudí či iné osobné údaje. 

Útok SIM swap sa stáva čoraz viac bežným. V minulom roku boli pomocou tohto útoku napadnuté účty známych ľudí na Twitteri. Následne boli rozposielané falošné správy s úlohou získať od obetí kryptomeny. Zamestnanci mobilných operátorov môžu byť taktiež zapojení do tejto kriminálnej činnosti.

The post V Británii zadržali organizovanú skupinu, ktorá sa zameriavala na kradnutie identity celebrít appeared first on Ochrana-online.sk.

Internetoví zločinci sa vydávajú za známe spoločnosti

Kyberzločinci využívajú na krádež osobných údajov dôveryhodné spoločnosti, za ktoré sa vydávajú a používajú podvodné webové stránky, ktoré častokrát vyzerajú totožne ako pravá stránka danej spoločnosti. 

V poslednom štvrťroku minulého roka kyberzločinci zneužívali firmu Microsoft, a používali metódu phishing (43% prípadov).

Phishing je odvodený od anglického slova rybolov. Kyberzločinec, ktorý túto podvodnú metódu využíva, rozposiela falošné e-maily a takzvane nahadzuje udicu s cieľom ukradnúť osobné dáta alebo prihlasovacie údaje. 

Hackeri sa vo svojich podvodoch neustále zdokonaľujú

Kyberbezpečnostná firma Check Point Research uvádza, že na druhom mieste medzi spoločnosťami, za ktoré sa kyberzločinci vydávajú sa umiestnila logistická spoločnosť DHL 18% a na ďalších miestach sa nachádzajú spoločnosti ako sociálna sieť LinkedIn (6%) , internetový obchod Amazon (5%), IKEA (3%) a Google (2%).

Pri otváraní podozrivých e-mailov buďte maximálne opatrní, prípadne si overte priamo v spoločnosti či takýto e-mail rozposielala.

Internetoví zločinci sa zdokonaľujú v tvorbe hodnoverných webových stránkach a URL adries spoločnosti. Na falošných stránkach, ktoré vám podvrhnú podvodníci sa častokrát nachádza formulár, ktorý má za úlohu odcudziť prihlasovacie alebo platobné dáta.

Ako sa chrániť pred phishingovými útokmi?

V e-mailoch by ste sa mali zamerať na chyby vo vetách, nezvyčajné slovné obraty alebo zlé oslovenie. Ak obdržíte podozrivý e-mail, tak by ste nemali klikať na odkazy alebo prílohy. Dôležitá je aj pravidelná aktualizácia softvéru vašich zariadení. 

Vývojári softvéru pomocou aktualizácií odstraňujú bezpečnostné medzery. Zastaralý softvér uľahčuje prácu kyberzločincom pri získavaní osobných údajov od svojich obetí.

Aktivujte si dvojfaktorové overenie prihlasovania kde bude v dvoch krokoch pri prihlasovaní do účtu bude overená identita prihlasovanej osoby.

The post Internetoví zlodeji sa vydávajú za dôveryhodné spoločnosti appeared first on Ochrana-online.sk.

Správa v oblasti kybernetického zločinu

Antivírusová spoločnosť McAfee zverejnila správu, ktorá hodnotila kybernetické zločiny v roku 2020. Čísla sú astronomické. Podľa antivírusovej spoločnosti McAfee náklady, ktoré sa týkajú hackerských útokov, môžeme vyčísliť na približne 945 miliárd dolárov. Približne 145 miliárd dolárov utratia súkromné alebo štátne organizácie na zabezpečenie počítačovej bezpečnosti. Tieto odhady vychádzali z verejne dostupných štatistík, rozhovorov s odborníkmi, a dotazníkov, ktoré rozoslali 1500 firmám.

Celosvetové škody spôsobené hackermi boli v roku 2018 vyčíslené na 600 miliárd dolárov. 

Medzi š hlavné 3 nárastu v roku 2020 autori zaradili:

• presnejšie vyčíslenie škôd a lepšie oznamovanie hackerských útokov,
• kyberzločinci sa zlepšili  – zvýšenie účinnosti malwaru, využívanie strojového učenia a iných moderných technológií,
• šírenie ransomwaru, ktorý vyžaduje zaplatenie výkupného od obetí útoku.

Bezpečnostný incident nezažili vo svojej organizácií iba 4% opýtaných v prieskume. Nielen odcudzenie dát, krádež prihlasovacích údajov alebo zašifrovanie diskov, ale aj druhotné dopady majú svoju cenu. V priemere činilo prerušenie práce približne 18 hodín.

Medzi druhotné dopady môžeme zaradiť aj zníženie produktivity, stratu času, poškodenie dobrého mena značky alebo stratu prestíže.

Pripravenosť v oblasti kybernetickej bezpečnosti

Ak sa jedná o pripravenosť v oblasti ochrany dát alebo kybernetickú bezpečnosť organizácie, tak čísla nie sú dobré. Viac ako polovica opýtaných v prieskume uviedla, že ich organizácia nemá vypracovaný postup v prípade odpovede na kyberútok. Iba 32% respondentov predpokladá, že bude ich plán v prípade hackerského útoku efektívny.

Náklady organizácií v oblasti kybernetickej bezpečnosti sú odlišné. Každá organizácia má špecifické potreby na ochranu. V 21. storočí je kybernetická bezpečnosť veľmi dôležitá. Organizácie by nemali šetriť na nákladoch spojených so zabezpečením svojich IT systémov, inak sa môže ľahko stať, že sa stane terčom útokov hackerov.

The post Škody za kyberzločin sa v roku 2020 vyšplhali na viac ako jednu miliardu dolárov appeared first on Ochrana-online.sk.

Kybernetický zločin je pre budúcu prosperitu veľké riziko

Podľa spomínaného prieskumu považujú spoločnosti zvyšovanie kybernetických zločinov, ako jedno s najväčších rizík pre svoje podnikanie do budúcnosti. Spoločnosti označili kybernetické incidenty ako väčšie nebezpečenstvo než je regulácia, zmena legislatívy či automatizácia.

Obavy, ktoré majú české alebo slovenské spoločnosti sa podľa štúdie Allianz Risk Barometer 2021 zhodujú s názormi spoločností vo svete,. Na základe štúdie môžeme zaradiť kybernetické hrozby medzi 3 najväčšie podnikateľské riziká, ktorých sa spoločnosti po celom svete v roku 2021 obávajú.

Väčšia digitalizácia spoločností v súvislosti s ochorením COVID-19 pripravila pre kyberzločincov dobrú pôdu. Kyberzločinci svoje obete vydierajú a sú zákerní a sofistikovaní. Používajú viacero techník útokov, aby efektivita vydierania bola čo najlepšia a nakoniec napadnutá spoločnosť nemala inú možnosť, ako kyberzločincom zaplatiť. Vyjadril sa hlavný konzultant spoločnosti Flowmon Networks Roman Čupka.

Spoločnosti chcú investovať do kybernetickej bezpečnosti

Spoločnosti majú z kybernetických hrozieb strach a preto chcú investovať do bezpečnosti. Približne viac ako polovica spoločností plánuje v najbližších 2 rokoch zvýšiť rozpočet, ktorý je určený na prevádzkovú bezpečnosť.

O poklese uvažuje niečo cez 6% respondentov a približne tretina oćakáva stagnáciu. V posledných dvoch rokoch rozpočet určený na bezpečnosť v českých a slovenských spoločnostiach zvyčajne stagnoval.

The post Spoločnosti majú v roku 2021 najväčší strach z ransomvérových a phishingových útokov appeared first on Ochrana-online.sk.

Sledovanie užívateľského správania na internete

Identifikátor pre inzerentov alebo IDFA je kód, ktorý sa generuje automaticky a je uložený v každom mobile od spoločnosti Apple.

Tretie strany a spoločnosť Apple majú možnosť na základe IDFA sledovať užívateľské správanie na internete, čo môže slúžiť pre účely personalizovaných cielených reklám. Podľa vyjadrenia aktivistov sú sledovače protiprávne v prípade, ak užívatelia neudelili súhlas.

Stefan Resseti, právnik tejto skupiny, sa vyjadril, že sa jedná o rozpor európskej legislatívy. Podľa smerníc Európskej únie je nutný súhlas od používateľa na inštalovanie a použitie sledovania.

Sťažnosť bola podaná na nemecké a španielske orgány

Nemecké a španielske orgány v oblasti ochrany osobných údajov dostali sťažnosť v mene nemeckých a španielských užívateľov. Na základe smernice ePrivacy dávajú možnosť udeliť sankcie pre spoločnosti, ktoré porušia zákony v oblasti ochrany osobných údajov.

GDPR má mechanizmus, ktorý vyžaduje povinnú medzinárodnú spoluprácu, čo skupina Noyb považuje za spomalenie procesu.

Noyb nie je nováčikom v oblasti aktivizmu. Max Schrems, ktorý založil túto skupinu, stál už dvakrát proti spoločnosti Facebook. Skupina Noyb vyhotovila a podala oficiálnu sťažnosť kvôli sledovacím praktikám Googlu.

Apple predložil oficiálnu odpoveď

Apple sa taktiež vyjadril k tejto kauze. Vyjadrenia hovorcov Apple hovoria o poskytovaní vysokej úrovne ochrany súkromia pre svojich zákazníkov. Taktiež sa vyjadrili, že ich postupy spĺňajú normy legislatívy na ochranu osobných údajov a smernice ePrivacy.

The post Apple čelí sťažnosti od európskych aktivistov kvôli sledovaciemu nástroju appeared first on Ochrana-online.sk.

Full Body Exposure je správa od spoločnosti CybelAngel, ktorá pôsobí v oblasti digitálnej bezpečnosti. V tejto správe bolo poukázané na nezabezpečené lekárske údaje na celom svete. Výskum prebiehal pol roka v oblasti DICOM. – medicínskeho štandardu a sieťových dátových úložísk.

Kyberzločinci by mohli zdravotnícke dáta využiť

Výskumníkom sa podarilo odhaliť približne 2 100 nechránených serverov v 67 krajinách sveta, ako napríklad Nemecko, Francúzsko, Veľká Británia alebo Spojené štáty americké. Otestované boli viac ako 4 miliardy IP adries. Zdravotnícke snímky boli spojené s metadátami, ktoré obsahovali osobné identifikačné údaje ako adresa, meno, dátum narodenia dokonca aj o dáta o diagnóze osôb, výške alebo váhe. 

Na získanie prístupu k zdravotníckym dátam nebol použitý žiadny hackerský nástroj

Výskumníci počas výskumu nepoužili žiadne hackerské nástroje a k zdravotníckym dátam sa dostali veľmi ľahko.

Spoločnosť CybelAngel varuje, že zdravotnícke snímky či osobné údaje môžu byť použité na vydieranie alebo obchodovanie. Zraniteľné servery môžu byť taktiež použité na distribúciu ransomwaru do zdravotníckych sietí.

Nie je to prvý prípad nezabezpečených zdravotníckych dát

Nejedná sa o prvý prípad, kedy výskumníci objavili veľké množstvo nezabezpečených lekárskych dát. Napríklad bezpečnostná nemecká spoločnosť Greenbone Networks našla na nezabezpečenom úložisku cez miliardu zdravotníckych snímok.

Nedostatočné zabezpečenie systémov so zdravotnýckymi údajmi vyžaduje dôkladnejšie bezpečnostné procesy na uchovávanie a zdieľanie lekárskych dát.
GDPR legislatíva umožňuje za nedostatočnú ochranu dát klientov, udeliť poskytovateľom lekárskej starostlivosti nemalé pokuty.

The post Na internete je dostupných okolo 45 miliónov lekárskych snímok appeared first on Ochrana-online.sk.

Zavedenie odosielania poštových dátových správ zadarmo

Uznesenie vlády Českej republiky zaviedlo odosielanie poštových dátových správ zadarmo. Úlohou tohto uznesenia bolo zjednodušenie elektronického styku štátnej správy a občanov počas núdzového stavu. Cieľom je obmedzenie návštev úradov občanmi.

Úrad upozorňoval, že posielanie správ zadarmo cez dátové správy nesmie byť zneužívané. Spoločnosti aj občania by mali využívať možnosť posielať správy zadarmo rozumne.

Predseda Úradu pre ochranu osobných údajov Jiří Kaucký sa vyjadril

Dátové schránky slúžia na bezpečnú písomnú komunikáciu. Zneužívanie dátových schránok je veľmi zlé. V čase núdzového stavu je zneužitie výnimočnej bezplatnosti tejto služby neprijateľný hyenizmus, ktorý budeme dôkladne sledovať, vyhlásil Jiří Kaucký predseda Úradu pre ochranu osobných údajov.

Nevyžiadaná reklama cez dátové schránky

Pokuty boli neprávoplatne udelené 11 spoločnostiam, ktoré zneužili odosielanie poštových dátových správ zadarmo, na základe desiatok sťažností majiteľov dátových schránok. Tieto spoločnosti pracovali s tisíckami adries dátových schránok fyzických osôb. Nakladali tak, aj s osobnými údajmi.

Spoločnosti následne posielali reklamné oznámenia na rozličné produkty a služby cez dátové schránky, pričom chýbal zákaznícky alebo obdobný vzťah. Tieto spoločnosti nedisponovali žiadnym právnym dôvodom na odosielanie reklamných ponúk. Toto konanie je porušením článku 6 odst. 1 nariadenia (EU) 2016/679.
Úrad s týmito spoločnosťami začal správne riadenie. Za tieto porušenia udelil neprávoplatne 11 spoločnostiam pokutu v spoločnej výške približne 3 000 000 Kč v prepočte približne 115 000 €.

The post Úrad na ochranu osobných údajov v Česku uložil pokutu za spam appeared first on Ochrana-online.sk.

Regulátori sa zamerali na aplikáciu Messenger

Európska únia a Facebook majú medzi sebou niekoľko sporov, ako napríklad prenos dát do USA. Regulátori sa zamerali na aplikáciu Messenger, ktorú prevádzkuje Facebook.

Nariadenia sa dotkli aj četu v aplikácii Instagram, kde sa taktiež zobrazuje toto upozornenie. Spoločnosť Facebook pracuje už dlhšie obdobie na prepájaní četov Messengera a Instagramu.

Niektoré funkcionality boli pozastavené

Kvôli nariadeniam ohľadom ochrany osobných údajov majú vývojári problémy a niektoré funkcionality prestali od 16. decembra fungovať. Na blogu Facebooku je možné sa dočítať, ktoré funkcie boli zasiahnuté. Tieto zmeny siahajú aj za hranice Európskej únie.

Zmeny zasiahli aj veľké firmy, ktoré využívajú Messenger

Zmenami legislatívy GDPR sú ovplyvnené aj veľké spoločnosti, ktoré využívajú Messenger, napríklad aplikácia HootSuite, ktorá slúži na spravovanie sociálnych médií. Platforma Facebook oznámila, že obmedzenia sa vzťahujú na URL adresy, vloženého textu či odpovedí na správy.

The post Obmedzenia GDPR zasiahli Messenger aj Instagram appeared first on Ochrana-online.sk.

Legislatíva EÚ

V Spojených štátoch amerických má sídlo množstvo globálnych korporácií a veľké množstvo firiem tam ukladá dáta alebo využívajú služby, ktoré americké gigantické spoločnosti sprostredkúvajú. Biznis sa nezaobíde bez predávania osobných údajov do Spojených štátov amerických.

Pomocou prijatia takzvaného Safe Harbor sa Európska únia snažila vytvoriť priestor pre ochranu osobných údajov, ktoré boli distribuované do Spojených štátov amerických. K tomuto sa mohli podnikatelia prihlásiť a vytvoriť tak dostatočný priestor na ochranu osobných dát v kontexte európskej legislatívy. Súdny dvor EU na základe žalôb od aktivistov toto zrušil.

Po tom ako Európska únia prijala GDPR, sa pokúsila o Privacy Shield, čo je vylepšený režim ochrany osobných údajov oproti Safe Harbor. Európsky súdny dvor zrušil Privacy Shield s odôvodnením, pretože tam chýba dostatočná ochrana osobných údajov pred sledovaním, ktoré dovoľujú americké zákony.

Správcovia osobných údajov

Po tomto rozhodnutí sa množstvo podnikateľov rozhodlo prejsť na iný režim predávania osobných údajov do krajín mimo EHP, ako napríklad štandardné zmluvné doložky alebo záväzné podnikové pravidlá. Tímto krokom sa alebo problém zo vzťahom k Spojením štátom americkým nevyriešil. Záväzné podnikové pravidlá ani štandardné zmluvné doložky nemajú nad americkú legislatívu, ktorá dáva možnosť sledovať občanov.

Európska únia sa momentálne tohto problému zbavila ladne. Ako vyplýva z rozhodnutia Súdneho dvora, tak z výkladových materiálov vychádza, že správcovia osobných údajov, ktorí predávajú osobné údaje do Spojených štátov amerických majú za úlohu analyzovať vplyv amerických zákonov na predávané osobné údaje.

V prípade, ak prídu na nedostatky ohľadom ochrany osobných údajov, ktoré sa týkajú záväzných podnikových pravidiel alebo štandardných zmluvných doložiek, musí byť odovzdávanie osobných dát do USA zastavené.

Je nutné vytvoriť vhodnú legislatívu

Ako hlavný problém môžeme identifikovať sledovanie elektronickej komunikácie, ustanovenou americkou legislatívou. Momentálne asi neexistuje bezpečná cesta na predávanie osobných dát do Spojených štatov amerických, okrem zbierania súhlasov od každého subjektu, ktorého osobné údaje sa majú odovzdať do USA. Tento spôsob v obchodnej praxi môžeme zaradiť ako nepraktický. 

Očividne Európska únia nie je schopná priniesť dobré riešenie problému. Vzniknutý problém prenáša na správcov údajov, ktorí nie sú schopní to vyriešiť, nakoľko ide o konflikt medzi americkou a európskou legislatívou. Množstvo podnikateľských subjektov, naprieč celou Európou, zaplatili veľké množstvo finančných prostriedkov za GDPR súlad.

Ostáva tak požadovať od oboch strán, či už EÚ ale aj USA, aby sa zodpovedne postavili k danému problému a nepresúvali zodpovednosť na podnikateľské subjekty. Ich úlohou je prijať legislatívne riešenie tohto problému, aby obe strany boli spokojné.

The post Predávanie osobných údajov medzi USA a EU – zlyhanie regulátorov? appeared first on Ochrana-online.sk.

Na vážnu chybu prišiel šikovný Slovák

Chybu v navigácii Waze objavil Slovák Peter Gasper. Vďaka tejto chybe bolo možné monitorovať a do istej miery aj identifikovať konkrétnych užívateľov tejto aplikácie. Google opravil túto nájdenú chybu a Peter Gasper dostal aj odmenu.

Chyba v aplikácii bola v API vo webovej verzii. V tejto verzii je možné, aby si ktokoľvek pozrel informácie z navigácie, ako napríklad: nahlásené prekážky a komplikácie v doprave. Ikonky zobrazujúce sa na mape patria momentálne cestujúcim, ktorí využívajú túto aplikáciu, ale podrobnejšie dáta o nich web neukazuje.

Používatelia tejto aplikácie majú identifikátor

Peter Gasper zistil, ako je na webe spravené zobrazovanie ikon šoférov. Prišiel na záver, že GPS lokalita bola spárovaná s unikátnym identifikátorom daného šoféra, ktorá sa nemenila.

Identifikátor nebol v priebehu času menený a aj keď na webe nebol zviditeľnený, tak šikovný Peter Gasper cez API navigácie tento identifikátor získal.

Šikovný slovenský programátor na svojom blogu ukázal, ako sa vďaka týmto identifikátorom, ktoré sa nemenia dá sledovať poloha používateľov aplikácie Waze. Aplikácia generuje identifikátory a kybernetický útočník by nemal mať spôsob, ako spárovať identifikátor s reálnou identitou osoby.

Identifikovať osobu môžeme na základe dát o polohe. Touto problematikou sa zaoberali aj vedecké štúdie. Gasper sa opiera o jednu, kde prehlasuje, že na identifikovanie totožnosti 95% ľudí stačia len 4 špecifické body záujmu na mape. Odborníci tvrdia, že pohyb každej osoby je špecifický a odlišný minimálne v detailoch od iných osôb.

Peter Gasper objavil aj ďalšiu chybu

Hackeri mohli mať k dispozícii aj druhú chybu, ktorú táto aplikácia mala. Slovák ju počas pátrania zistil.

Ak nahlásite dopravný problém alebo prekážku, tak mobilná aplikácia zobrazí vašu prezývku iba v prípade, že necháte komentár. Cez API bolo možné zistiť prezývky všetkých používateľov a dokonca aj tých, ktorí nezanechali komentár. Prezývky boli prístupné spolu s identifikátorom.

Aplikácia odosielala identifikátor a prezývku do aplikácie každého jedného šoféra, ktorý prešiel okolo prekážky alebo nehody. Pomocou API sa ale dá po mape premiestňovať virtuálne a nie je potrebné meniť svoju fyzickú polohu. Internet dáva priestor pre dohľadanie prezývok.

Stotožniť osobu je možné pomocou e-mailových adries či iných účtov a identifikovať s reálnymi osobami je možné s trochou snahy. Používatelia majú častokrát rovnakú prezývku vo viacerých účtoch. Ľudia taktiež častokrát používajú svoje skutočné meno, na čo prišiel slovák Peter Gasper.

Zbieranie dát

Potenciálni hackeri by sledovali dopravné uzly a frekventované cesty, aby mohli spárovať identifikátor a prezývky používateľov tejto služby. Stačilo by im viac počítačov a rôzne IP adresy, aby Waze nespozoroval podozrivú aktivitu.

Peter Gasper ukázal, že je možné informácie zhromažďovať automatizovanými skriptami. V databáze záznamov by sa vyskytovali aj reálne mená používateľov tejto aplikácie. Vytvorenie skriptov trvalo približne len štyri hodiny.

Príprava na útok by zabrala len niekoľko dní. Identifikovať osoby by bolo možné v priebehu pár týždňov. Podľa slovenského výskumníka mohli byť tieto chyby v systéme niekoľko rokov.  Za oznámenie tejto chyby dostal Peter Gasper od Googlu okolo 1 110 eur.

The post Chyba v aplikácii Waze umožňovala sledovať používateľov, na túto chybu prišiel Slovák appeared first on Ochrana-online.sk.