Rubrika: Aktuality

Nedají si pokoj, a nedají. Vyženete je dveřmi, přilezou oknem… Řeč je o kyberpodvodnících, kteří z vašich mobilů, počítačů a bankovních účtů vysávají data a peníze. ČSOB teď varuje před novým SIM Swap trikem, který tito „šmejdi“ používají.

Funguje to následovně: Zavolá vám někdo, kdo se vydává za pracovníka vašeho mobilního operátora. Přesvědčí vás, ať si nainstalujete jejich aplikaci, kde najdete přehled o svém tarifu, platbách, nevyčerpaných mobilních datech apod. To je všechno pravda, ale jen v případě, že máte do aplikace přístup jen vy sami.

Může se totiž stát, že se útočníkovi podaří nainstalovat si aplikaci s vaším účtem i na jeho vlastní mobil. Stačí, aby z vás vymámil potvrzující SMS kód, který si nechá poslat na vaše telefonní číslo. V aplikaci pak uvidí vaše osobní údaje a získá také přístup k vydání e-SIM (elektronické SIM karty).

Pokud si podvodník e-SIM aktivuje, zablokuje vám vaši vlastní SIM kartu a vyšachuje vás tak ze hry. Odborně se tomu říká SIM Swap. Kromě toho, že může kamkoli zavolat z vašeho čísla, může se dostat i k vašemu emailu, Facebooku, bankovním aplikacím…Všem službám, které pro ověření totožnosti nebo odblokování hesla používají telefonní číslo.

Proto buďte v každém případě obezřetní a pamatujte, že potvrzovací SMS kódy jsou určeny pouze a výhradně vám, coby uživatelům. Nikdy je nikomu nesdělujte ani nepřeposílejte.

„I když se věnuje spousta sil tomu, aby společnost byla o podobných podvodech edukována, stále to nestačí,“ řekl pro SecurityGuide bezpečnostní ředitel královéhradecké pobočky ČSOB, Milan Rajchl. „Pořád se najde dost lidí, kteří uvěří neznámému člověku na druhé straně telefonu, a svěří mu své osobní údaje, čísla, hesla apod.“ Podle něj hraje velkou roli v nezodpovědnosti lidí i všudypřítomný shon a stres: „Když vám někdo takhle zavolá uprostřed náročného dne, a třeba ještě apeluje na to, že můžou být vaše konta nebo účty na sítích v ohrožení, nemáte většinou čas ani chuť pochybovat, že to může být podvod. V zápalu toho denního shonu automaticky uděláte, co dotyčný chce. Když si pak uvědomíte, co se stalo, je už většinou pozdě. Dalším slabým článkem jsou senioři. Ti zase doplácí na svou důvěřivost a snadno podlehnout silnějšímu manipulátorovi,“ vysvětluje Rajchl.

Zdroj: ČSOB, AN

Česká republika vstupuje do další fáze transpozice směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Evropské unii, tzv. směrnice NIS2, do českého právního řádu. Poté, co směrnice vstoupila v polovině ledna v platnost, začala členským státům EU běžet 21 měsíců dlouhá lhůta, během které musí transponovat tento předpis a změny z něj vyplývající do národních legislativ.

Již v srpnu loňského roku NÚKIB spustil webové stránky nis2.nukib.cz. Jejich cílem je podat přehledné a ucelené informace o tom, co nová směrnice přináší, popsat největší změny stávajících požadavků a způsob, jak budou evropské požadavky promítnuty do národní legislativy. Jak NÚKIB již při spuštění stránek avizoval, informace na nich bude průběžně aktualizovat a doplňovat. Největší změnou, ke které došlo k 26. lednu 2023 a kterou jsme se rozhodli dát na vědomí také touto cestou, je přidání informací o tom, jak vypadají legislativní návrhy pro národní úpravu.

Vzhledem ke skutečnosti, že přijetí směrnice NIS2 požaduje provést v oblasti regulace kybernetické bezpečnosti řadu změn, bylo nutné vypracovat nový zákon o kybernetické bezpečnosti a 8 prováděcích vyhlášek. Návrh těchto předpisů nyní dává NÚKIB k dispozici na zmíněném webu nis2.nukib.cz ke konzultacím veřejnosti. Připomínky a podněty lze zasílat prostřednictvím formuláře zveřejněného na výše uvedených webových stránkách. Prostor pro jejich zaslání má veřejnost do 26. února 2023. Spolu s těmito dokumenty web obsahuje také články popisující v deseti tematických okruzích největší změny, které předložené návrhy přibližují. Mimo transpozici požadavků směrnice NIS2 je pak obsahem zveřejněných materiálů i návrh nové legislativy mechanismu prověřování rizikovosti dodavatelů, tj. problematika bezpečnosti dodavatelského řetězce.

NÚKIB zároveň zdůrazňuje, že se jedná o návrh právní úpravy, který dává k dispozici pro konzultace již necelý měsíc po zveřejnění směrnice NIS2, ke kterému došlo 27. prosince 2022. Nejedná se tedy o finální legislativní návrhy. Cílem této veřejné konzultace je zapojit odbornou veřejnost do tvorby legislativy ještě před samotným oficiálním legislativním procesem. Tato veřejná konzultace zároveň nenahrazuje standardní mezirezortní připomínkové řízení ani další fáze legislativního procesu, které teprve nastanou. „Konzultace s odbornou veřejností jsou ze strany NÚKIB osvědčenou praxí. Obzvláště v takto významných případech chceme znát názor expertů mimo náš úřad, tedy zástupců subjektů, kterých se regulace přímo týká. Cílem je najít určitý konsenzus, pro všechny strany co nejoptimálnější řešení. Při rozhodování o definitivní podobě ale vždy musíme mít na paměti, že nám jde především o maximální bezpečnost České republiky,“ sdělil k tomuto kroku ředitel NÚKIB Lukáš Kintr.

„Aktuálně jde o návrhy legislativy, které se ještě budou měnit, finalizovat, právě na základě podnětů veřejnosti, nebo případně pak v rámci standardního legislativního procesu. Našim záměrem bylo dát odborné veřejnosti tyto návrhy ke konzultacím a diskusi co nejdříve. Při jejich zpracování jsme se opírali o kvalitní původní zákon o kybernetické bezpečnosti a o zkušenosti získané při jeho aplikaci,“ dodává za NÚKIB ředitel odboru regulace Adam Kučínský.

Zdroj: www.nukib.cz, AN

V posledních dnech se v chatovací aplikaci Messenger od společnosti Meta objevil scam, který se šíří mezi kontakty uživatelů v České republice.

Na první pohled se scam vydává za legitimní zprávu od přátel s odkazem na sociální síť TikTok a výzvou ke shlédnutí videa. Po kliknutí na odkaz je pak uživatel vyzván buď ke stáhnutí aplikace, nebo k přihlášení k nějaké placené službě. Zároveň pak může být i jeho účet na Messengeru dále zneužit k šíření této řetězové zprávy na vlastní kontakty a do chatovacích skupin, varuje společnost ESET.

Co se stane po kliknutí na odkaz?

Po kliknutí na podvodný odkaz jsou uživatelé přesměrováni na další webový obsah, a to v závislosti na operačním systému (Android, iOS, macOS, Windows), na kterém zrovna chatovací aplikaci používají, nebo zemi, ze které k obsahu přistupují. V případě mobilního zařízení se s největší pravděpodobností jedná o podvodnou a zavádějící propagaci aplikace Express VPN nebo VPN Super Speed. Uživateli se může po kliknutí na odkaz otevřít stránka podobná přehrávači YouTube, uživatel je ale pro shlédnutí videa vyzván k instalaci právě této aplikace. Alternativně může dojít k přesměrování na zavádějící herní nebo výherní portály s povinnou registrací. Pokud uživatel projeví zájem o tuto službu, je přinucen uhradit fixní týdenní poplatek formou pravidelné SMS.

V případě desktopové verze chatovací aplikace se zobrazil nejčastěji obsah pro dospělé, například na video portálech, placených chatech a seznamkách. Ve všech případech se útočníci snaží přimět uživatele k zaplacení.

Jak se mohou uživatelé bránit?

Na odkaz rozhodně neklikejte. Pokud se zpráva začne šířit i z vašeho účtu, upozorněte své přátelé, že odkaz ve skutečnosti nepochází od vás. Pokud už na odkaz kliknete, nestahujte žádné aplikace, ani se nepřihlašujte k odběru žádných služeb, které se pod odkazem skrývají. Na podvodnou komunikaci vás upozorní také úroveň používané češtiny, a to jak gramatika, tak tón jazyka, kterou váš přítel používá. Pokud se vám styl komunikace zdá podezřelý nebo vám zpráva přišla od přítele, se kterým si na dané sociální síti běžně nepíšete, zeptejte se, co se pod odkazem skrývá. Nezapomínejte na kvalitní bezpečnostní software, který včas varuje před potenciálně nechtěnými aplikacemi (tzv. PUA) a podvodnými phishingovými webovými stránkami, které mohou být právě zneužity k různým podvodům a k šíření malwaru.

Zdroj: TZ; JM

NÚKIB zvládl vedení několika pracovních skupin v Radě i mimo ni, úspěšně zorganizovali široké spektrum výjezdních zasedání, konferencí, seminářů a povedly se mu také naplnit 3 definované priority.

Půlroční předsednictví v Radě Evropské unie (CZ PRES) je pryč. Zatímco pro Českou republiku se jednalo o historicky druhé předsednictví, pro Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), jakožto ústřední správní orgán pro kybernetickou bezpečnost České republiky, který vznikl teprve před 5 lety, bylo premiérou. Byla to však premiéra zdařilá.

3 definované priority byly:

• nalezení shody napříč členskými státy ohledně podoby návrhu nařízení Evropského parlamentu a Rady EU, který stanoví opatření k zajištění vysoké společné úrovně kybernetické bezpečnosti v orgánech, institucích a jiných subjektech EU,
• projednávání návrhu Aktu o kybernetické odolnosti (Cyber Resilience Act),
• posilování tématu kybernetické bezpečnosti dodavatelského řetězce (BDŘ) v informačních a komunikačních technologií (ICT).

Přestože se NÚKIB daným problematikám věnoval již před samotným předsednictvím, v čemž hodlá v budoucnu nadále pokračovat, CZ PRES mu nabídlo jedinečnou příležitost vzít otěže do vlastních rukou a pokročit v daných věcech. V tomto duchu se také v září vyjádřil ředitel NÚKIB Lukáš Kintr na jednání Skupiny pro spolupráci NIS: „Uděláme maximum pro to, abychom agendu kybernetické bezpečnosti posunuli výrazně kupředu a posílili tak odolnost Evropské unie jako celku.“ Naplnění všech tří priorit NÚKIB napomohlo dosáhnout cílů ČR v oblasti kybernetické bezpečnosti stanovených pro CZ PRES a vybudovat podstatný základ pro další směřování státu i celé Unie v daných oblastech. Podařilo se tak splnit závazek, který byl pro předsednictví stanoven.

Co konkrétně se podařilo? V říjnu Rada EU přijala závěry týkající se BDŘ v ICT, které vyzdvihly důležitost společného postupu v řešení tohoto tématu a nastínily konkrétní kroky a iniciativy potřebné k posílení této oblasti napříč státy EU. Mělo by tak výhledově dojít k omezení vlivu rizikových dodavatelů na nejvýznamnější informační infrastrukturu jednotlivých států. NÚKIB již nyní dokončuje přípravu textu návrhu zákona, který bude tento cíl reflektovat a navýší kybernetickou bezpečnost České republiky.

Další pro CZ PRES stanovená priorita byla naplněna v listopadu, kdy Rada EU schválila obecný přístup a vyjádřila tak jednotnou pozici všech 27 členských států k návrhu nařízení o kybernetické bezpečnosti orgánů, institucí a jiných subjektů Unie. Přijetím tohoto nařízení má být výhledově napraven současný nevyhovující stav, kdy neexistují společná pravidla jednotlivých subjektů, přičemž v úrovních jejich kybernetické bezpečnosti panují velké rozdíly. Sjednocení pravidel povede k posílení kybernetické bezpečnosti celé EU. Obecný přístup byl vyjednán na pracovní skupině, které předsedal právě NÚKIB.

Poslední prioritou bylo zahájit projednávání návrhu Aktu o kybernetické odolnosti, jenž stanovuje pravidla pro uvádění produktů s digitálními prvky na evropský trh. Cílem Aktu je zajistit kybernetickou bezpečnost těchto produktů během jejich celého životního cyklu a také zlepšit informovanost jejich uživatelů. Po pročtení návrhu byla během CZ PRES připravena také první revize textu k rozsahu působnosti nařízení a schválena zpráva o pokroku, kterou připravoval NÚKIB. Nyní bude na švédských kolezích, aby učinili v dané věci další potřebné kroky pro přijetí tohoto legislativního návrhu.

NÚKIB v rámci CZ PRES uspořádal v Brně, Praze i Bruselu přibližně šestnáct akcí mezinárodního charakteru, jichž se zúčastnily fyzicky či virtuálně celkově stovky lidí. Mezi nimi bylo také první neformální setkání delegátů Horizontální pracovní skupiny pro kybernetické otázky Rady EU a Výboru pro kybernetickou obranu NATO za účelem posilování spolupráce mezi EU a NATO, což byla jedna z hlavních priorit ČR. Šlo vůbec o první setkání tohoto formátu, na které by do budoucna ráda navázala i nadcházející předsednictví. Bezpochyby největší a nejvýznamnější akcí však byla prestižní Prague Cyber Security Conference, které se 3. listopadu 2022 zúčastnilo na 500 expertů na kybernetickou bezpečnost z více než 80 zemí světa, EU i NATO. Cílem všech aktivit byla nejen výměna zkušeností z praxe, ale také prohloubení vzájemné spolupráce. Společným záměrem pro všechny pak během CZ PRES bylo, je a v průběhu toho švédského nadále bude posílení bezpečnosti EU, k čemuž se naplněním stanovených priorit minimálně v „kyber“ oblasti povedlo významně přispět.

Zdroj: nukib.cz; JM