Sociálne siete nie sú zlé, treba však poznať ich riziká, hovorí odborník na kybernetickú bezpečnosť

Kubovič portrét

Sociálne siete sú fenoménom dnešnej doby. Už dávno neplatí, že sa na ne prihlasujú len mladí. Ľudia na nich zdieľajú informácie o svojom voľnom čase, práci, organizujú cez ne podujatia a niekedy nahrádzajú aj klasické média. Sú si však používatelia sociálnych sietí vedomí rizík, ktoré sa na sociálnych sieťach vyskytujú? Správajú sa na týchto relatívne mladých platformách zodpovedne? O týchto otázkach sme sa rozprávali s Ondrejom Kubovičom, špecialistom na digitálnu  bezpečnosť spoločnosti ESET.

V rozhovore sa dozviete:

  • Aké sú najčastejšie typy útokov na sociálnych sieťach?
  • Na aké nastavenia by sme na sociálnych sieťach nemali zabudnúť?
  • Prečo by mali rodičia obmedziť príspevky o svojich deťoch?
  • Na čo si dať pozor pri vytváraní príspevku na sociálnych sieťach?

Kedy ste si naposledy skontrolovali zabezpečenie vášho profilu na Facebooku? Naučíme vás, ako na to. Čítať viac


Pri bezpečnosti na internete sa väčšinou hovorí o škodlivých stránkach či aplikáciách. Menej sa spomínajú sociálne siete. Je to preto, že sú bezpečnejšie?

Podobné hrozby, ako vídavame na iných stránkach, môžeme postretnúť aj na sociálnych sieťach. Tieto platformy predstavujú v podstate distribučný kanál, podobne ako napríklad e-maily. Útočník sa snaží užívateľa zmanipulovať, aby si niečo stiahol, alebo navštívil nejakú stránku, vďaka čomu môže robiť neplechu.

Sú teda rovnako nebezpečné ako iné stránky?

Tak by som to asi nepovedal. Treba si uvedomiť, že ide o platformy, o ktoré sa stará kvantum ľudí a  ktoré sa snažia zaručiť určitú úroveň ochrany. Využívajú na to rôzne algoritmy, spolupráce s bezpečnostnými firmami a snažia sa celý systém nastaviť tak, aby automaticky zachytával možné hrozby. Na druhej strane, aj útočníci sa snažia hľadať mechanizmy, ako tieto opatrenia obísť.

V čom spočívajú najväčšie riziká sociálnych sietí?

Môžeme sa na to pozrieť podľa úrovne zabezpečenia. Základným rizikom je, ak užívateľ „oversharuje“. Znamená to, že o sebe zdieľa príliš veľa informácií a nedbá na ich zabezpečenie. Príkladom sú ľudia, ktorí na svoj verejný profil pridávajú fotky, zdieľajú kam sa chystajú na dovolenku a podobne.

Druhá úroveň je bezpečnosť vlastného profilu, teda či nemám ľahké heslo, či využívam dvojfaktorovú autentifikáciu a podobne. Ak nemám, vystavujem sa riziku, že niekto účet hack-ne.

Hrozby však častokrát prichádzajú aj zvonka, ako napríklad škodlivé linky. Cez sociálne siete sa môže k používateľom dostať obsah, ktorý nie je úplne čistý. Pomerne rozšíreným problémom je aj klonovanie profilov.

Každý mesiac nový rozhovor o zaujímavých témach. Prihláste sa na odber nášho newslettra.


Loading

Skúsme byť konkrétnejší. Vieme vymenovať pár najbežnejších útokov, s ktorými sa na sociálnych sieťach môžu stretnúť aj slovenskí používatelia?

Stretnúť sa môžu s virálnymi videami, ktoré prinášajú bombastické informácie alebo odhalenia. Ich cieľom je, aby používatelia na takýto link klikli. Na druhej strane linku je buď škodlivá stránka, alebo stránka, ktorá sa snaží používateľovi niečo nanútiť. Napríklad aby si stiahol špeciálne rozšírenie pre prehratie spomínaného videa. Podobným typom útoku môže byť aj link, ktorý sa po rozkliknutí začne šíriť ako červ v profile obete a v jej mene článok zdieľa na jej stene alebo ho rozposiela v správach priateľom. Dnes už tento typ útoku pomerne úspešne zachytávajú aj samotné sociálne siete.

Rozšírené je tiež vytváranie falošných profilov a falošných skupín. Funguje to tak, že útočník vytvorí skupinu, do nej pridá falošné profily a tvári sa, že ide napríklad o súťaž o nové iPhony. Samozrejme, je to podvrh a cieľom je získať čo najviac sledovateľov. Následne môže útočník takúto skupinu predať, alebo sa môže pokúsiť od ľudí získať citlivé dáta. Tie môže neskôr zneužiť, alebo ich opäť predať a speňažiť.

Zdieľanie týchto súťaží som zachytil aj medzi svojimi priateľmi. Protiargument môže byť, že jedným zdieľaním sa človek až tak neohrozí a možno bude jedna z dvadsiatich súťaží reálna.

V poriadku, ak chce niekto rozdávať číslo svojej kreditky aj ľuďom na ulici, čo je v princípe podobný prípad, je to jeho rozhodnutie. Lebo riziko, že sa útočníci budú snažiť získať citlivé údaje je reálne. Je tu však aj iný rozmer, ktorý si málo ľudí uvedomuje. My ako jednotlivci sme zodpovední za celú spoločnosť a tak, ako nechceme podporovať zlodejov vonku na ulici, nemali by sme ich podporovať ani na internete. Ak takúto súťaž niekto zdieľa, post môžu vidieť desiatky alebo stovky jeho kamarátov. Naozaj niekto chce takto ohroziť svojich známych, ktorí môžu takémuto podvodu naletieť? Činy na sociálnych sieťach majú svoje dôsledky presne tak, ako činy v reálnom svete.

Hlavnými argumentami teda sú obavy zo zbierania citlivých údajov a morálna zodpovednosť.

Stať sa ešte môže aj to, že skončím v skupine s ďalšími 10-15 tisíc ľuďmi, čo už začína byť zaujímavé aj pre rôzne firmy. Majiteľ takejto stránky môže skupinu predať a nový majiteľ môže začať zdieľať úplne iný obsah, alebo opäť skúšať ďalšie útoky.

S prehnaným zdieľaním sa spája aj prispievanie fotiek detí, tzv. sharenting. Prečo by si na to mali dávať rodičia pozor?

Keď dieťa vyrastie, bude mať de facto vytvorený profil na sociálnej sieti, pričom ho nebude mať pod kontrolou. Rodičovi sa zároveň môže ťažko vysvetľovať dieťaťu v puberte, prečo zverejňoval jeho nahé fotky vo vaničke. Je to v poriadku, ak má niekto takúto fotku v albume a raz za čas sa k nej vráti. Iné je zverejniť ju na sociálnej sieti, kde si ju môže ktokoľvek uložiť prípadne urobiť z nej screenshot a následne zdieľať. Tým jej pôvodný autor a majiteľ stráca nad ňou akúkoľvek kontrolu.

Ďalším problémem je, že existujú ľudia, ktorí takýto obsah vyslovene vyhľadávajú. V zlom prípade tak robia pre svoje uspokojenie, v horšom na ďalší predaj zisk. Nie je to vôbec ojedinelé a majú s tým problémy aj orgány činné v trestnom konaní. Objem dát s detskou pornografiou je taký obrovský, že ho nestíhajú dohľadávať, nieto ešte postihovať jej tvorcov či distribútorov. Určite žiadny rodič nechce mať fotku dieťaťa v nejakej podobnej databáze na dark webe. To však hovoríme o veľmi čiernom scenári. V prvom rade je dobré mať na pamäti, že moje dieťa tiež vyrastá do tohto sveta a v istom bode bude chcieť mať kontrolu nad vlastným súkromím a právom vlastniť svoju tvár. 

A čo v prípade posielania fotiek cez Messenger alebo WhatsApp? Hrozia tam nejaké riziká?

Treba si uvedomiť, že aj keď WhatsApp a Messenger fungujú inak, sú v podstate tiež sociálnymi sieťami. Ak niekomu pošlem fotografiu a on alebo ona si ju uloží, tak ju nedokážem nijako vymazať. Strácam teda nad ňou kontrolu. Veľa mladých ľudí sa uchyľuje k tzv. sextingu, kedy si posielajú či už správy alebo fotografie s erotickým obsahom. Môže sa však stať, že dnes pošlú fotografiu svojmu partnerovi či partnerke, no za rok či dva sa môžu rozísť a tieto fotografie môže expartner využiť dokonca aj na vydieranie. Aj na četovacích aplikáciách preto treba rozmýšľať, aký obsah zdieľame.

Ako by sme vlastne definovali sociálnu sieť? Je napríklad Spotify, alebo účet na fóre nejakého média sociálnou sieťou?

Ja by som oddelil dve veci – digitálnu identitu a sociálnu sieť. Napríklad v diskusii na SME ide o digitálnu identitu, kde si človek vytvorí konto so svojou prezývkou a v princípe nikto nevie, o koho ide. O sociálnej sieti by som hovoril v momente, keď daná platforma disponuje prvkami prepájania do skupín. Z tohto pohľadu by som Spotify zaradil k sociálnym sieťam, pretože tam je dokonca aj funkcia zdieľať s priateľmi či možnosť „followovať“ ľudí. Medzi sociálne siete preto radíme aj služby ako WhatsApp, Messenger a ďalšie četovacie služby, ktoré prepájajú ľudí.

V čase koronakrízy tiež výrazne vzrástlo používanie služieb nástrojov na spoluprácu ako Microsoft Teams či Zoom. Aj o týchto službách môžeme povedať, že majú prvky sociálnej siete a je dobré aj pri nich počítať s možnými rizikami. 

Ďalším fenoménom sociálnych sietí je, že sa viem napríklad cez Facebook alebo Google účet prihlasovať do ďalších služieb. Znamená to, že ak mi niekto hack-ne účet na Facebooku, bude mať prístup ku všetkým službám a takpovediac aj k celej mojej online identite?

V podstate áno. V takomto prípade najmä rastie váha zabezpečenia pre danú sociálnu sieť, cez ktorú sa prihlasujem do iných služieb. Ideálne by sme v takomto prípade mali mať dve až tri vrstvy ochrany, aby nebolo jednoduché dostať sa do používateľského profilu.

Je tu ale aj iný rozmer. Ak na prihlasovanie používame „tlačidlá“ sociálnych sietí, zároveň súhlasíme s tým, že napríklad Facebook môže spracovávať aktivitu na daných stránkach. Toto je tiež niečo, čo treba vziať do úvahy.

Je z pohľadu bezpečnosti rozdiel v tom, či sa prihlásim na sociálnu sieť cez prehliadač, alebo cez vlastnú aplikáciu sociálnej siete?

Rozdiel tam určite je, pretože prehliadač je v princípe prostredníkom. Keď pristupujem na internet z počítača, môže mať problém už samotný operačný systém a prehliadač môže byť tiež zastaraný alebo v ňom môžem byť nainštalované pochybné rozšírenie. Pribúda tam teda ďalší rad rizík, ktorý pri prihlasovaní cez aplikáciu odpadá.

Keď sa prihlásim cez aplikáciu samotnej sociálnej siete, rovnaká firma sa stará o bezpečnosť celej platformy aj aplikácie. Vyššia miera ochrany je to teda z toho pohľadu, že na celú cestu používateľa dohliada jedna firma a jej pracovníci. Aj tu však platí, že používateľ nesmie zabúdať na pravidelné aktualizácie. Otázkou tiež je, ako sa daná firma stará o bezpečnosť používateľov aplikácie, no vo všeobecnosti by to malo byť bezpečnejšie.

Spomínali sme masové a relatívne jednoduché útoky. Využívajú útočníci sociálne siete aj na komplikované cielené útoky?

Sociálne siete využívajú aj tí najsofistikovanejší útočníci, i keď to sa bežných ľudí viac-menej netýka. Príkladom môže byť nedávny prípad, ktorý sme zachytili v súvislosti s profesionálnou platformou LinkedIn. Potenciálnych uchádzačov o zamestnanie tu môžu oslovovať ľudia z rôznych firiem a dávať im pracovné ponuky. Útočníci si povedali, že toto je výborný nástroj ako sa infiltrovať do firiem, ktoré si vzali na mušku. Našli si teda profily ľudí, ktorí by mohli mať zaujímavé informácie a začali si s nimi písať, vydávajúc sa za ich potenciálnych budúcich zamestnávateľov zo zbrojárskeho sektora. Obete manipulovali konkrétnymi pracovnými ponukami. Poslali im PDF súbor s pracovnými pozíciami, mzdami či popisom práce. Ak obete spustili tento PDF súbor, v pozadí sa rozbehli škodlivé procesy, ktoré do zariadenia nakoniec nainštalovali špionážny malvér.

Aké sociálne siete sú najrizikovejšie? Existujú štatistiky, na ktorej sociálnej sieti sa deje najviac útokov?

Snaha sociálnych sietí je mať platformy čo najbezpečnejšie. Vo všeobecnosti platí, že čím väčšia sociálna sieť, tým väčšie riziko, pretože je to pre útočníka atraktívnejšie. Neznamená to však, že je Facebook najnebezpečnejšia sociálna sieť, takisto ako Windows nie je najnebezpečnejší operačný systém. Je tam skrátka najviac používateľov, lebo ide najrozšírenejšie platformy.

Keď sa povedia sociálne siete, asi väčšinu ľudí napadnú skôr americké firmy ako Facebook či Twitter. Ako je to s bezpečnosťou napríklad čínskych, či ruských sociálnych sietí? Populárny je v poslednej dobe čínsky TikTok.

Nová sociálna sieť so sebou nesie iný typ rizika. Nevieme, ako daná sociálna sieť funguje, či kto za ňou stojí. Napríklad pri Facebooku vieme, že je za ňou Mark Zuckerberg a jeho tím, sídlia v Palo Alto, vieme, aké dáta zbierajú a podobne. Pri TikToku niečo z toho už možno vieme, ale verejných informácií je menej. Málokto asi tuší, kde presne sa nachádza infraštruktúra nutná pre fungovanie tejto sociálnej siete, a možno ešte nevieme, aké všetky dáta zbiera. Niektoré krajiny – ako napríklad India – sa túto aplikáciu snažia zablokovať.

Ďalšou vecou je, že pri novej sociálnej sieti sa musia používatelia opäť učiť, čo robiť a čo nerobiť. TikTok je o hudobných videách, ktoré ľudia často natáčajú vo svojej domácnosti. Vidím tu riziko, že nechcene natočia aj citlivé informácie o svojom dome či byte. Napríklad, že majú jeden zámok na dverách, alebo že bývajú na prízemí. Rizikom je teda aj neskúsenosť s novými sociálnymi sieťami.

Doteraz sme sa rozprávali o rizikách, skúsme si zhrnúť aj odporúčania. Čo by sme určite na sociálnych sieťach robiť nemali?

Ja sa riadim jednoduchým pravidlom: na sociálne siete nepridávať niečo, čo by som nechcel ukázať mojim rodičom či mojej babke. Napríklad fotku, ako som sa opil na párty a na druhý deň som sa zobudil s pokreslenou tvárou. To na Facebook nepatrí. Druhé moje odporúčanie je, aby sa ľudia pri tvorbe príspevkov na sociálnych sieťach zamýšľali ako vyšetrovatelia: čo sa dá z daného príspevku odčítať? Je na fotke v pozadí niečo, na základe čoho sa dá určiť konkrétna poloha? Ľudia by sa mali vcítiť do kože vyšetrovateľa a zamyslieť sa, čo sa dá z postu zistiť, aby tak predišli zverejneniu citlivých informácií. Určite neodporúčam zdieľať fotky zmlúv, dokladov, lístkov s QR kódmi či ŠPZtky.

Aké sú naopak jednoduché tipy, vďaka ktorým by sme našu bezpečnosť na sociálnych sieťach zvýšili?

Základom je silné heslo. Pre každú službu by sme mali mať unikátne heslo, čiže nie rovnaké heslo pre Facebook, YouTube, či Gmail. Manažér hesiel vie všetky heslá uchovať v zašifrovanej podobe a používateľovi tak stačí zapamätať si len jedno heslo. Dnes už môžete mať heslo aj na 40 znakov, čísel a písmen, čo zatiaľ žiadny počítač hrubou silou v rozumnom čase neuhádne.

Odporúčam tiež používať ďalší faktor overenia ako sú autentifikačné aplikácie, či biometria cez telefón. V rámci profilu je ideálne si nastaviť profil ako súkromný. Je tiež vhodné prejsť si všetky nastavenia sociálnej siete a nastaviť ich čo najprísnejšie. Aspoň raz za čas by som odporučil skontrolovať aj zoznam priateľov a rozšírení, ktoré sociálne siete ponúkajú. Taktiež je dobré skontrolovať, v akých skupinách sa nachádzam, keďže sa môžu meniť, zlučovať, či predávať.

Dalo by sa povedať, že ak sa na sociálnych sieťach správa človek zodpovedne, sú vo všeobecnosti bezpečné? Vnímať ich ako hrozbu, alebo sa pozrieť skôr na to, ako ich využívajú jednotlivci?

Aj smartfón prináša množstvo výhod. Vďaka nemu sa vieme kedykoľvek spojiť so svojimi známymi, skontrolovať si e-mail, máme prístup k informáciám na internete, vieme si kupovať lístky a podobne. Zároveň ale múdry telefón predstavuje riziko. Ak si nainštalujem škodlivú aplikáciu, môžu o mne zbierať citlivé dáta alebo ma sledovať cez zabudovanú kameru. Príležitosti zo sebou prinášajú riziká a tie musíme akceptovať, ak chceme dané produkty či služby používať. To platí aj o sociálnych sieťach. Preto je dobré vzdelávať sa v tejto oblasti a vedieť, v čom spočívajú riziká ich používania. Na takmer všetky totiž existujú riešenia, v ktorých je dobré mať prehľad. V skratke platí, že sociálne siete nie sú zlé, len si pri ich používaní musíme uvedomiť čo nám hrozí.