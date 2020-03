Souvislostí je více, ale můžeme zmínit alespoň dva základní pilíře. Za prvé, současnou situaci provází velmi silné emoce. To je ideální substrát pro hackerské aktivity namířené proti lidem. Během zjitřené doby jsou totiž uživatelé mnohem méně pozorní, a tudíž mnohem náchylnější vůči útokům.

Za druhé, spousta lidí nyní bude pracovat z domova. Mnohé firmy práci z domova umožňují již dávno a mají na to zavedené nástroje. Existují však instituce (nebo jejich části), kde práce z domova zvykem nebyla a nyní se ve shonu snaží vše nastavit a zprovoznit, aby udržely pracovníky v kontaktu se zaměstnáním alespoň vzdáleným přístupem. To s sebou samozřejmě nese další bezpečnostní rizika – neaktuální software, ledabyle nastavené přístupy, otevřené RDP porty nebo nedostatečně zabezpečená VPN, neškoleného a nezkušeného uživatele a mnohdy i používání osobních zařízení (vlastní laptopy, mobily).

Tento koktejl tvoří příhodné prostředí, ve kterém se útočníkům daří lépe než za klidných časů. Právě koronavirus provází již celá řádka malwarových kampaní, často se objevuje phishing a možná s ním souvisí i některé případy napadení ransomwarem.

První malware mířený na Japonsko

Již v lednu tohoto roku, tj. necelý měsíc po vypuknutí nákazy v Číně, se vyrojily první útoky. Například tým IBM X-Force zaznamenal vlnu e-mailových zpráv v japonštině. Tyto zprávy se tvářily jako informace o pacientech infikovaných koronavirem a více informací slibovaly v příloze.

Přílohou byl dokument Office, který po otevření žádal, aby uživatel opustil zabezpečený režim prohlížení (což je režim automaticky spouštěný u souborů stažených z internetu) a povolil editace. Tím se otevřela brána útoku: VBA makro spustilo skript v PowerShellu a došlo ke stažení Emotet trojanu do počítače. Hotovo.

Phishing mnoha tváří

Už během ledna se objevily i phishingové kampaně tvářící se jako zprávy od Světové zdravotnické organizace (World Health Organisation, WHO) či od amerického Centra pro kontrolu a prevenci nemocí (Centers for Disease Control and Prevention, CDC). Nabízely aktuální informace o šíření nákazy, ovšem jedině po zadání přihlašovacích údajů k e-mailové schránce uživatele. Před podobnými zprávami v únoru varoval i český GovCERT.

Další phishingové kampaně zkoušejí i jiné způsoby. Například rozesílají žádost o vyplnění krátkého dotazníku (který začíná „přihlášením“ např. do Outlook Web App), nabízejí dezinfekční gely či roušky za přijatelnou cenu (a opět je mnohdy nutné „přihlášení“), doporučují zajímavý text o nastupující pandemii (ale je nutné se „přihlásit“ do cloudového úložiště, např. OneDrive nebo Dropboxu, aby se soubor zobrazil).

Samozřejmě se najdou i e-maily zacílené na příjemce alternativních „pravd“, kde po „přihlášení“ slibují prozradit pravdu, kterou nám oficiální představitelé tají a která nás všechny bude šokovat.

Zacíleno na platby

Další typ útoků se tváří jako srdcervoucí e-mailová zpráva o tom, jak spousta dobrovolníků pomáhá v boji s nákazou, vědci se snaží o vytvoření nové vakcíny, charity dodávají do postižených oblastí zdravotnický materiál a podobně.

Zpráva je korunována žádostí o příspěvek na aktivity té které organizace, některé zprávy dokonce obsahují i QR kód pro rychlou platbu. Zadaná platba samozřejmě nejde na dobročinnost, nýbrž útočníkům (a někteří si samozřejmě rovnou vezmou i čísla platební karty a bezpečnostní kódy).