Myslíte si, že máte svou digitální stopu pod kontrolou? Omyl. I když dodržujete všechna bezpečnostní pravidla, vaše údaje mohou být dostupné útočníkům, aniž byste o tom věděli.

Děláte všechno správně: neklikáte na podezřelé odkazy, ignorujete e-maily od „nigerijských princů“, používáte silná hesla a dvoufaktorovou autentizaci, kde je to možné. Myslíte si, že svou digitální stopu máte pod kontrolou. Jenže...

Stačilo, že jste před rokem dali své telefonní číslo někomu, kdo si vás uložil jako „Petr V. – bezpečák Tovek“. Později si jeho dítě do telefonu stáhlo „bezplatnou“ hru obsahující malware typu infostealer. Během vteřiny putoval celý jeho telefonní seznam na dark web. Vaše údaje jsou teď součástí balíčku na prodej za pár dolarů – a vy o tom nemáte tušení. Ano, zjednodušili jsme to, ale v principu je to takto snadné

Když o vás vědí víc, než byste chtěli

Problém není jen v úniku samotného telefonního čísla spojeného se jménem. Podle toho, jak si vás lidé ukládají do svých kontaktů, mohou útočníci získat i další cenný kontext.

Viděli jste už někdy podobně uložené kontakty?

• „Petr Bezpečák“ – prozrazuje vaši profesní specializaci.
• „Brouček“ – odhaluje možný intimní vztah.
• „Ganja Dejvice“ – naznačuje nelegální aktivity.
• „Pavel od Jarušky“ – prozrazuje jméno vašeho partnera.
• „Tatínek od Natálky“ – odhaluje jméno vašeho dítěte.
• „Pepa z operativy“ – u příslušníků bezpečnostních složek může být takový únik i život ohrožující.

Takové informace mohou být využity pro velmi sofistikovaný phishing nebo sociální inženýrství.

OSINT jako zbraň v rukou útočníků

OSINT (Open Source Intelligence) je disciplína, kterou běžně používají bezpečnostní složky k vyhodnocování veřejně dostupných informací – včetně těch uniklých. Stejné techniky dnes ale využívají i útočníci. Za pouhých několik minut lze z uniklého telefonního čísla zjistit jméno, datum narození, adresu bydliště, zaměstnavatele, rodinný stav, jména rodinných příslušníků, fotografie, přátele a možná i používaná hesla z předchozích úniků dat.

Co odhalil praktický výzkum

V rámci malého průzkumu jsem analyzoval 50 telefonních čísel z různých sociálních skupin. Zjištěná data:

• U 75 % čísel bylo možné zjistit jméno a příjmení.
• U poloviny z nich se podařilo získat další informace (adresa, pracovní pozice, kontakty).
• Každé číslo v průměru uniklo ze 2–3 telefonů.

Z dlouhodobého sledování odhaduji, že nějaké podstatné údaje (jméno, e-mail, telefon) unikly minimálně 70–80 % dospělých v České republice.

Firemní benefit budoucnosti: ochrana digitální identity

Ochrana digitální identity by se měla stát součástí firemních benefitů. Progresivní firmy si budou aktivně hlídat uniklé údaje svých zaměstnanců a chránit tak nejen je, ale i firemní know-how.

Jak vám může pomoci Tovek

Ve společnosti Tovek jsme vyvinuli OSINT nástroje, které pomáhají organizacím identifikovat úniky dat a chránit zaměstnance. Nabízíme školení, audity i konzultace.

Zjistěte, kolik e-mailů z vaší organizace bylo kompromitováno: www.tovek.cz/nis2

Petr Vancl Hochberger

Autor článku je Head of Business Development and Marketing ve společnosti TOVEK, spol. s r.o.