Problém sa týka (takmer) výlučne Androidu.
Pod pojmom phishing sa najčastejšie predstaví podvodný e-mail, ktorý vyzerá ako oficiálna správa od konkrétnej služby, jeho cieľom je však donútiť adresáta kliknúť na odkaz (URL link), ktorý ho nasmeruje na falošnú stránku, a tam ukradne prihlasovacie údaje cez falošný formulár, ide o akýsi “online keylogger”. Pri sofistikovanejšom útoku môže útočník použiť v texte e-mailu aj pravé meno obete, či už z danej služby, ak ho pozná, alebo priamo zo znenia e-mailovej adresy.
Okrem prihlasovacích údajov môžu taktiež odcudziť údaje o platobnej karte. Útočníci môžu hrať na city a tváriť sa ako charita. Aj keď Európska únia nariadila potvrdzovanie platieb na internete cez mobilnú aplikáciu, v realite sú stále webstránky, kde sa dá nakúpiť bez potvrdenia: v redakcii sa nám takto podarilo nakúpiť na čínskom Sheine. Rovnako existujú rozličné spôsoby, ako prekonať 2FA (dvojfaktorovú autentifikáciu).
Kód, ktorý je okrem hesla nutný na prihlásenie, často prichádza formou textovej správy. V minulom roku bezpečnostná firma Malwarebytes našla 5200 aplikácií, ktoré mohli tieto kódy ukradnúť buď priamo prienikom do určitých textových správ, alebo krádežou informácií z lišty s oznámeniami, ktorá zobrazuje notifikácie aplikácií, vrátane kódov z 2FA.
Ani používanie výlučne zabudovanej aplikácie pre SMS-ky teda nemusí znamenať bezpečnosť, a problémom je aj zdieľanie obrazovky s útočníkom, ktorý chce používateľovi na diaľku „pomôcť“ a kód vyčíta z notifikácii. Aplikácie na generovanie prihlasovacích kódov sú vo všeobecnosti bezpečnejšie ako kódy cez SMS, lenže v tomto prípade treba myslieť na to, že telefón s aplikáciou na kódy sa môže pokaziť.
Okrem toho sa môže mobil poškodiť pri páde, utopiť, stratiť, môže ho niekto ukradnúť a problémy vie spôsobiť aj nepodarená aktualizácia operačného systému. Realizácia zálohy takejto aplikácie nie je 100% triviálne a synchronizácia cez cloud, ktorú sme v minulosti testovali, príliš spoľahlivo nefungovala. Nebezpečenstvom sú aj falošné aplikácie. Niektoré sa tvária ako legitímne hry, ktoré umožňujú napojiť hru na sociálnu sieť, a takto ukradnú prihlasovacie údaje.
Niektoré kontá (napríklad Apple Account – bývalé Apple ID) vyžadujú vygenerovať špecifické heslo a to použiť na prihlásenie sa k službe tretej strany. Príliš často sa to však nevidí. Takéto aplikácie sú však na Google Play často rýchlo odhalené, a preto sa vyskytujú hlavne na menej známych a menej populárnych obchodoch s aplikáciami.
Preto kriminálnici začali využívať falošné reklamy a linky v aplikáciách, ktoré nasmerujú používateľa na web, a opakuje sa postup ako po kliknutí na odkaz (URL link) z phishingového e-mailu. Takéto podvodné aplikácie majú výrazne vyššiu šancu, že sa dostanú na oficiálne obchody s aplikáciami. Ukradnuté heslá a prihlasovacie e-maily (resp. iný údaj) útočníci skúšajú na rozličných, hlavne populárnych službách.
Mať na každú službu iné heslo je rozhodne dobrý nápad. Užitočné je síce aj založiť si aliasy k e-mailovej adrese, tam sú však problémy s limitmi pri vyššom počte kont a taktiež si treba ustrážiť aliasy, ktoré slúžia na obnovenie zabudnutého hesla. Obzvlášť problematické sú aplikácie stiahnuté priamo z webu. Stiahnuť si bezplatne aplikáciu alebo hru, ktorá je bežne spoplatnená, je veľmi lákavé a útočníci to vedia.
V Európskej únii môžu obchody tretích strán využívať aj majitelia iPhonov, i keď vytvorenie vlastného obchodu s aplikáciami pre iOS nie je úplne jednoduché a Apple si vývojára obchodu kontroluje. Ale aj do samotného App Store sa občas nejaká falošná aplikácia dostane. Niektoré útoky, ide hlavne o tie cielené, sú zákerné v tom, že po odhalení hesla do online konta ho útočník nezmení, a ticho v pozadí dlhodobo sleduje aktivitu skutočného majiteľa bez odhalenia.
Niektoré kontá, ako Facebook a Instagram, umožňujú pozrieť si zoznam zariadení a IP adries, ktoré ku kontu pristupovali a odporúčame si tieto zoznamy občas pozrieť, pokiaľ ich služba má. Útoky môžu prísť aj od vlastných blízkych, napríklad formou keyloggeru na zdieľanom počítači v spoločnej domácnosti, ktorý nainštaloval zvedavý partner. Rizikom sú aj iné funkcie, ktoré majú za úlohu zjednodušiť prihlásenie.
Počítače Apple sa dajú odomknúť cez spárované Apple Watch, ktoré samozrejme musia byť na ruke a odomknuté kódom. Niektorí ľudia nosia hodinky aj počas spánku, najčastejšie udávaný dôvod je meranie spánku (ktoré mimochodom nefunguje, hodinky nevedia merať mozgovú aktivitu a údaje o spánku sú hrubý odhad), čo je vhodná chvíľa pre útočníka na prihlásenie sa do počítača, ktorý zostal v režime spánku.
Ak je mimo dosah hodiniek, resp. príliš ďaleko od hodiniek skutočného majiteľa počítača, prenosné počítače nie je problém premiestniť. Prihlasovanie by teoreticky nemalo fungovať, ak hodinky detegujú spánok (nemali sme možnosť otestovať), ale vzhľadom k presnosti merania spánku to príliš veľká ochrana nie je. Často sa zabúda, že telefóny, ktoré sa odomykajú odtlačkom prsta, môžu byť odomknuté počas spánku.
Odomknutie počas spánku je jednoduché, možno ho zrealizovať tak, že blízky, alebo niekto kto je fyzicky pri používateľovi, vyskúša všetky prsty. Face ID na iPhonoch nefunguje so zatvorenými očami, práve kvôli tomuto. Dvojfaktorová autentifikácia taktiež nie je dostupná v každom online konte, a týka sa to aj mnohých, hlavne menších, e-shopov. V takýchto kontách je rozumné neuchovávať údaje o platobných kartách, ale to neodporúčame ani v kontách, ktoré 2FA ponúkajú.
