TIP#144: Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby

O víkendu na Twitteru dorazil dotaz „Dane, kamarádovi se stalo toto: (tady byl odkaz na screenshot). Má to někam hlásit?„. Ten screenshot můžete vidět níže, jde o klasické varování od Google, že se někomu podařilo získat vaše heslo, ale že se podařilo vstupu zabránit. V praxi to znamená, že někdo zná vaše heslo pro služby Google. Což ale znamená, že pokud nemáte dodatečné ověřování (dvoufaktor) tak je zázrak, že tohle Google zastavil a vy jste nepřišli o účet. A také to znamená, že pokud kdekoliv jinde používáte stejné heslo, tak útočník má přístup k dalším službám a serverům.

ClouDrop 23. 5. 2015 9-10-16 23. 5. 2015 9-10-16

Na konci potřebných kroků k záchraně vašich účtů najdete další tipy z @365tipů, které vám pomohou s hesly na Internetu a v počítači, ale tento tip se bude věnovat hlavně tomu, co udělat, pokud se někomu podařilo získat moje heslo do nějaké služby. Protože to je velmi, velmi nepříjemná situace a je potřeba velmi rychle jednat.

Než začněte následující kroky, tak opravdu doporučím mít správce hesel. Pokud ho nemáte, tak ho postupně naplníte novými hesly a poslouží i jako seznam toho, kde všude máte účty a hesla. Pokud ho máte, tak hodně pomůže a zrychlí vše co musíte udělat.  A mimochodem, ono „Má to někam hlásit?“ má jednoduchou odpověď – není to kam hlásit.

(1) Okamžitě nastavit nové heslo pro Gmail

Ve výše popsaném případě, kdy někdo ví heslo do vašeho Gmailu je nutné okamžitě nastavit nové heslo pro Gmail, ale také pro všechny další služby kde (a) používáte stejné heslo a (b) kde jste použili váš Gmail pro registraci. Pokud nepoužíváte nějakého správce hesel, tak to budete mít poměrně komplikované. Správci hesel totiž snadno umožní zjistit kde všude používáte stejné heslo a také kde všude máte nějaké heslo. Pokud nemáte pro Gmail nastavené dvoufaktorové ověřování, tak ho bez otálení nastavte.

(2) Prověřit nastavení (nejenom) pošty, zda tam nejsou zadní vrátka

To ale není zdaleka všechno, útočník, pokud se do vaší pošty dostal, tak mohl ještě poskytnout přístup k poště někomu dalšímu nebo nějaké aplikaci, takže je nutné si projít nastavení pošty (tohle bude záviset hodně na tom kde schránku máte) a zajistit, že není uděláno přesměrování či přeposílání na nějakou jinou adresu. Následně, že k poštovní schránce nezískala přístup nějaké další aplikace či software – dnes je běžné, že třeba mobilní aplikace mohou získat přístup a pracovat se schránkou.

Prověřit ale ještě musíte bezpečnostní otázky (jedna z nejvíce nebezpečných věcí na světě), náhradní e-mail pro obnovu hesla, telefonní číslo pro obnovu hesla a prostě vše co by útočník mohl použít pro získání přístup poté, co mu znemožníte přístup se získaným heslem. Nezapomeňte zkontrolovat e-mail, který se používá jako „odesláno z“, protože i ten mohl útočník změnit. Zkontrolujte i vaše jméno a další vyplněné údaje, podpis, automatickou odpověď. A velmi důkladně se podívejte mezi filtry, protože tam mohou být další zadní vrátka. Zkontrolujte i nastavení pro POP3/IMAP:

V případě Facebooku, Twitteru a dalších podobných aplikací opravdu nikdy nezapomeňte na to, že zde se přidělují práva přístupu k aplikacím, stejně tak je tomu ale u účtu do Google. A je potřeba velmi důkladně tuto část nastavení účtu prověřit.

(3) Varovat všechny kontakty, že došlo k hacku

Pokud útočník získal přístup k poště či obsahu čehokoliv, tak si mohl rovnou vše stáhnout, takže po chvíli bude vědět kde všude jste se registrovali, jaké další služby a programy používáte, s kým si dopisujete a o čem si dopisujete. Ale také třeba kde máte banku, jak k ní přistupujete a řadu dalších věci. Další vhodný krok je, varovat všechny své kontakty, že došlo k hacku vaší pošty (či účtu v příslušné službě) a měli by si dávat pozor.

(4) Změnit hesla všude, kde je použito stejné heslo

V bezprostředním dalším ohrožení jsou služby, kde jste použili stejné heslo. Vzhledem k tomu, že lidé běžně používají jedno a totéž heslo na skoro všech službách, tak tohle je dost zásadní problém. Měli byste co nejrychleji změnit heslo na všech službách, kde používáte heslo které získal útočník. Připomenu i to, že pokud tyto služby mají něco jako přidělování přístupu, přesměrování, náhradní maily pro zaslání hesla, telefony pro obnovu hesla (jako již zmíněný Gmail), tak musíte vše také zkontrolovat.

Nemyslete si, že útočník okamžitě po získání přístup změní heslo, daleko lepší je ponechat vše v původní podobě a k vašim službám přistupovat nějakou dobu bez povšimnutí. Čemuž mohlo zabránit používání dvoufaktorového přihlašování, takže pokud ho nepoužíváte, je čas to udělat.

(5) Změnit heslo všude, kde je použit hacknutý e-mail

E-mail je (poněkud bohužel) zásadní přihlašovací nástroj prakticky všude. Stačí znát e-mail a není ani potřeba znát heslo – stačí si totiž poslat požadavek na nové heslo (zapomenuté heslo) a pokud máte přístup k něčí mailové adrese, tak získáte přístup k jakékoliv službě, kterou si nechrání dodatečně (třeba právě dvoufaktorem). To že si někdo poslal požadavek na zapomenuté heslo do vaší hacknuté stránky už ani nemusíte poznat, protože ho využil a smazal.

Měli byste tedy všude kde je použit hacknutý e-mail změnit heslo, pokud to ještě vůbec možné a nemáte už hacknuté i další služby – typicky a velmi rychle by útočník většinou šel po sociálních sítích, ale i řadě dalších užitečných služeb.  Zde bude také platit, že musíte prověřit, jestli k daným službám nebyl povolen přístup dalším aplikacím či osobám.

(6) Pořiďte si náhradní záchranný e-mail

Pokud nemáte náhradní e-mail, který používáte jako e-mail pro obnovu hesla u klasické schránky či další účtů, tak je nejvyšší čas, abyste si ho založili. Klidně k tomu použijte Gmail, dejte heslu nějaké opravdu komplikované heslo, ideálně k němu nastavte i dvoufaktor. A pro nic jiného tuhle schránku nepoužívejte, nikde ji nedávejte, mailová adresa je ideálně nijak nesouvisející s vašim jménem.

(7) Kde to jde, zapněte si upozornění na přihlášení

Google, Facebook i některé další služby umožňují zapnout upozornění na přihlášení z doposud neznámých zařízení. V řadě případů je možné tato přihlášení omezit či schválit. Na Facebooku to najdete v nastavení zabezpečení účtu

(8) Dejte si pozor na bezpečnostní otázky i další cesty k získání účtu zpět

Takové ty nesmyslné otázky, které vám některé služby budou vnucovat (jako třeba „Jak se jmenovala vaše matka za svobodna“ nebo „Jak se jmenovala vaše první učitelka“) jsou fatálně nebezpečné a běžně vedou k tomu, že přijdete o účet ani nebudete vědět jak. Pokud je chcete využít, tak je zásadní, aby odpovědi na ně nebyly odhadnutelné či zjistitelné (třeba z vašich sociálních sítí, sociálním inženýrstvím, atd). Ideální je mít možnost si tyto otázky sestavit sám a k tomu nastavit nesmyslné odpovědi.

seznam-kontrolni-otazky

Pozor i na nastavení dalších e-mailů a telefonů jako cest k obnovení hesla, musíte mít jsitotu, že k nim nikdo nezíská přístup. Což, mimochodem, zahrnuje i to, že váš telefon rozhodně potřebuje odemykaní pomocí hesla (pin kódu, gesta, atd).

Co ještě byste měli vědět

Pokud byl hacker úspěšný, tak jste možná právě přišli nejenom o mailovou schránku, ale také o účty na sociálních sítích, přístup do bankovnictví, soubory uložené v cloudu a o řadu dalších věcí. Tady platí, že poštu i soubory musíte mít zálohované, cloud není místo na které se můžete spoléhat jako na jediné. Hesla a důležité informace si musíte také zálohovat, ať už jde o hesla v Správci hesel nebo to že si je uložíte do nějakého šifrovaného souboru, který budete mít u sebe či na USB klíčence.

TIP: Čistě pro Facebook? Co udělat, pokud mi někdo hacknul Facebook? Co dělat, když na mém účtu jsou divné příspěvky? A věřte, když se vám to stane, čeká vás dost práce.

Je možné, že se vám poštovní schránku prostě nepodaří získat zpět. V takovém případě vás čeká změna mailové schránky a všechno s tím související. Právě proto byste měli opravdu důležité účty mít opravdu pečlivě zabezpečené – silná hesla, dvoufaktorové ověřování. Do „důležitých účtů“ patří pošta, cloud, sociální sítě, účet u Apple (kde to Apple opravdu nezlehčuje tím jak ignoruje různé části světa), online bankovnictví, Google/Microsoft účty, blogy a vlastní weby, atd.

TIP Může se také stát, že váš e-mail a s ním spojené heslo se dostalo ven v nějaké jiné službě. Což můžete zjistit až příliš pozdě. Na haveibeenpwned.com se můžete podívat, jestli váš e-mail (a případné některé heslo) není v nějakém databází uniklých hesel z minulosti. Pokud se bojíte zadat e-mail z důvodu možného spamu, tak se zkuste zamyslet, jestli už vám stejně náhodou spam už nechodí. Můžete se ale třeba podívat jenom podle domény (viz Domain search). Více viz i v Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?

have-i-been-pwned

Může se hodit i to, že pro různorodé záplavy internetových služeb, včetně třeba sociálních sítí, používáte jiné e-mailové účty, než je váš hlavní. Ale pořád se nic nemění na tom, že i tyto další účty musíte chránit odpovídajícím způsobem.

Řada služeb, včetně Gmailu či Facebooku, umožňuje zjistit, odkud bylo přistupováno k vašemu účtu, případně odkud je někdo zrovna přihlášen. Může vám to pomoci v zjištění aktivit, které nemají existovat. Ale třeba i v tom, že jste v nějakém tabletu či mobilu zapomněli nastavenou aplikaci s přístupem k danému účtu.  To kde to najdete v Gmailu je vidět na obrázku níže, na Facebooku to najdete v nastavení zabezpečení účtu.

gmal-account-activity

Zdejší důležité tipy týkající se hesel

Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí je ta nejvíce podstatná věc a také pomůcka. Správci hesel vám umožní mít opravdu silná hesla a také všude jiná hesla. Vytvoří vám hesla co nejsou snadno odhadnutelná ani přes „brute force“ prolomitelná, budou si je pamatovat za vás a také je umí vyplnit v okamžiku, kdy se potřebujete přihlásit. Zde ale opět zdůrazním, že skutečně kritické služby potřebují taková hesla, která jsou nejenom silná a unikátní, ale také je nikam neukládáte.

Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet vám vysvětlí, že pro vše co je opravdu důležité byste rozhodně měli používat dvoufaktorové ověření. Tedy k přihlašování přidat, vedle jména a hesla, také ověřovací kód přes SMS či mobilní aplikaci.

Jak je to s hesly na Internetu? Je možné aby mi někdo poslal zapomenuté heslo? trochu vysvětlí, jak je to s těmi hesly na Internetu. A hlavně se tam dozvíte, že pokud nerazíte na službu, která vám ochotně pošle vaše zapomenuté heslo, tak je takováto služba zralá na zrušení.

Všechno? Těžko říci…

Inu, snažil jsem se na nic nezapomenout, pokud vás ještě něco k tématu „jak přežít únik hesla, tak víte jak. Můžete dát vědět přes 365tipu@gmail.com, přes @365tipu na Twitteru nebo přes Stránku na Facebooku.

Advertisements