Pro většinu uživatelů smartphonů jde o součást každodenního života: při restartování telefonu zadají svůj nastavený PIN kód, obvykle čtyřmístný, a tím své zařízení odemknou.
Jak ukazuje příběh jedné uživatelky, podvodníci toho stále častěji zneužívají ke krádežím účtů Google nebo Apple.
Nebezpečí hrozí především při zadávání PIN na veřejnosti. Útočníkům pak stačí, aby se v rychlosti podívali přes rameno uživatele a PIN zjistí. Poté jej zneužijí k přístupu k účtům. Netýká se to pouze dat v chytrém telefonu, ale také k ovládnutí bankovního účtu.
Alarmující je, že nešlo o žádný případ pokročilého hackerského útoku, ale o prostou bezpečnostní mezeru. Pomocí přístupového PIN kódu zločinec mohl změnit heslo k účtu, provázaného s mobilním telefonem, a získat tak přístup k dalším účtům. To vše bez znalosti příslušných hesel majitele.
PIN jako bezpečnostní riziko: lepší je používat dlouhé kódy, hesla nebo biometriku
Číselné kombinace, které tvoří PIN a uživatelé je zadávají k odblokování zařízení, mohou být rizikové. | Zdroj: Yura Fresh/Unsplash
U starších zařízení s Androidem je nebezpečí obzvlášť vysoké. PIN zde stačí k získání hesla k účtu Google. A pokud jsou v aplikacích Google uložena citlivá data, mohou k nim útočníci získat přímý přístup. Týká se to například Disku nebo Fotek.
Obzvlášť vysoké riziko hrozí uživatelům, kteří PIN používají k přístupu ke svému bankovnímu účtu. Proto se namísto PIN doporučuje používat delší hesla. Také je vhodné používat biometriku – pokud to vaše zařízení umožňuje. Zabráníte tak tomu, aby cizí zvědavé oči spatřily vaše zadávání PIN na zobrazené číselné matici v telefonu.
"Shoulder surfing" vedl ke krádeži peněz z bankovního účtu
O nebezpečí útoku odezíráním zadávání PIN kódu se přesvědčila mladá žena, které pachatel ukradl mobilní telefon. Domnívá se, že pár okamžiků před tím přihlížel zadávání jejího přístupového kódu, a pak už jen čekal na příležitost, aby jí zařízení ukradl.
Šlo o iPhone 13 Pro a znalost přístupového kódu k zařízení pachateli stačilo k tomu, aby také ovládl Apple účet, který měla uživatelka se zařízením provázaný. Postupnými změnami přihlašovacích údajů postupně získal i přístup k i dalším službám.
V průběhu následujících 24 hodin bylo z bankovního účtu ženy vybráno bezmála čtvrt milionu korun. V rámci řešení problému jí bylo doporučeno, aby si založila nový účet a převedla na něj všechny své prostředky.
Vyhněte se ukládání citlivých dat v zařízeních, například v Poznámkách nebo knihovně fotek
Na případ okradené mladé ženy zareagoval i známý internetový žurnalista a expert na Android a otestoval, zda je podobné schéma podvodu možné i v případě účtu Google. | Zdroj: Twitter/Mishaal Rahman (@MishaalRahman)
Mnoho uživatelů to má za běžnou praxi. Do svých mobilních telefonů si ukládají čísla svých osobních průkazů nebo jejich snímky, různé přístupové kódy, přihlašovací hesla apod. Je to snadný způsob, jak je nezapomenout.
Problém je v tom, že pokud se takový telefon dostane do rukou zločinců, kvůli zjištěným údajům mohou napáchat ještě větší škody.
Také se vyplatí posílit ochranu telefonu. Například systém Android požaduje ve výchozím nastavení pouze čtyřmístný kód. Můžete si jej ale nastavit mnohem delší. Telefony Pixel od Google podporují až sedmnáctimístné PIN kódy. Můžete také použít heslo, které bude mnohem komplikovanější a zařízení lépe ochrání.
Zdroj: Business Insider, WSJ, 9to5google, Twitter