Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data

Lukáš Neudert
Lukáš Neudert
Aktuality a Zprávy
Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data

Proč je právě teď Slovensko v hledáčku útočníků

Kyberkriminalita se v posledních měsících agresivně přesouvá k metodám, které maskují útoky za naprosto běžné online návyky. Slovensko je přitom citlivé hned z několika důvodů: roste digitalizace úřadů i firem, malé a střední podniky často šetří na ochraně IT a uživatelé si zvykli sdílet dokumenty, faktury či nabídky přes cloud. Útočníci toho využívají – místo podezřelých příloh posílají odkazy na „neškodně“ vypadající soubory v Google Drive, pozvánky do Google Kalendáře nebo platí reklamy ve vyhledávači, které vedou na falešné weby.

Obsah

Nejde o chybu samotných služeb. Zločinci zneužívají jejich důvěryhodnost a obrovský dosah. Mnozí uživatelé věří, že co přichází z prostředí Google, je automaticky bezpečné. Tuto psychologii útočníci velmi dobře znají a proměnili ji v efektivní zbraň.

Jak útoky fungují v praxi: scénáře, které dnes útočníci používají

1) Phishing přes Google Drive a Dokumenty

Oběti obdrží e-mail o sdílení faktury, smlouvy nebo tabulky. Odkaz skutečně vede do prostředí Google – jenže dokument obsahuje tlačítko ke stažení souboru „pro plnou verzi“ či „aktualizaci pluginu“. Kliknutí uživatel přesměruje na škodlivý instalátor, často s názvem připomínajícím známý software. Útočník tak obejde klasické blokátory příloh a využije toho, že firemní filtry obvykle komunikaci s Google doménami povolují.

2) Falešné reklamy ve Vyhledávání (malvertising)

Útočníci nakupují reklamy na populární klíčová slova: účetní programy, bankovní služby, kancelářské balíky, daňové formuláře či státní agendy. Reklama vypadá důvěryhodně – často kopíruje originální název a popis. Po kliknutí se uživatel ocitne na klonu oficiální stránky, kde ke stažení čeká „legitimní“ instalátor. Ten je ve skutečnosti trojský kůň, který krade hesla, otevírá zadní vrátka nebo spouští ransomware.

3) Pozvánky do Kalendáře

Nevyžádané pozvánky s naléhavou zprávou (nezaplacená faktura, doručení zásilky, bezpečnostní upozornění) předají uživateli odkaz na „potvrzení účtu“. K přesměrování dochází přes zkrácené URL či přes mezipřistání v Google Sites, aby vše působilo legitimně. Běžný uživatel si řekne: je to z kalendáře, to bude v pořádku.

4) Komentáře a zmínky v Google Dokumentech

Útočník založí prázdný dokument, přidá nevinnou poznámku a v komentáři označí e-mail oběti. Notifikace pak přichází z adresy systému a obsahuje link. Po otevření dokumentu oběť dostane pokyny ke stažení „doplňku“, který ve skutečnosti infikuje počítač.

5) Google Forms jako sběr citlivých údajů

Formuláře se tváří jako interní HR dotazník, aktualizace bankovních údajů nebo potvrzení přístupu. Uživateli tak nepřijdou podezřelé otázky na rodné číslo, číslo občanky nebo přihlašovací jméno. Útočník poté s daty provede převody peněz, resetuje hesla nebo kompromituje další účty.

6) Zneužití OAuth a „přihlaste se přes Google“

Útočníci lákají k udělení přístupu třetí aplikaci. Oběť vidí známé okno s požadavkem na oprávnění a klikne na Povolit. V tu chvíli získá útočník dlouhodobý přístup k e-mailu, Drive či kontaktům – i bez znalosti hesla. Pokud není zapnuté vícefaktorové ověřování nebo kontrola aplikací, zůstane tento přístup skrytý celé týdny.

Kdo je nejvíc ohrožen: od obcí po rodinné e-shopy

Údery míří tam, kde je nejnižší úroveň zabezpečení a nejvyšší pravděpodobnost rychlé platby výkupného. Malé a střední firmy, obce a příspěvkové organizace, školy a zdravotnická zařízení – všude tam se potkává nedostatek lidí na IT s kritickým provozem. Útočníci navíc dobře vědí, že lokální podniky často řeší bezpečnost až po incidentu.

Příběh z praxe: rodinný e‑shop z okolí Žiliny obdržel e‑mail o sdílení faktury od „logistického partnera“. Soubor otevřeli na firemním notebooku, kde chybělo aktuální antivirové řešení a zablokované byly jen přílohy, nikoli odkazy. O dvě hodiny později se začaly šifrovat soubory na síťovém disku a účetnictví se zastavilo. Útočník požadoval výkupné v kryptoměně, komunikace probíhala přes chat v anonymní doméně. Firma nakonec zaplatila a přišla i o týden obratů, protože musela znovu naskladnit a přepsat data. Následky? Kromě finanční ztráty pošramocená důvěryhodnost u zákazníků a několik negativních recenzí, které se budou zahlazovat měsíce.

Co je na nové vlně nejnebezpečnější

  • Legitimita kanálu: e-maily, reklamy, dokumenty a pozvánky z ekosystému Google vypadají „správně“. Filtry je hůře označí a lidé jim víc věří.
  • Rychlost a škálovatelnost: útočníci dokážou během hodin vytvořit desítky kopií kampaně a cílit na konkrétní regiony, obory či jména.
  • Vyhýbání se detekci: škodlivé soubory se často stahují až z druhého či třetího přesměrování, což mate antiviry a cloudové kontroly.
  • Reálné dopady: od krádeže přístupů do firemních mailů a účetnictví až po plnohodnotný ransomware s výkupným a únikem dat.

Jak poznat, že už můžete být kompromitovaní

  • Neobvyklé přihlašování k účtu Google z neznámých zařízení a lokalit.
  • Nové „aplikační“ přístupy v nastavení účtu, které jste sami nepovolili.
  • Zpomalený počítač, nezvyklá aktivita disku, přemapované síťové jednotky.
  • Chybová hlášení při otevírání běžných souborů, změněné přípony nebo soubory požadující klíč.
  • Nečekané odmítnutí přístupu u bankovních či firemních účtů kvůli domnělým blokacím.

Okamžitá obrana: minimální bezpečnostní standard do 48 hodin

  1. Zapněte vícefaktorové ověřování (MFA) všude, kde to jde – u Google účtů i na firemním e‑mailu a VPN.
  2. Zakažte instalaci neznámého softwaru a omezte práva uživatelů na počítačích.
  3. Nastavte blokaci makro‑skriptů a nepovolených doplňků v kancelářských balících.
  4. Zkontrolujte sdílení v Google Drive: omezte veřejné odkazy a auditujte, kdo má přístup.
  5. Revidujte oprávnění „přihlaste se přes Google“ a zrušte neznámým aplikacím přístupy.
  6. Aktualizujte prohlížeče a rozšíření, odstraňte neznámé pluginy.
  7. Nastavte firemní DNS filtraci a blokujte nově registrované domény.
  8. Vypněte automatické spouštění stažených souborů, logujte odchozí provoz.
  9. Proveďte zálohu klíčových dat offline a otestujte obnovu.
  10. Informujte zaměstnance: během krátkého brífinku ukažte příklady podezřelých pozvánek a reklam.

Strategie na 90 dní: jak nespadnout do stejné pasti dvakrát

1) Segmentace a princip nejmenších oprávnění

Rozdělte síť na zóny, omezte přístupy mezi odděleními a zakažte admin práva na běžných účtech. Útočník se tak nedostane z jednoho infikovaného počítače do celé firmy.

2) Správa identit a hesel

Nasazení správce hesel, politiky pro silná hesla a pravidelné rotace klíčů. Důležitá je také kontrola sdílených schránek a služebních účtů.

3) E‑mailová a webová brána s detekcí URL

Moderní bezpečnostní brány analyzují odkazy ještě před kliknutím a simulují, co se stáhne po přesměrování. To je zásadní proti malvertisingu a Drive odkazům.

4) Endpoint ochrana a EDR

Antivirus s pokročilou detekcí chování a EDR řešení, které odhalí laterální pohyb útočníka. Důležité je nastavit pravidla pro izolaci stanice jedním kliknutím.

5) Bezpečné reklamy a domény

Pokud provozujete kampaně ve vyhledávání, chraňte značku: registrujte varianty domén, sledujte falešné reklamy a využijte ověření inzerenta. Pro běžné uživatele platí: ke stažení software choďte jen přes ověřené zdroje, nikdy přes placenou reklamu.

6) Školení a simulace útoků

Krátká, ale pravidelná školení doplněná simulovaným phishingem zvýší ostražitost. Při aktivní obraně je důležitá kultura: je lepší nahlásit falešný poplach než incident přehlédnout.

7) Protokoly, monitoring a retence logů

Uchovávejte logy z pošty, firewallu, cloudových služeb a koncových stanic alespoň 90 dní. Když se něco stane, bez dat nelze incident rozklíčovat.

8) Plán reakce na incidenty

Definujte role, kontakty a postupy pro odpojení, komunikaci a obnovu. Vyzkoušejte si „stolní“ cvičení: co uděláme, když účetnictví ráno nenastartuje?

Role institucí a pravidel: proč na ně nezapomínat

Slovenské organizace se řídí národními bezpečnostními standardy a evropskou regulací, zejména směrnicí NIS2, která zvyšuje nároky na řízení rizik, hlášení incidentů a odpovědnost vedení. I menší firmy by měly počítat s tím, že klíčoví partneři (banky, operátoři, dodavatelé energií či veřejné instituce) budou vyžadovat doložení opatření: od politik přístupu přes zálohy až po plán zotavení po havárii. V praxi to znamená méně papíru a více reálné bezpečnosti – metriky, záznamy, testy, cvičení.

Pokud organizace provozuje kritickou službu nebo zpracovává citlivá data, měla by mít jasný komunikační kanál na národní a sektorové týmy CSIRT. Rychlé nahlášení podezřelého trendu pomáhá varovat další subjekty, sdílet indikátory kompromitace a zablokovat škodlivou infrastrukturu dřív, než způsobí plošné škody.

Když už se to stane: krizový plán krok za krokem

  1. Odpojte napadené stanice od sítě. Neprovádějte unáhlené restartování, aby se nesmazaly stopy v paměti a logy.
  2. Informujte vedení a IT kontakty, aktivujte plán reakce. Přidělte role: technická analýza, komunikace, právní a PR.
  3. Zálohujte důkazy. Zajistěte kopie logů, snímky disků a paměti, uložte škodlivé soubory do bezpečného úložiště.
  4. Zkontrolujte cloudové přístupy. Odeberte neznámým aplikacím oprávnění, resetujte hesla a vynucujte MFA.
  5. Ověřte integritu účtů. Hledejte přeposílací pravidla v mailu, nové administrátorské účty, změněná přístupová práva v Drive.
  6. Rozhodněte o komunikaci navenek. Transparentně a věcně: jaké systémy jsou nedostupné, jaký je dopad a kdy čekat obnovu.
  7. Obnovujte z prověřených záloh. Před připojením do sítě proveďte plnou kontrolu a patch management.
  8. Vyhodnoťte incident. Co umožnilo útok, jaká opatření zavést, jak aktualizovat školení a politiky.

Časté mýty, které nahrávají útočníkům

  • Když je to na Google, je to bezpečné. Omyl. Platforma je důvěryhodná, ale odkaz může vést na podvrh nebo k instalaci škodlivého kódu.
  • Máme antivirus, jsme v klidu. Dnešní útoky se schovají za přesměrování, zašifrované kanály a zneužitá oprávnění – je potřeba více vrstev ochrany.
  • Jsme malí, nás si nikdo nevšimne. Právě menší organizace jsou ideální cíl: rychlé výkupné, méně kontrol a slabší procesy.
  • Zaplatíme a máme klid. Neexistuje záruka, že útočník data nesmaže či nezveřejní. Navíc platba motivuje další útoky.

Praktický check‑list pro běžné uživatele

  1. Neinstalujte software přes reklamu. Otevřete web výrobce ručně, ne přes sponzorovaný odkaz.
  2. U pozvánek v kalendáři kontrolujte odesílatele a URL. Pokud si nejste jisti, odmítněte a napište odesílateli samostatný e‑mail.
  3. V Drive nikdy neklikejte na „povolte makra“ či externí instalátory, pokud dokument nepochází z ověřeného zdroje.
  4. Zapněte si MFA a pravidelně procházejte seznam aplikací s přístupem k účtu.
  5. Hlášení podezřelých e‑mailů posílejte do IT nebo bezpečnostnímu týmu. Nebojte se „falešných poplachů“.

Příběh s dobrým koncem: škola, která útoku odolala

Základní škola v menším městě přijala jednoduché kroky: zavedla dvoufázové ověření pro učitele, nastavila pravidla pro sdílení v Drive a jednou měsíčně posílá krátké tipy přes interní newsletter. Když přišla vlna pozvánek „k aktualizaci účetního systému“, učitelka informatiky vyhlásila stop‑stav: nic neklikat a vše přeposlat adminovi. Analýza ukázala phishing. Díky připravenosti škola nic neztratila, jen pár minut na kontrolu a několik cenných zkušeností.

Proč se situace zhoršuje a co z toho plyne pro Česko

Kyberútoky snadno překračují hranice a čeští uživatelé i firmy sdílejí s těmi slovenskými jazyk, zvyky a digitální nástroje. Vlny, které dnes zasahují Slovensko, se proto často přelévají i do Česka. Pokud jste česká firma s pobočkou nebo dodavateli na Slovensku, riziko je dvojnásobné: kompromitace partnera může ohrozit i vás. Společná cvičení, jednotný standard ochrany a sdílení indikátorů kompromitace mezi týmy na obou stranách hranice tak nejsou „byrokracie“, ale základní hygienické minimum.

Co si z toho odnést: tři věty na závěr

Útočníci se naučili skrývat za důvěryhodné nástroje a prostředí, kterým denně věříme. Ochrana proto nesmí stát na jedné vrstvě – je to kombinace technologií, procesů a chování uživatelů. Pokud uděláte deset drobných kroků dnes, zítra vám možná ušetří celé podnikání.

Štítky:
Sdílej tento článek

Mohlo by se vám také líbit

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den
Aktuality a Zprávy

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den

Lukáš Neudert
Lukáš Neudert
Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní
Aktuality a Zprávy

Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní

Lukáš Neudert
Lukáš Neudert
Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti
Aktuality a Zprávy

Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti

Lukáš Neudert
Lukáš Neudert
Zruší vám důchod už tento měsíc? Podvodníci řádí a stačí jedno kliknutí
Aktuality a Zprávy

Zruší vám důchod už tento měsíc? Podvodníci řádí a stačí jedno kliknutí

Lukáš Neudert
Lukáš Neudert