Největší riziko hrozí na letištích, pro hackery je to rutina. Stačí jim 5 minut s vaším telefonem a zjistí vše

Služební telefon na letišti není jen mobil. Je to klíč k e-mailům, cloudu i celé firemní síti, a hackerům stačí chvilka nepozornosti.

Zdroj fotografie: Pexels

Představte si scénu z dubajského letiště, kterou popisuje Samsung ve svém bezpečnostním materiálu. Zaměstnanec odloží telefon na pult, aby si vyřídil palubní lístek. Odemknutý displej svítí. Za jeho zády někdo vezme zařízení do ruky, a než si cestující všimne, data už putují pryč. Podle Oldřicha Nováka, bezpečnostního experta citovaného Samsungem, stačí k vytěžení obsahu odemknutého telefonu doslova desítky sekund. Pět minut je komfortní okno, ve kterém lze zkopírovat e-maily, kontakty, kalendář, přístupy do cloudových úložišť i interních firemních systémů. Nemusí to vypadat jako ve filmu. Stačí banální moment nepozornosti v tranzitní hale.

Proč právě letiště? Tři hrozby na jednom místě

Žádné jiné běžné prostředí nekombinuje tolik rizikových faktorů najednou. Na letišti se potkávají tři vektorové útoky, které jinde fungují odděleně, ale tady se násobí.

Fyzická ztráta kontroly. Telefon se odkládá při bezpečnostní kontrole, u gatu nebo v letištní kavárně. Australské centrum kybernetické bezpečnosti doporučuje s telefonem, který byl byť jen na chvíli mimo dohled, nakládat jako s potenciálně kompromitovaným zařízením. To není paranoia, ale standardní bezpečnostní postup.

Falešné Wi-Fi sítě. Švýcarské národní centrum kybernetické bezpečnosti (NCSC) podrobně popisuje techniku „evil twin“: útočník vytvoří hotspot se stejným názvem jako oficiální letištní síť a vyšším výkonem signálu. Telefon se připojí automaticky. Útočník pak může vidět navštívené stránky, podstrčit falešné přihlášení a v případě nešifrovaného provozu zachytit i hesla. Český NÚKIB ve svých výukových materiálech varuje před veřejnými Wi-Fi „od kaváren po letiště“ a upozorňuje, že riziko roste, pokud se zařízení připojuje automaticky na známé názvy sítí.

Veřejné USB nabíječky. František Švihlík, další expert citovaný Samsungem, uvádí, že USB port není jen zdroj energie, ale i datové rozhraní. Přes veřejnou nabíjecí stanici lze do telefonu zanést malware nebo z něj naopak data stáhnout. Švýcarské i australské bezpečnostní úřady proto doporučují veřejné USB porty raději vůbec nepoužívat.

A nad tím vším visí časový tlak. Cestující řeší přestupy, zpoždění i nástup do letadla. Pozornost klesá. Ideální podmínky pro útok.

Co všechno je v sázce

Největší problém není ztráta zařízení za dvacet tisíc korun. Problém je, že zaměstnanec na cestách nosí v kapse přímý vstup do firemní infrastruktury: e-maily s obchodními nabídkami, kalendář s kontakty na klienty, přístupy do cloudových úložišť, interní dokumenty i metadata o pohybu.

Kanadské centrum kybernetické bezpečnosti ve svých doporučeních pro služební cesty počítá i s rizikem sledování polohy, zachycení elektronické komunikace a v krajním případě i aktivace mikrofonu či kamery kompromitovaného zařízení. To už není krádež jednoho telefonu, ale potenciální průnik do celé organizace.

A nejde o exotický scénář z Číny nebo Íránu, i když právě tyto země Samsung ve svém materiálu uvádí jako vysoce rizikové. Technické podmínky pro útok existují i v Evropě. Pražské letiště Václava Havla provozuje veřejnou Wi-Fi pod názvem „Prague Airport WiFi Free“; vytvořit síť se stejným nebo podobným názvem je triviální. Letiště Praha sice má vlastní kyberbezpečnostní tým CSOC, ale veřejně potvrzené případy útoků na cestující nejsou známy. To však neznamená, že se nedějí – jen že nejsou veřejně reportované.

Pro hackery je to rutina, není to výjimka

Formulace „pro hackery je to rutina“ není nadsázka. Systematičnost těchto útoků dokládá už samotný fakt, že bezpečnostní doporučení pro služební cesty vydávají americké zpravodajské instituce, švýcarské NCSC, australské ASD, kanadské centrum kybernetické bezpečnosti i britské NCSC. Všechna popisují totožné scénáře: falešné Wi-Fi, fyzické převzetí zařízení, veřejné nabíjení i monitorované hotelové sítě.

Americká kontrašpionážní doporučení jdou ještě dál. Výslovně uvádějí, že neexistuje nikdo, kdo by byl „příliš bezvýznamný“ na to, aby se stal cílem. Rozdíl mezi manažerem a řadovým zaměstnancem není v pravděpodobnosti útoku, ale v hodnotě získaných dat.

Jak poznat, že s telefonem někdo manipuloval? Často to vůbec nepoznáte. Britské NCSC uvádí možné indicie: samovolné restarty, zpomalení, neznámá vyskakovací okna, podezřelé aplikace nebo upozornění na rootnuté zařízení. Sofistikovaný útok ale nemusí zanechat žádné stopy. Proto metodiky doporučují jednoduchý princip: pokud byl telefon mimo váš dohled, považujte jej za potenciálně kompromitovaný.

Jak se bránit: checklist před každou cestou

Ochrana je především změna návyků. Nejde o jednu aplikaci, ale o soubor opatření, která lze zavést okamžitě.

• Vlastní nabíječka nebo powerbanka. Žádné veřejné USB porty.
• VPN při připojení mimo důvěryhodnou síť. Ideálně se veřejným Wi-Fi úplně vyhnout a používat mobilní data nebo vlastní hotspot.
• Vypínat Wi-Fi a Bluetooth, když nejsou potřeba. Mazat uložené veřejné sítě, aby se zařízení nepřipojovalo automaticky.
• Silný PIN nebo biometrie. Odemčený telefon je otevřený vstupní bod.
• Pracovní profil přes MDM. Odděluje firemní a soukromá data a umožňuje vzdálené smazání či uzamčení. Ministerstvo financí ČR uvádí MDM jako standard správy mobilních zařízení.
• Pro rizikové destinace „čistý“ cestovní telefon. Minimum dat, nové přihlášení, žádný archiv e-mailů. Po návratu reset.
• Po cestě změnit hesla a kontrolovat přihlášení do firemních systémů.

Platformy jako Samsung Knox s hardwarově izolovaným úložištěm Knox Vault přidávají další vrstvu ochrany, ale bez uživatelské disciplíny a správné konfigurace MDM samotná technologie nestačí.

Příště, až na letišti uvidíte volnou USB zásuvku, vzpomeňte si: pět minut s vaším telefonem může někomu stačit k velmi hlubokému průniku do vašeho digitálního života. A útočník nemusí vypadat jako hacker. Může vypadat jako kdokoli ve frontě u gatu.