Tento vzkaz na WhatsAppu nikdy neotvírejte. Stačí kliknutí a šmejdi ovládnou váš telefon včetně bankovnictví

Když se řekne kybernetický útok, většina z nás si představí podvodný e-mail s odkazem nebo falešnou SMS, která láká ke kliknutí. Jenže nejnebezpečnější hrozby dneška fungují úplně jinak. Nevyžadují žádnou interakci. Žádné kliknutí, žádnou instalaci, dokonce ani otevření zprávy. Stačí, že máte nainstalovaný WhatsApp a telefonní číslo.

Říká se jim zero-click exploity a v posledních letech se staly nástrojem jak sofistikovaných kyberzločinců, tak státních zpravodajských služeb. Případ spywaru Pegasus od izraelské společnosti NSO Group ukázal, že tyto útoky nejsou sci-fi – pronikaly do iPhonů i Androidů přes WhatsApp hovory, aniž by si oběti čehokoli všimly.

Jak vlastně takový útok funguje?

Princip je zákeřně elegantní. Útočník odešle na vaše číslo speciálně upravenou zprávu, videohovor nebo datový paket. Vy ho nikdy neuvidíte – systém ho zpracuje automaticky na pozadí. A právě při tomto zpracování se využije chyba v kódu aplikace nebo operačního systému. Škodlivý kód se spustí bez jediného dotyku vaší ruky.

Tyto chyby bývají takzvané zero-day zranitelnosti – tedy slabiny, o kterých výrobce ještě neví a nemá na ně záplatu. Na černém trhu se prodávají za miliony dolarů, protože představují klíč k prakticky jakémukoli zařízení.

Co se děje po průniku

Jakmile útočník získá přístup, obvykle instaluje některý z typů špionážního softwaru. RAT (Remote Access Trojan) mu dá plnou kontrolu nad telefonem – přístup ke kameře, mikrofonu, GPS, zprávám i fotografiím. Spyware typu Pegasus dokáže zaznamenávat každý stisk klávesy a každou konverzaci.

Pro běžné uživatele jsou ale možná nejnebezpečnější bankovní trojany. Ty se specializují na krádež finančních údajů – dokáží překrýt přihlašovací obrazovku vaší bankovní aplikace falešnou kopií, zachytit ověřovací SMS kódy nebo přímo manipulovat s platbami.

Moderní malware má navíc modulární architekturu. Útočník může postupně nahrávat další funkce podle potřeby – dnes odposlech, zítra krádež hesel, pozítří snímky obrazovky. Vše řízené přes šifrované servery maskované za běžné cloudové služby.

Ani dvoufaktorové ověření není všespásné

Spoléháte na SMS kódy jako druhou vrstvu zabezpečení? Sofistikovaný malware je zachytí dřív, než se k vám dostanou. Existují i další metody obcházení – od SIM swappingu, kdy útočník přesvědčí operátora k převodu vašeho čísla, až po phishing v reálném čase, kdy zadáte kód na falešné stránce a útočník ho okamžitě použije na té pravé.

Jak poznat, že něco není v pořádku

Detekovat zero-click útok je obtížné, ale existují varovné signály. Telefon se nápadně rychle vybíjí nebo se přehřívá, i když ho aktivně nepoužíváte. Objevuje se neobvyklá spotřeba dat. V seznamu aplikací najdete něco, co jste neinstalovali. Bankovní účet vykazuje podezřelé pohyby.

Na síťové úrovni by odborník mohl zaznamenat komunikaci na neznámé IP adresy nebo nestandardní porty. Pro běžného uživatele jsou ale tyto indikátory prakticky neviditelné.

Co dělají vývojáři

Meta, Apple i Google si problém uvědomují a investují značné prostředky do zabezpečení. Pravidelné bezpečnostní aktualizace jsou dnes nejúčinnější obranou – záplatují objevené zranitelnosti dřív, než je stihnou zneužít útočníci. Firmy také vylepšují sandboxing aplikací, zpřísňují systém oprávnění a provozují bug bounty programy, které motivují etické hackery k nahlašování chyb.

End-to-end šifrování WhatsAppu chrání obsah vašich zpráv, ale nezabrání zneužití chyb v samotné aplikaci. Je to jako mít neprůstřelné dveře, ale okno nechat otevřené.

Co můžete udělat vy

Základní pravidlo je prosté: aktualizujte. Hned. Vždycky. Každá odložená aktualizace je okno příležitosti pro útočníky. Platí to pro WhatsApp i pro operační systém telefonu.

Používejte silná a jedinečná hesla, ideálně s pomocí správce hesel. Aktivujte dvoufaktorové ověření všude, kde to jde – i když není dokonalé, stále představuje další překážku. A buďte si vědomi, že v digitálním světě roku 2024 neexistuje stoprocentní bezpečnost.

Zero-click útoky připomínají, že kybernetická bezpečnost není jednorázové nastavení, ale neustálý proces. Útočníci hledají nové slabiny každý den. Naší jedinou obranou je zůstat o krok napřed – nebo alespoň ne příliš pozadu.