Hrozba v schránke! Tisícky Slovákov čelili útoku, ktorý sa tváril ako zmluva

Digitálny priestor na Slovensku zažil v uplynulých týždňoch masívny nápor. Slovenská spoločnosť ESET odhalila a úspešne zablokovala rozsiahlu phishingovú kampaň, ktorá cielila priamo na slovenské firmy a domácnosti.

Útočníci sa nesnažili o prekonanie firewallov hrubou silou, ale zvolili si cestu najmenšieho odporu – ľudskú dôverčivosť a rutinu. 

Tisícky adresátov si v pošte našli e-mail, ktorý pôsobil ako nevinná výzva na podpis zmluvy, no v skutočnosti otváral dvere nebezpečnému malvéru CloudEyE. Scenár útoku bol mrazivo jednoduchý a práve v tom spočívalo jeho nebezpečenstvo.

Do e-mailových schránok prúdili správy, ktoré sa tvárili ako bežná obchodná komunikácia. Text bol stručný: „Dobré ráno, návrh zmluvy je priložený. Prosím, vráťte ho s podpisom a pečiatkou,“ pričom správa končila zdvorilým poďakovaním. Odosielatelia pravdepodobne využili hacknuté domény, čo správe dodávalo punc legitimity a zvyšovalo šancu, že prejde cez základné spamové filtre. 

Z kontextu správy je zrejmé, že primárnym terčom boli zamestnanci vo firmách, pre ktorých je práca so zmluvami a faktúrami dennou rutinou.

Tento prípad ukazuje, aké extrémne jednoduché je v dnešnej dobe oklamať používateľa. Často stačí, aby mala správa „správnu“ hlavičku, známy formát a prišla v čase, keď je zamestnanec zavalený prácou.

Akonáhle človek uvidí slovo „zmluva“ alebo „faktúra“, zapína sa v ňom automatický režim a obozretnosť klesá. Útočníci spoliehajú na to, že nikto nebude do hĺbky skúmať technické detaily hlavičky e-mailu, ak správa vyzerá na prvý pohľad dôveryhodne a naliehavo.

Čo sa dialo na pozadí?

Hoci text e-mailu pôsobil banálne, technické pozadie útoku bolo sofistikovanejšie. Príloha sa tvárila ako archív s názvom 2026-13-01-0273.tar. Menej skúsený používateľ by si mohol myslieť, že ide o zabalený balík dokumentov. Po rozbalení sa však namiesto PDF dokumentu objavil súbor s príponou .js (JavaScript), ktorý po spustení aktivoval škodlivý kód.

Analýza výskumníkov z ESETu potvrdila, že išlo o malvér CloudEyE. Tento nástroj funguje ako maskovací manéver – je to downloader a cryptor, ktorý sa na čiernom trhu predáva ako služba (malware-as-a-service). 

Jeho jedinou úlohou je obísť antivírusovú ochranu a nepozorovane stiahnuť do počítača finálnu hrozbu. V tomto prípade všetko nasvedčuje tomu, že cieľom bolo infikovanie zariadení známym špionážnym softvérom Agent Tesla. Ide o malvér určený na krádež širokej palety citlivých dát.

Dokáže zaznamenávať stlačenia klávesov, robiť snímky obrazovky alebo kradnúť heslá uložené v prehliadačoch a e-mailových klientoch. Hoci pôvodní vývojári tento kód už neaktualizujú, staršie verzie sú stále aktívne a útočníci po nich radi siahajú. Podobné útoky v rovnakom čase zaznamenali aj v Česku, Poľsku, Rumunsku, Grécku a Chorvátsku.

Prečo to funguje? Paradox jednoduchosti

Ondrej Kubovič, špecialista na digitálnu bezpečnosť zo spoločnosti ESET, upozorňuje: „Vzhľadom na dnešné možnosti ide o veľmi jednoduchý pokus o phishing. Vidieť, že útočníci si s prípravou podvodnej správy nedali veľkú námahu a spoľahli sa najmä na široký zásah recipientov. Ak by ale danú správu vložili do už existujúcej konverzácie, kde už bežne obe strany nevkladajú formálne podpisy, logá, či iné náležitosti, šanca na úspešný útok by sa výrazne zvýšila.“

Samotný e-mail bol z teda hľadiska sociálneho inžinierstva pomerne primitívny a útočníci si s jeho prípravou nedali prakticky žiadnu námahu. Spoľahli sa ale najmä na kobercový nálet – zasiahnutie čo najväčšieho počtu ľudí v nádeji, že sa niekto chytí.

Ako sa brániť?

V súvislosti s touto kampaňou je nutné pripomenúť si zásady digitálnej sebaobrany. Ochrana pred phishingom nie je len o technológiách, ale predovšetkým o zmene správania a neustálej ostražitosti.

Prvým a najdôležitejším krokom je dôsledné overovanie odosielateľa pri každej jednej správe, a to aj v prípade, že doména vyzerá na prvý pohľad dôveryhodne. Hacknutá schránka skutočného obchodného partnera je dnes bežnou realitou, preto ak sa vám štýl komunikácie alebo požiadavka zdá čo i len trochu nezvyčajná, je lepšie overiť si ju iným kanálom, napríklad telefonicky.

Ďalším kľúčovým opatrením, najmä pre firemné prostredie, je technické obmedzenie spustiteľných súborov. E-mailové brány by mali byť nastavené tak, aby automaticky blokovali alebo aspoň prísne kontrolovali prílohy, ktoré obsahujú skripty ako .js alebo .vbs. Bežný používateľ nemá dôvod posielať zmluvu vo formáte JavaScriptu. Ak firma povolí doručovanie takýchto súborov len vo výnimočných prípadoch, výrazne tým zníži riziko nákazy.

Nesmieme zabúdať ani na dôležitosť viacvrstvovej ochrany. Nestačí mať len antivírus na počítači. Moderná bezpečnosť vyžaduje ochranu na úrovni koncových zariadení, ale aj priamo v e-mailovej komunikácii, ktorá dokáže hrozbu zachytiť skôr, než sa dostane k používateľovi. Ak totiž nemáte nasadenú spoľahlivú ochranu, je len otázkou času, kedy sa podobný scenár zopakuje, pričom budúce pokusy môžu byť prepracovanejšie a presvedčivejšie.

Posledným, no nemenej dôležitým pilierom obrany je ľudský faktor. Firmy by mali investovať do pravidelného školenia zamestnancov zameraného na rozpoznávanie techník sociálneho inžinierstva. Zamestnanec, ktorý vie, že príloha s koncovkou .tar alebo .js nie je štandardný dokument Wordu či PDF, je najlepšou prvou líniou obrany. Treba si dávať pozor na všetko, čo človek dostane, aj keď sa to tvári ako tá najserióznejšia správa na svete. Zdravá paranoja je v digitálnom svete roku 2026 nutnosťou, nie chybou.