“Dis is one half.” – svietilo v deväťdesiatych rokoch na monitore nejedného domáceho počítača. Dostať sa k svojej 486-tke pritom pre mnohých nebolo lacnou záležitosťou a táto hláška, indikujúca, že počítač ovládol škodlivý vírus, vyvolávala u informaticky menej vzdelanej populácie doslova návaly hrôzy a zdesenia.
Legendárny vírus OneHalf, vznikol na Slovensku a vo svete sa mu dostalo širokého povedomia pod viacerými názvami, no najviac príznačný bol určite „Slovak Bomber.“ OneHalf totiž zákerne a potichúčky kryptoval údaje na vašom HDD. O nevítanom hosťovi v počítači sa nič netušiaci používateľ dozvedel, až keď vírus zakódoval polovicu pevného disku a „na hulváta“ sa začal chváliť už spomenutou, dnes legendárnou hláškou.
OneHalf je príznačný pre éru kybernetickej bezpečnosti, kedy sa vírusy šírili cez e‑mailové prílohy, súbory či makrá v dokumentoch a obrana stála na antivíruse, firewalle a základnej hygiene. Aktualizácie boli síce odyseou samou o sebe, no keď bol systém “up-to-date“, mal veľkú šancu riziko zvládnuť. Útoky neboli tak rozšírené a ani útočníci neboli masovo motivovaní rýchlymi zárobkami ako dnes.
Dnes sa útoky presunuli z infraštruktúry na identitu a používateľa. Hacker sa nesnaží obísť technické kontroly, skôr ich využíva. Pracuje s legitímnymi nástrojmi, dôveryhodnými vizuálmi a presne zvoleným načasovaním. Cieľom je (ne)vedomé rozhodnutie človeka, ktorý má platné oprávnenia, funkčné MFA a prístup k citlivým dátam.
V našom dohľadovom centre kybernetickej bezpečnosti (SOC) sme aj v minulom roku pozorovali najmä incidenty, ktoré vznikli na koncovom zariadení resp. na identite užívateľa. “Falošné systémové chyby, man in the middle schopný obísť MFA či neautorizovaný softvér zavlečený priamo používateľom sa stali dominantným vstupným bodom kompromitácie,” hodnotí minulý rok v kybernetickej bezpečnosti Ján Andraško, CEO spoločnosti Binary Confidence. Práve tieto tri scenáre patrili medzi najčastejšie a zároveň najproblematickejšie útoky roka 2025.
1. ClickFix a tichá inštalácia infostealerov
Jedným z najúspešnejších scenárov súčasnosti je takzvaný ClickFix. Útočník sa v tomto prípade nesnaží používateľa vystrašiť ani ohromiť technickými detailmi. Naopak, prezentuje sa ako riešenie problému. Typicky ide o falošné upozornenie na chybu systému, bezpečnostný incident alebo kritickú poruchu aplikácie. Zvyčajne je tento trik vizuálne doplnený o notorický známy Windows „blue screen of death“, ktorý pôsobí dôveryhodne najmä na menej technických používateľov.
Vykonaním inštrukcie, ktorú “chybová hláška” ponúka sa spustí inštalácia škodlivého kódu, najčastejšie infostealera. Tento typ malvéru sa zameriava na krádež prihlasovacích údajov, cookies, tokenov relácií či uložených hesiel v prehliadačoch. Používateľ má pocit, že urobil správnu vec, keď opravil chybu. Detekcia prichádza až vo chvíli, keď sa kompromitované účty začnú zneužívať. Práve spoločnosti bez aktívneho SOC-u zistia, že majú problém často až príliš neskoro.
2. Phishing novej generácie a obchádzanie MFA
Phishing je starý (takmer 😊) ako ARPANET, no jeho podoba sa výrazne zmenila. V roku 2025 sa stretávame s využitím man‑in‑the‑middle proxy nástrojov, ako sú Evilginx či podobné frameworky. Tie dokážu v reálnom čase sprostredkovať komunikáciu medzi obeťou a legitímnou službou. Phishing-as-a-service dnes za triviálnu sumu peňazí dokáže aj pre menej technicky vyspelých užívateľov vytvoriť profesionálne kampane s podvrhnutými webmi na nerozoznanie od tých originálnych.
Používateľ zadá svoje prihlasovacie údaje na falošnej stránke, ktorá je vernou kópiou originálu. Dokonca úspešne prejde aj viacfaktorovou autentifikáciou. Útočník si však v pozadí odchytí autentifikačné tokeny a získa plnohodnotný prístup k účtu bez potreby ďalšieho overovania. Z pohľadu obrany ide o jeden z najnebezpečnejších trendov, pretože rozbíja falošný pocit bezpečia založený výlučne na MFA.
3. Nepovolený a zavírený softvér ako vstupná brána
Tretím opakujúcim sa scenárom bola inštalácia nepovoleného softvéru. Najčastejšie išlo o cracknuté verzie komerčných nástrojov, grafické editory typu Adobe Photoshop, ale aj herné modifikácie, cheaty či doplnky pre populárne hry ako Roblox. Spoločným menovateľom je obchádzanie licenčných obmedzení a bezpečnostných kontrol.
Takýto softvér je ideálnym nosičom škodlivého kódu. Používateľ očakáva, že antivírus, alebo iné bezpečnostné riešenie bude mať voči ich inštalácii výhrady. Varovania preto vedome ignoruje alebo si ich vypne. Pre útočníka je to otvorená brána do systému a často aj firemnej siete. V SOC sa neraz stretávame s tým, že kompromitácia vznikla na zariadení, ktoré formálne spĺňalo bezpečnostné politiky, no reálne na ňom bežal neautorizovaný a infikovaný softvér.
Robota navyše, alebo nevyhnutný zlatý štandard?
Pre CISO a IT tímy je kľúčové prijať fakt, že väčšina moderných incidentov nevzniká zlyhaním technológie, ale ľudským (nevedomým) omylom, keď technológia funguje presne tak, ako bola navrhnutá. Obrana preto musí byť postavená na práci s identitou, správaním a kontextom, nie len na perimetri.
Ján Andraško, CEO Binary Confidence pripomína že “dôsledné uplatňovanie princípov zero trust, neustále overovanie identity, zariadenia aj kontextu prístupu je úplný základ. MFA by nemalo byť vnímané ako konečné riešenie, ale ako jedna z vrstiev.” Odporúčaným štandardom je MFA odolné voči phishingu, doplnené o podmienený prístup založený na geolokácii, stave zariadenia a správaní používateľa.
Dôležitým pilierom je ochrana koncových zariadení presahujúca klasický EDR model. V prostredí, kde si používateľ dokáže sám spustiť infostealer alebo zaviesť neautorizovaný softvér, je kritické kombinovať EDR s aplikačným whitelistingom, kontrolou spúšťania skriptov a politikami typu „deny by default“. Z pohľadu SOC má zásadný význam schopnosť rýchlo korelovať signály z endpointu s aktivitami identity, napríklad neštandardné prihlásenie krátko po spustení podozrivého procesu.
Nepodceňujme riadenie privilégií
Nepovolený softvér je v prvom rade licenčný a compliance problém. Čo často rieši len málokto je fakt, že môže ísť aj o potenciálny plnohodnotný útočný vektor. Odpoveďou sú centrálne schvaľovacie procesy, jasne definované výnimky a technické vynucovanie politík. Princíp minimálnych oprávnení by nemal platiť len pre administrátorské účty. Inštalovať softvér bez vedomia IT oddelenia by nemal mať umožnené žiadny zamestnanec.
Z pohľadu riadenia bezpečnosti je kritické aj pravidelné testovanie reality. Simulované phishingové kampane, tabletop cvičenia a purple team aktivity pomáhajú odhaliť, kde sa teoretické politiky rozchádzajú s reálnym správaním používateľov a reakčnými schopnosťami SOC. Pre CISO je to zároveň silný nástroj na komunikáciu rizika smerom k vedeniu.
Zlatým štandardom roku 2026 je teda vrstvená obrana, ktorá kombinuje technológie, procesy a ľudí. Organizácie, ktoré dokážu prepojiť identitu, endpoint a SOC do jedného rozhodovacieho rámca, majú výrazne vyššiu šancu útok nielen detegovať, ale aj zastaviť skôr, než sa z incidentu stane krízová situácia s reálnym biznisovým dopadom.
The project funded through grant agreement number 101145856 is supported by the European Cybersecurity Competence Centre.
