Interní spear phishing nejenže přesně útočí na vytipované oběti, ale zneužívá přitom i ukradené pracovní profily jejich kolegů.
Nedávno jsme psali o tom, jak ESET sleduje rostoucí počet spear phishingových kampaní, tedy přesně cílené phishingové útoky, které měly vylákat z oběti citlivé údaje nebo peníze. Jenomže útočníci dokážou jít ještě o krok dál, aby jejich klamavé zprávy působily naprosto důvěryhodně.
Výzkumní experti společnosti ESET si všimli, že kyberkriminální APT skupina MuddyWater v minulém roce využívala takzvaný interní spear phishing. Jde o techniku sociálního inženýrství, která zneužívá důvěru mezi kolegy.
- ESET APT Activity Report Q2 2025 - Q3 2025 popisuje úspěšné využívaní interního spear phishingu skupinou MuddyWater, která má blízko k íránskému režimu.
- Útočníci využívají interní spear phishing poté, co se dostanou do účtů zaměstnanců a zneužijí je na rozposílání spear phishingových zpráv.
- Zabránit těmto útokům je obtížné i proto, že tradiční kybernetická obrana se soustředí na útoky zvenčí a nesleduje e-maily rozeslané samotnými pracovníky firmy.
- Účinná prevence se neobejde bez školení zaměstnanců o neobvyklých phishingových hrozbách, ochrany jejich účtů, důsledné autentifikace a sofistikovaného antimalwarového řešení.
Spear phishing a interní spear phishing
Při spear phishingu útočníci nejdříve nashromáždí údaje o své oběti, aby ji mohli poslat důvěryhodně vypadající zprávu. Ta ji má přesvědčit, aby dobrovolně odevzdala své citlivé informace, poslala peníze, nebo případně stáhla malware.
„Telemetrie společnosti ESET ukazuje, že většina kybernetických útoků proti firmám začíná phishingovými e-maily. Phishing tradičně lstí přiměje lidi k odhalení osobních údajů nebo stažení malwaru. Spear phishing jde ještě dál a využívá personalizované zprávy poté, co útočníci shromáždí podrobnosti o konkrétním cíli. Dnes umělá inteligence tento proces automatizuje, takže spear phishing je stále běžnější.“
„Na sociálních sítích například zveřejníte příspěvek o vaší účasti na konferenci a druhý den můžete obdržet podvodný e-mail od osoby, která tvrdí, že se tam s vámi setkala, nabízí fotografie a chce se s vámi spojit. Pro někoho, kdo o tom nemá dostatek informací, je snadné nechat se nachytat a kliknout na škodlivý odkaz.“- Július Selecký, ESET Solution Architect
Interní spear phishing je ještě nebezpečnější, protože útočník zneužívá kradené účty zaměstnanců na rozesílaní spear phishingových zpráv konkrétní osobě. K těmto účtům se mohou útočníci dostat pomocí prolomeného hesla, ukradených přihlašovacích údajů (které se například mohly objevit na dark webu) nebo malwaru.
Útočník nezneužívá jenom e-maily
Přestože se phishing týká většinou e-mailů, útočníci mohou zneužít také další aplikace pro firemní komunikaci a projektový management. K těm patří například MS Teams nebo Jira.
Nejčastěji přes ně mohou sdílet škodlivé odkazy nebo přílohy, nesnaží se přímo vylákat citlivá data. Když totiž kyberkriminálníci předstírají, že jsou kolegové, jen stěží svůj cíl přesvědčí, aby jim prozradil přihlašovací údaje, hesla a podobně (možná kromě případů, kdyby se jim podařilo ukrást účet firemního administrátora).
Takovým způsobem útočníci dokážou posilovat svou přítomnost ve firemním systému, postupně kompromitovat stále více zařízení, a získávat přístup k citlivým informacím o firmě.
Nezmeškejte nic důležitého
Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.
ODEBÍRAT NOVINKYMuddyWater obchází ochranu
APT skupina MuddyWater byla v roce 2025 obzvláště úspěšná, což komě pokročilého malwaru lze připsat právě používání přesvědčivých interních spear phishingových zpráv. Útočníkům z MuddyWater se nejprve podařilo ukrást e-mailovou schránku v cílové organizaci a následně odesílali falešný e-mail mnoha (ale ne všem) zaměstnancům stejné organizace.
V domnění, že odesílatele zná, většina příjemců nepovažovala e-mail za podezřelý. Pak otevřeli škodlivý soubor nebo klikli na odkaz pro stažení nástroje pro vzdálené monitorování a správu (RMM), čímž útočníci získali kontrolu nad zařízením a dotkli se citlivých dat.
Interní spear phishing útočníků z MuddyWater je úspěšný proto, že nástroje kybernetické bezpečnosti a bezpečnostní profesionálové se častěji zaměřují na phishingové e-maily rozesíláné z externích zdrojů. Očekávají, že útočníci používají phishing, aby získali počáteční přístup do systému, nikoli že zcela obejdou e-mailovou ochranu.
Identifikace takových útoků je obtížná i proto, že zaměstnanci si v rámci interní komunikace vyměňují desítky zpráv denně. V případě větších firem může vést sledovaní tak obrovského množství upozornění na potenciální hrozbu k únavě a oslabení pozornosti.
Stručně řečeno, když má hrozba známou tvář, je těžší ji odhalit. Pokud není počáteční přístup detekován ochranou koncových zařízení XDR nebo MDR, bude trvat déle, než se aktivity útočníků v systému odhalí.
Služby spravované detekce a reakce
ESET MDR
Mějte na své straně řešení, které vám pomůže naplnit požadavky nového Zákona o kybernetické bezpečnosti. Zvolte si nepřetržitou ochranu spojením AI a podpory našich expertů. Už není potřeba budovat vlastní tým bezpečnostních odborníků.
DOZVĚDĚT SE VÍCEJak odhalit interní spear phishing
Zaprvé, neexistuje univerzální přístup. Jakmile selžou vaše preventivní bezpečnostní vrstvy a útočníci získají firemní účet, bude těžké si přesvědčivého interního spear phishingu všimnout. Existují však některé strategie detekce, které by stále mohly fungovat:
Dbejte na prevenci a školení
Skvělým způsobem, jak zabránit krádeži účtů, je naučit zaměstnance rozpoznat phishing. Dobrý program na zvyšování povědomí o kybernetické bezpečnosti zahrnuje nejen informování o nejnovějších hrozbách, jako jsou podvodné generované e-maily pomocí AI. Měl by také obsahovat i simulované phishingové scénáře s využitím interních e-mailů a shromažďování užitečných informací o chování zaměstnanců za účelem návrhu dalších bezpečnostních opatření.
Zlepšete své ověřování
Ověřování uživatele pouze při spuštění počítače nestačí. E-mailové účty lze chránit dodatečným jednorázovým heslem, nebo přidáním VPN s heslem. I když to může být nepohodlné, doplněné vrstvy ochrany by mohly zastavit útočníka před vniknutím hlouběji do systému, přestože získal přihlašovací údaje k e-mailovému účtu.
A co v případě, když ukradnou zaměstnanci otevřený notebook nebo pracovní telefon? Právě k tomu bylo vytvořeno nepřetržité ověřování při vstupu do aplikací, vícefázové ověřování (MFA), a kontrola založená na poloze zařízení.
Posilte ochranu svých cloudových aplikací
Ochrana proti phishingu, kterou používají cloudová bezpečnostní řešení, je efektivní i v boji proti interním hrozbám. Například ESET Cloud Office Security filtruje škodlivý obsah i v e-mailech poslaných mezi dvěma kolegy, a dokáže odhalit malware v souborech, které se objeví ve firemních aplikacích, jako je Teams.
Rozšíření ochrany vašich e-mailových serverů
Stejně, jako ochrana cloudových aplikací, i zabezpečení e-mailových serverů může interní phishing zastavit. Jedním z účinných postupů je zabránit uživatelům kliknout na škodlivé odkazy, které vedou na phishingové weby. ESET Mail Security tento proces vylepšuje sofistikovanou analýzou, která prohledává tělo i předmět e-mailové zprávy a detekuje škodlivé URL adresy. Jakýkoli e-mail obsahující škodlivé soubory nebo odkazy je automaticky umístěn do karantény, což zajišťuje, že se nikdy nedostane do doručené pošty uživatele.
Odhalování skrytých operací
Ochrana proti kampaním, jaké vede MuddyWater, je obtížná, protože vyžaduje více než jen základní bezpečnostní strategii spoléhající se na kybernetickou ochranu koncových zařízení.
Hlavním doporučením společnosti ESET pro prevenci vždy bylo vrstvení více obranných opatření, a totéž platí pro interní spear phishing. V dnešní době, kdy nemůžete důvěřovat ani komunikaci se svými kolegy, je lepší spolehnout se na modernější bezpečnostní opatření, které odhalí i ty nejzákeřnější interní útoky.
