Lidé jsou emocionální bytosti. Za určitých okolností se jednoduše řídíme spíše svými pocity než chladným úsudkem, a sociální inženýři toho umějí účinně využít. Útoky pomocí metod sociálního inženýrství obvykle nevyžadují specifické technické dovednosti na straně útočníka. Šikovně napsaný e-mail dokáže připravit o osobní údaje klidně i tisíce uživatelů. Cílem jsou bohužel i firmy ze segmentu SMB.
Sociální inženýrství představuje riziko i pro SMB
I malé a střední firmy si čím dál jasněji uvědomují, že i ony jsou pro kybernetické útočníky zajímavý cíl, což potvrzují úřady a bezpečnostní společnosti po celém světě. V roce 2020 byl podle dat Národního úřadu pro kybernetickou bezpečnost (NÚKIB) nejčastějším typem útoků spam, phishing a skenování vnější sítě na zranitelnosti. Na základě dostupných dat celkem 14 % firem považuje spear phishing za jednu z nejvážnějších hrozeb (po ransomware a DDoS).
"53 % organizací uvedlo, že byl na ně v roce 2020 veden spear phishingový útok nebo pokus o něj. Uvádí to Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2020"
Slovníček podvodných manipulačních útoků
S technikami sociálního inženýrství se můžeme setkat nejen ve spamu, ale i u dalších forem phishingu. Útočníci rozesílají také v SMS (smishing), přes sociální sítě či chatovací aplikace. Poměrně nově dokonce můžete obdržet i phishingový telefonát (který označujeme jako vishing).
Phishing
Phishing je forma sociálního inženýrství. Útočník vydává za důvěryhodnou entitu a pod zdánlivě legitimní záminkou požaduje od oběti citlivé údaje.
Spear Phishing
Cílená forma phishingu na konkrétní osobu, organizaci nebo firmu. Typické phishingové kampaně necílí na oběti jednotlivě – jsou zasílány stovkám nebo tisícům příjemců. Taktikou útočníků je zneužití získaných interních informací nebo informací veřejně dostupných, například jmen vedoucích pracovníků, a následně manipulování e-mailových adres, aby se podobaly oficiálním.
Vishing
Metoda podobná phishingovému mailingu, ale namísto e-mailů jde o podvodný telefonní hovor. Kyberzločinec se maskuje například za zástupce banky nebo pojišťovny. Útočníkům se vyplácí volání v nočních hodinách, protože jejich oběti jsou tak méně soustředěné. Detailní popis útoku, včetně nahrávky, zveřejnil portál SeznamZprávy.cz.
Smishing
Pokus o získání důvěryhodných informací prostřednictvím SMS zpráv. Cílem smishingu je nejčastěji přesměrovat uživatele na web, který citlivá data sbírá. Některé zprávy mohou uživatele vyzývat k zaslání citlivých údajů i přímou odpovědí na SMS.
Scareware
Škodlivý kód, který pomocí různých technik vyvolává úzkost a strach, nepřímo tak nutí uživatele do instalace dalšího škodlivého kódu na svá zařízení. V minulosti jsme se setkali třeba s falešnými antivirovými produkty, které varují před kritickým malware v zařízení. Tyto programy jsou ale zpravidla samy škodlivé – často zobrazují reklamu nebo sbírají data o zařízení či uživateli.
Zosobnění (Spoofing)
Technika zosobnění je stejná i ve fyzickém světě. Kybernetičtí zločinci kontaktují zaměstnance firmy, vydávají se například za generálního ředitele a pokoušejí se manipulovat s obětí tak, aby učinila určité kroky, například schválila podvodné transakce.
Scam vydávající se za technickou podporu
Útočníci se v případě tohoto podvodného spamu (scamu) snaží prodávat falešné služby, odstraňovat neexistující problémy nebo instalovat řešení vzdáleného přístupu do zařízení obětí a získat tak neoprávněný přístup k jejich datům. Tato metoda byla velice oblíbená na začátku pandemie, kdy řada firem řešila zásadní technické otázky, jak zprovoznit home office.
Sextortion
Sextortion je podvod, se kterým se uživatelé setkávají už dlouho. Jde zpravidla o e-mail, který se snaží vydírat oběti smyšlenou lechtivou nahrávkou oběti. Přečtěte si více o tom, jak sextortion funguje a jak zůstat v bezpečí.
Jak chránit svou firmu před sociálním inženýrstvím?
Existuje několik signálů, jak sociální inženýrství rozpoznat. Někdy obsahuje logické chyby a nesprávnou gramatiku či stylistiku. Zpravidla jde o velmi naléhavou zprávu s nestandardním požadavkem na heslo, osobní údaje nebo přístup k nějakým interním systémům.
Často je také až o příliš dobrou nabídku, kterou takřka „nejde odmítnout“. To vše jsou signály, při kterých je na místě zpozornět. Sázet jen na obezřetnost ale nemusí stačit, co ještě můžete udělat?
1. Vzdělávejte svůj tým
Techniky sociálního inženýrství spoléhají neznalost svých obětí, proto jsou pravidelná školení v oblasti kybernetické bezpečnosti důležitá pro celou firmu – ať už pro vrcholový management, IT nebo další oddělení. Během školení se pokuste poukázat na konkrétní scénáře ze skutečného života. Díky tomu si vaši zaměstnanci dokážou představit konkrétní situace. Všichni zaměstnanci by měli znát alespoň základní preventivní postupy a vědět, jak zareagovat, pokud se se sociálním inženýrstvím setkají.
2. Nastavte pravidla pro odolná hesla
Odpovídající politika hesel je pro firmu základ. Vyhledávejte slabá hesla, která by mohla být potenciálně zneužita. Zvažte implementaci vícefaktorového ověřování, alespoň pro VPN nebo další citlivé služby.
3. Používejte adekvátní bezpečnostní řešení
Dalším způsobem, jak zlepšit zabezpečení, by mohla být implementace technických řešení, které dokáží podvodnou komunikaci rozpoznat. Pak je možné nevyžádanou poštu nebo phishingové zprávy detekovat, a neutralizovat.
Tipy, jak eliminovat phishingové maily, najdete například zde.
