Kybernetické hrozby se v dnešní digitální éře již dávno neskrývají pouze ve škodlivém kódu. Hackeři a podvodníci mohou nejen na uživatele, ale i firmy zaútočit také prostřednictvím důmyslných taktik, které míří na naši pohodlnost a nepozornost. Zdrojem rizik a možného zneužití dat se tak mohou stát i kancelářské odpadkové koše, USB disky, počítače ponechané bez dozoru a profily na sociálních sítích.
Pro jednoho odpad, pro druhého poklad
Proč by vás mělo zajímat, co zaměstnanci vyhazují do odpadkových košů? Protože tím mohou ohrozit cenná osobní i firemní data.
„Miliony lidí denně vyhazují citlivé informace a zločinci si toho jsou dobře vědomi,“ říká Jake Moore, specialista kybernetické bezpečnosti ve společnosti ESET. Ve skartovačce by tak měly skončit také obálky nebo údaje na balících, protože často obsahují fyzické i e-mailové adresy a telefonní čísla.
Na základě osobních údajů mohou podvodníci snadno manipulovat se zaměstnanci.
„Například s telefonním číslem a účtenkou s informacemi, co si člověk právě koupil, by mohli zaměstnanci klidně zavolat nebo mu poslat zprávu s novinkami k zakoupenému produktu. Také by ho mohli požádat, aby navštívil phishingové nebo jiné podvodné webové stránky, kde by z něj pak mohli vylákat další informace, například hesla nebo údaje o platební kartě,“ dodává Jake Moore. Nakonec by kyberzločinci mohli získat i přístup k různým online účtům a nakupovat zboží z uložených karet – včetně těch firemních.
Digitální data lze ohrozit i fyzicky
Jake Moore provedl v srpnu 2021 bezpečnostní experiment, kdy v převlečení za asistenta televizního producenta přišel do jednoho golfového klubu. Zaměstnanci ho pustili dovnitř, aniž by si ověřili jeho totožnost, dokonce po něm nechtěli ani žádný průkaz. Ponechali ho o samotě s většinou firemních zařízení.
Jake mohl dokonce vložit do zařízení v klubu USB disk. K jeho překvapení zařízení navíc běželo na zastaralém operačním systému Windows XP. Jen tak, během několika minut, získal přístup do celé firemní sítě.
„S přístupem k heslu k Wi-Fi, USB portům a k zařízením, která byla ponechána úplně bez dozoru, jsem mohl dokončit jakýkoli exploit, který mě v tu chvíli napadl, od instalace trojského koně pro vzdálený přístup nebo keyloggerů do počítačů až po umístění dalšího malwaru, například ransomwaru, do sítě a požadovat platbu za dešifrování dat.“
Vylákání citlivých dat přes LinkedIn
Pokud chcete navázat pracovní kontakty, je tu pro vás například profesní sociální síť LinkedIn. Sociální sítě se ale mohou stát další zdrojem potenciálních hrozeb. Útočník si může vytvořit falešný profil a získat si důvěru například asistenta či asistentky generálního ředitele. Ten si sice může jeho totožnost na sociální síti ověřit, ale také nemusí.
Přesně tento test opět provedl Jake Moore. Zaměstnance přesvědčil, že chce o společnosti natáčet reportáž, ale potřebuje k tomu od generálního ředitele zodpovědět pár otázek. Zaslal přes zaměstnance do firmy věrohodný dotazník s žádostí o osobní údaje šéfa firmy a ten dotazník ochotně vyplnil. Poté asistentka přeposlala všechny materiály zpět Jakeovi a tím mu poskytla zásadní citlivé informace, které mohl dále snadno zneužít.
Čím více jsme online, tím více příležitostí mají útočníci k tomu, aby se dostali k našim datům. Kyberzločinci navíc často pracují s naší psychikou a sázejí na naivitu, pravdomluvnost nebo slušnost svého cíle. V digitálním prostředí je zkrátka více než kde jinde nutné dvakrát měřit a jednou řezat – nebo, v tomto případě, klikat.