Přijdete do práce a uvidíte plakát, který vás láká k získání „speciálního překvapení“ během vašeho vánočního večírku. Stačí naskenovat QR kód z plakátu a přihlásit se o svoji odměnu. Saháte s radostí po telefonu? Pokud ano, spolkli jste návnadu. Přečtěte si více o jedné simulaci útoku sociálního inženýrství a zjistěte, proč být vždy obezřetní, nejen když sedíte před obrazovkou.
Hrozba sociálního inženýrství stále znepokojuje firmy všech velikostí. Techniky sociálního inženýrství místo toho, aby se zaměřily na slabá místa softwarové obrany, využívají prvek, který je mnohem těžší pozitivně ovlivnit a který je předurčen k tomu, aby čas od času selhal – lidský faktor. Aby firmy zůstaly před touto hrozbou chráněny, snaží se zvýšit pozornost a povědomí o kyberbezpečnosti svých zaměstnanců mnoha způsoby: vzdělávacími semináři, informačními bulletiny, kvízy – nebo dokonce simulacemi sociálního inženýrství.
Netradiční večírek
Tak tomu bylo v jedné nejmenované společnosti, která si pro své zaměstnance připravila slavnostní trik.
|
„Letos jsme se rozhodli uspořádat vánoční večírek netradičním způsobem. Máme pro vás speciální vánoční překvapení! Stačí naskenovat kód. Ale pospěšte si – počet účastníků je omezený!“ |
Plakáty s podobným textem našli zaměstnanci na vnějších dveřích svých kanceláří. Zatímco někteří kód naskenovali a byli nadšeni, co je na odkazu čeká, jiní byli podezřívaví, a někteří dokonce plakáty nahlásili IT oddělení.
Přijde vám to přehnané? Vůbec ne. Ve skutečnosti to byla právě poslední skupina, která reagovala správně. Plakáty ve skutečnosti vyvěsil IT tým, aby otestoval míru informovanosti zaměstnanců ohledně technik sociálního inženýrství. Plakát obsahoval několik indicií, které naznačovaly, že ačkoli text zdánlivě zve zaměstnance na slavnostní večírek, jedná se o ukázkový příklad phishingu pomocí QR kódu. Uhodnete některé z nápověd?
Zaprvé, text na plakátu byl velmi obecný, bez informací o tom, kdy nebo kde se má večírek konat. Díky tomu se mohlo snáze nachytat mnoho zaměstnanců z různých oddělení. Zadruhé, byl zde pocit naléhavosti, což je jeden z nejběžnějších a nejznámějších znaků sociálního inženýrství. Plakát byl také nalezen na místě, kam ho mohl umístit téměř kdokoli. Potenciální útočník by se ani nemusel dostat až do prostor kanceláře, stačil by mu přístup do veřejné části budovy, což je relativně snadno proveditelné. Nakonec někteří zaměstnanci trik odhalili, když viděli, že QR kód vede na stránku s názvem „Christmas-Party-Surprise“, která neměla s jejich společností nic společného a která byla opět podezřele obecná.
Vzhledem k tomu, že řada firem se snaží své zaměstnance o technikách sociálního inženýrství podrobně vzdělávat, zejména proto, že jde o jednu z nejčastějších kybernetických bezpečnostních hrozeb, jak je možné, že řada zaměstnanců přesto naletěla? Jedním z možných vysvětlení je, že zatímco v dnešní době jsou lidé pozornější, když obdrží e-mail nebo uvidí odkaz online, nejsou tak opatrní, když se s podobným nebezpečím setkají v offline světě. Možná vědí, že hrozby sociálního inženýrství mají mnoho podob, ale když jsou s nimi konfrontováni, jsou příliš důvěřiví.
To je také důvod, proč je phishing pomocí QR kódů mezi kyberzločinci stále oblíbenější. V posledních letech se podobné podvody objevují stále častěji, příkladem může být nedávná phishingová kampaň s QR kódy v Texasu, kdy hackeři rozdávali po parkovišti samolepky a žádali řidiče, aby kód jednoduše naskenovali a zaplatili za parkování online. Někteří řidiči se řídili pokyny a poté vyplnili své bankovní údaje, čímž se stali obětí podvodu.
Neskenujte scam
Jak můžete zabránit tomu, aby vaši zaměstnanci naletěli těmto snahám kyberútočníků? Klíčem je vzdělávání. Neomezujte své návody na nejběžnější typy útoků sociálního inženýrství, ale zahrňte i ty, které byly donedávna raritou. Snažte se, aby zaměstnanci vždy zůstali ostražití před možným kybernetickým nebezpečím.
Pokud narazí na QR kód, měli by si před jeho naskenováním položit tyto otázky:
- Je kód umístěn na veřejném místě?
- Pokud se jedná o nálepku, je pod ní něco umístěno – např. jiný, legitimní kód?
- Doprovází kód některé typické znaky sociálního inženýrství, jako je pocit naléhavosti nebo příliš obecný text?
- Když na kód namíříte fotoaparát telefonu a uvidíte název webové stránky, zdá se vám adresa legitimní? Vede na stránky organizace, která údajně QR kód vyvěsila?
- Pokud bych stejný text nebo QR kód obdržel e-mailem, připadal by mi podezřelý?
- Pokud se QR kód nachází na pracovišti, mohu si ověřit jeho pravost, například u HR nebo IT týmu?
Pokud se vaši zaměstnanci naučí na chvíli zastavit a zamyslet se nad legitimitou toho, co vidí, jsou již o krok blíže k bezpečnosti.
Láká vás vyzkoušet si simulaci sociálního inženýrství na vlastních zaměstnancích? Pokud ano, netrestejte ani neponižujte ty, kteří váš trik nerozpoznají, ale spíše využijte výsledky k tomu, abyste zjistili více o úrovni povědomí o kybernetické bezpečnosti ve vaší společnosti. Školení prostřednictvím simulace by nemělo být stresující zkušeností, ale příležitostí k dalším zlepšením.
A co vy? Odhalili byste tento trik?
