Hackeři a útočníci, kteří ovládají sociální inženýrství, jsou hrozbou pro citlivá firemní data. Například 52 procent všech phishingových útoků z prvního pololetí 2022 se odehrálo na profesní síti LinkedIn. Manipulaci zaměstnanců se dá předejít pouze pravidelným školením a správným nastavením technologických pravidel a opatření.
Sociální inženýrství je jedním z nejčastějších způsobů, jakým se útočníci zmocňují citlivých firemních dat. Promyšlenými nástrahami například manipulují zaměstnanci, kteří jim pak nevědomky umetou cestu k nebezpečnému útoku. Stačí jim k tomu využít důvěry, naivity a neznalosti.
Útok cílený přes lidi nevyžaduje tolik finančních ani hackerských schopností. Je to však druhý nejvyužívanější způsob ataku, který ročně okrade firmy o miliardy dolarů. Bránit se proti němu je nesmírně obtížné a vyžaduje to komplexní přípravu, která obsahuje lidi i technologie. Manažer dohledového centra O2 Jiří Sedlák vysvětluje, že ke kybernetické bezpečnosti je nutné přistupovat komplexně. „Moje doporučení je školit, ale zároveň nasazovat další technologická a procesní pravidla a opatření. Dále pak konzultovat situaci ve své firmě s odborníky na bezpečnost.“
Druhy útoků s využitím sociálního inženýrství
Útočníci využívají mnoho způsobů, jak se k datům dostat. Aktuálně největším strašákem je tzv. phishing, při kterém se útočník vydává za důvěryhodné organizace, banky, přepravní společnosti nebo obchodní partnery a snaží se z obětí vylákat nejrůznější informace. Může to dělat přes email, SMS, sociální sítě nebo přes hovor (pak se používá výraz vishing). Útočník se snaží vyvolat dojem, že protistrana něco chce nebo potřebuje.
Problematická je z tohoto pohledu i profesní síť LinkedIn. Právě tato síť se pyšní nelichotivým prvenstvím – 52 procent všech phishingových útoků z prvního pololetí 2022 se odehrálo právě zde. Ukazuje to analýza společnosti AtlasVPN. Útočníci při svých nekalých praktikách zneužívají to, že používá automatické zkracování URL adres na 26 znaků a vystavený příspěvek na síti může odkazovat kamkoliv a přes několik přesměrování se uživatel ocitne na phishingové stránce.
Haló, jaký je váš PIN?
Jak již bylo zmíněno, útočníci často využívají i běžné telefonické hovory. Scénář vypadá nejčastěji takto: Na displeji telefonu se objeví číslo klientské linky vaší banky a na druhé straně se ozve údajný zaměstnanec, který naléhavým tónem sděluje, že hrozí ztráta peněz na vašem účtu. Další část příběhu pokračuje tak, že je možné peníze zachránit tím, že sdělíte své přihlašovací údaje k internetovému bankovnictví, nadiktujete volajícímu údaje z platební karty, nebo je sami aktivně převedete na jiný účet. Jeho číslo vám nyní váš zachránce ochotně nadiktuje. Ano, tak jednoduché to bohužel je.
Jak vyplývá z dat České bankovní asociace (ČBA), počet útoků na klienty bank se za poslední dva roky zvýšil čtyřnásobně. Škody jdou do stovek milionů a na jednoho poškozeného klienta je to v průměru 161 500 korun. ČBA proto ve spolupráci s orgány státní správy a s klíčovými firmami českého byznysu spouští rozsáhlou celonárodní vzdělávací kampaň #nePINdej! Ta má za cíl varovat a preventivně chránit před kybernetickými bankovními podvody, například formou Kybertestu.
Jak se útokům bránit
Útočníci vždy začínají pečlivým shromažďováním informací a budováním důvěry, kterou následně zneužijí a na závěr z obětí vylákají peníze, nebo ukradnou informace, které pak prodají. Je proto nezbytné neustále opakovat základní pravidla. Lidé by neměli otevírat emaily z neznámých adres a v žádném případě podezřelé přílohy. Měli by používat silná hesla a dvoufázová ověření. Důležité je také nepoužívat neznámé USB disky nebo nezaheslovaná úložiště.
Jak vysvětluje ředitel útvaru bezpečnosti O2 Radek Šichtanc, pouhé vyškolení obvykle nestačí: „I zkušený a vzdělaný uživatel může udělat chybu. Včetně admina po 20 letech v IT bezpečnosti. O to horší ta chyba může být. Proto je důležitá záchranná brzda v podobě bezpečnostních nástrojů, automatizovaných technologií, bezpečnostního monitoringu atp.“
Tematický speciál Kybernetická bezpečnost připravuje E15 ve spolupráci s O2.
