Hlavní problém jsou nedostatečně proškolení uživatelé

Nejčastějším základem úspěchu phishingu jsou přehnaná důvěra, malá opatrnost a nedostatečně zkušenosti práce s on-line komunikačními nástroji jako je email, různými chatovacími nástroji a messengery na sociálních sítích. Rok 2021 v tomto ohledu přinese ještě větší důraz na vzdělávání jednotlivců i zaměstnanců. A to napříč celou firmou či institucí, protože ne vždy bude phishing mířit přímo na koncový cíl, ale běžně bude využívat chytrých cest jak se k úspěchu dostat oklikou. Velkou roli zde bude hrát i sociální inženýring, díky kterému se útočníci dostanou ke konkrétním informacím o firmě či jednotlivci a útok může být rafinovanější a méně nápadný.

Více a více bude důležité i průběžné vzdělávání a testování odolnosti firem na různé druhy phishingových kampaní. Jedině tak bude možné snížit riziko napadení prostřednictvím phishingu. Největším rizikem je lidský faktor - tedy nedostatečně vzdělaný uživatel.

Cílený spear phishing ve větší míře a kvalitě

Vedle masových phishingových pokusů (ve formě „máte zprávu z banky“, „musíte ověřit váš účet“, atd.) rozeslaných na stovky tisíc až miliony náhodných adres bude zásadním problémem spear phishing cílící na několik předem vybraných zdrojů za pomoci pokročilých metod. Řeč je o celé řadě způsobů - od těch základních v podobě osobních či firemních e-mailů a jejich podvrhů až po pokročilé využití reklamních systémů, napadení počítačů, mobilních zařízení, zneužívání bezpečnostních chyb a zásahy do doménových systémů.

Spear phishing bude stále více využívat pokročilé nástroje pro automatizaci. Útočníkům mimo jiné umožní velmi efektivně dolovat informace o cílech ze sociálních sítí a internetových zdrojů prostřednictvím automatických robotů.

Ve velmi pokročilé a cílené podobě spear phishingu najde uplatnění i technologie deepfakes, a to jak hlasových, tak obrazových.

Jakkoliv pokročilý spear phishing bude mířit na velké a lukrativní cíle, vzroste také zájem o útoky na malé a střední firmy. Velké množství úspěšných útoků zamíří ale i na jednotlivce, zejména důvěřivé seniory.

Sociální sítě stále zásadním cílem

Phishing s cílem získat přístup k účtům na sociálních sítích bude ještě intenzivnější. Takto získané účty je možné prodávat, využít pro útok na přátele a kontakty, zapojit do sofistikoaného cíleného phishingu nebo prostě jenom automatizovaně využívat pro spam a obtěžování.

Sociální sítě budou i cenným zdrojem zvukových a obrazových podkladů pro vytvoření deepfakes.

Phishing jako nástroj politických kampaní

Kterékoliv volby v kterékoliv zemi budou ohroženy phishingovými útoky pokoušejícími se získat přístup k e-mailovým účtům, databázím, počítačovým systémům a informacím o voličích. Stanou se nástrojem diskreditace, úniku informací a ovlivňování výsledků voleb.

Phishing jako cesta pro rozšiřování malware

Vzroste objem hromadně odeslaných phishingových e-mailů a zpráv (sociální sítě, chatovací platformy, kolaborativní platformy, počítačové hry) s cílem rozšířit malware, jako jsou různé keyloggery (špionážní software), či ransomware. Zasažené budou jak počítače jednotlivců, tak počítače organizací a firem. Příklad může být letošní hromadný útok, který zasáhl několik českých nemocnic, například v Benešově, Brně nebo v psychiatrické léčebně v Kosmonosech. Cíle budou stále pečlivěji vybírané. Velmi často bude ransomware útok i odvracet pozornost od dalšího útoku, špionáže, krádeží firemních informací, útoků na infrastrukturu a dalších.

Útoky (a nemusí to nutně být jenom ransomware) budou ve velkém využívat bezsouborové (file-less) techniky a podstatně lépe se naučí používat cloud.

Mobilní phishing na vzestupu

V posledních letech byl phishing hlavně cestou útoků přes osobní počítače, pro útočníky ale začne být zajímavější zaměřit se na mobilní zařízení s cílem získat přístup do peněženek a účtů uživatelů nebo ukrást osobní informace a následně je prodat či využít k vydírání. S nástupem 5G sítí budou moci útočníci snáze dolovat velké objemy dat a přímo z ovládnutých telefonů dále útočit.

Očekávat lze výrazný vzestup Smishing (phishing s pomoci SMS či zpráv obecně), Vishing (telefonický voice phishing) a jejich kombinací.

COVID-19, práce na dálku a z domova rizikem

Už ze zkušenosti v roce 2020 víme, že řada firem a organizací má zásadní rezervy v ochraně počítačů a sítí před phishingem. V roce 2021 dojde jen k malému zlepšení. Ještě více se ale projeví rizika spojená s prací na dálku a z domova, využití vlastních zařízení (BYOD, BYOM). Pokud má firma či organizace obtíže uhlídat vlastní vnitřní prostředí, tak nelze očekávat, že něco takového zvládne i po zahrnutí desítek až stovek zařízení mimo vlastní síť.

Téma COVID-19, vakcín a souvisejících věcí bude jedním ze základních nástrojů zejména masového phishingu.

Zásadní roli bude hrát Zero-Trust přístup

Rok 2021 přinese zásadní pochopení, že žádné přihlášení k jakémukoliv systému či zařízení není samo o sobě bezpečné. Přístup na základě nulové důvěry, kde se přístup uživatelů omezuje jen na potřebnou dobu a jen s nutnými oprávněními ke konkrétním aplikacím či datům. Omezí se tak oblast, která by mohla být útokem zasažena a zamezuje skrytému šíření hrozeb pomocí mikrosegmentace komunikačního prostředí, ať se jedná o počítačové sítě, cloudová úložiště nebo jednotlivá komunikační zařízení (počítače, mobily či tablety). Multifaktorové (v základu dvoufaktorové) ověřování bude nedílnou součástí Zero-Trust konceptu, které se postupně stává normou napříč firmami, organizacemi a více a více se stane běžným nástrojem i pro koncové uživatele. Zero-Trust přístup nezabrání sice každému útoku, ale řadu kybernetických útoků včetně phishingových dokáže zastavit už v prvopočátku.

Martin Půlpán Autor článku je expertem na kyberbezpečnost a šéfem společnosti net.pointers.