facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
K2 atmitec
IT SYSTEMS 3/2021 , IT Security

5 tipů, jak se vyhnout spear-phishingovým útokům

Paul Ducklin


Phishing můžeme velmi stručně definovat jako trik, kdy vás kyberzločinec přiměje elektronicky odhalit nějakou informaci, kterou byste si měli nechat jen pro sebe. Dobrou zprávou je, že většina z nás se v dnešní době naučila zjevné phishingové útoky poznat. Horší ale je, že phishingové útoky nelze spolehlivě odhalit pouhým sledováním zjevných chyb. Musíte si dávat pozor na cílený phishing, který se často trefně nazývá spear-phishing, kdy se podvodníci skutečně snaží přizpůsobit phishingový e-mail konkrétně pro vás a vaši společnost.


Následujících 5 tipů vám pomůže vypořádat se s phishingovými útoky, i když čelíte podvodníkovi, který je ochoten věnovat čas a úsilí, aby získal vaši důvěru, místo toho, aby se vás snažil utlouct hromadnými e-maily:

1. Nenechte se ukolébat jen proto, že se zdá, že toho o vás odesílatel hodně ví

Nesvěřujte citlivé informace jen proto, že vám odesilatel mailu připadá známý. Někdo, kdo vás nikdy nepotkal a nikdy se s vámi ani nesetká, se může snadno jevit jako „známý“ – možná kamarád kamaráda nebo kolega, se kterým jste spolupracovali elektronicky na dálku, ale nikdy jste se nepotkali tváří v tvář.

Se směsí informací shromážděných z již provedených krádeží dat, profilů na sociálních médiích a historických e-mailů, které jste odeslali nebo přijali, může i skromně financovaný podvodník bez velkého technického důvtipu znít velmi přesvědčivě. Znalost víceméně veřejně dostupných informací o vás z nikoho nedělá důvěryhodnou osobu.

2. Nespěchejte s odesíláním údajů jen proto, že vám někdo jiný říká, jak je to naléhavé

Spousta e-mailových podvodů funguje, protože si podvodník získá vaši důvěru nebo vás přiměje si myslet, že je někým výše postaveným ve vaší organizační struktuře, a poté zdůrazňuje, jak naléhavý je úkol, který vám právě dal. Často se také uchýlí k lichotkám, když vám vysvětluje, proč se ptá zrovna vás a nikoho jiného, a udělá na vás dojem, že se jedná o důvěrný úkol, o kterém nesmíte diskutovat s nikým dalším.

Nikdy nepokládejte za obezřetnost, když někdo jiný požaduje úplné utajení, považujte to za podezřelé.

3. Nespoléhejte se na podrobnosti poskytnuté odesílatelem, ani když je zkontrolujete

Možná si myslíte, že se vás budou podvodníci snažit odradit od kontroly ‒ někdy to však nejen uvítají, ale dokonce vás aktivně vyzvou, abyste jim zavolali či odepsali zpět nebo navštívili jejich webové stránky. Tento mezikrok je součástí jejich podvodu. Pokud jim zavoláte zpět na telefonní číslo, které vám poskytli, nebo jim pošlete zprávu prostřednictvím webu, na který vás odkazují, jednoduše jim nabídnete příležitost, aby vám řekli ty samé lži, které chtějí, abyste slyšeli.

Toto je také důvod, proč finanční instituce uvádějí svá nouzová kontaktní čísla na zadní stranu vaší bankovní karty a umisťují je na uvítací obrazovky svých bankomatů – s těmito zdroji je pro podvodníky mnohem obtížnější manipulovat.

4. Nenásledujte pokyny k zobrazení zprávy, která je vložena uvnitř phishingového e-mailu

Běžnou lstí podvodníků je, že skrývají škodlivý obsah (například software pro krádež dat v podobě maker) do nevinně vyhlížejících souborů s dokumenty, a poté předloží „dokument“ s pokyny, jak jej „správně“ zobrazit po změně různých nastavení zabezpečení. Pokyny zní obvykle docela věrohodně, ale podvodníci vás ve skutečnosti navádějí k tomu, abyste vypnuli přesně ty bezpečnostní prvky, které vás udržují v bezpečí.

5. Nebojte se získat druhý názor

Pokud jste někdy požádali kolegy o kontrolu vašich dokumentů nebo e-mailů, často najdou chyby, u kterých nemůžete uvěřit, že jste je přehlédli. Proto je druhý názor tak užitečný. To je ve skutečnosti hlavní důvod, proč vás podvodníci vyzývají, abyste nikomu nic neříkali, aby vám zabránili získat druhý názor a tím je odhalit.

A když už mluvíme o spear-phishingu, jsou zde také 3 bonusové tipy pro zaměstnance IT oddělení a administrátory:

1. Zřiďte jednotný kontaktní bod, kde mohou zaměstnanci hlásit problémy s kybernetickým zabezpečením
Většina spear-phishingových útoků nefunguje proto, že by zaměstnanci chtěli udělat špatnou věc, ale proto, že chtěli jednat správně a zároveň být nápomocni tím, že všem poskytují skvělé zákaznické služby. Nikdo nechce riskovat, že si ho budeme pamatovat jako „bývalého kolegu, který dostal padáka za to, že řekl našemu nejdůležitějšímu zákazníkovi, ať jde do háje“.
Poskytnutím jednotného bodu pro hlášení, jako je třeba interní adresa jako bezpecnost-hlaseni@firma.cz, usnadníte svým uživatelům možnost požádat o bezpečnostní radu dříve, než napáchají škody. Jedinou horší věcí, než být podveden spear-phishingovým e-mailem, je zjištění, že osoba, která mu podlehla, nebyla ve firmě první, která se s ním setkala, a že se systémem včasného varování byste útok společně odvrátili.

2. Udělejte z kybernetické bezpečnosti obousměrnou ulici – naslouchejte svým uživatelům
V 90. letech i po roce 2000 byla kybernetická bezpečnost často založena na myšlence, že „IT ví všechno nejlépe a stanovuje všechna pravidla, bez výjimek“. Tento přístup má však tendenci vytvářet kulturu, ve které se slepě předpokládá, že vše, co není blokováno, je bezpečné. Dokonce i legitimní weby s vysokou návštěvností jsou někdy napadeny hackery, a pokud je jeden z vašich uživatelů náhodou první, kdo si toho všimne, tak chcete, aby vám to řekl, a ne aby pokrčil rameny a problém ignoroval.

3. Zvažte simulace phishingu
Vyspělé bezpečnostní produkty mohou vaše uživatele trénovat ‒ vystavit je různým typům triků, které využívají spear-phishingoví útočníci, na rozdíl od reálného útoku však v bezpečném prostředí, takže když jim někdo podlehne, nedojde k žádné skutečné škodě. Pokud dáte jasně najevo, že vaše phishingové testy jsou tu proto, aby pomohly uživatelům učit se, a ne je sledovat a nachytat je, pak z toho budou mít prospěch všichni. Koneckonců, někteří z vašich zaměstnanců pravděpodobně již každý měsíc dostávají desítky skutečných phishingových a spear-phishingových e-mailů, takže i když vy své uživatele netestujete, pak podvodníci určitě ano.

Paul Ducklin Paul Ducklin
Autor článku je bezpečnostní expert společnosti Sophos.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Česká IT společnost ALEF posiluje v Rumunsku partnerství s F5

ALEFČeská společnost ALEF, jeden z největších dodavatelů informačních technologií v České republice a na několika dalších evropských trzích, se stala distributorem společnosti F5 a jejích bezpečnostních řešení pro Rumunsko. Posiluje se tak více než devítiletý vztah mezi oběma firmami na Slovensku, v Maďarsku a České republice.

Helios
- inzerce -