Následujících 5 tipů vám pomůže vypořádat se s phishingovými útoky, i když čelíte podvodníkovi, který je ochoten věnovat čas a úsilí, aby získal vaši důvěru, místo toho, aby se vás snažil utlouct hromadnými e-maily:

1. Nenechte se ukolébat jen proto, že se zdá, že toho o vás odesílatel hodně ví

Nesvěřujte citlivé informace jen proto, že vám odesilatel mailu připadá známý. Někdo, kdo vás nikdy nepotkal a nikdy se s vámi ani nesetká, se může snadno jevit jako „známý“ – možná kamarád kamaráda nebo kolega, se kterým jste spolupracovali elektronicky na dálku, ale nikdy jste se nepotkali tváří v tvář.

Se směsí informací shromážděných z již provedených krádeží dat, profilů na sociálních médiích a historických e-mailů, které jste odeslali nebo přijali, může i skromně financovaný podvodník bez velkého technického důvtipu znít velmi přesvědčivě. Znalost víceméně veřejně dostupných informací o vás z nikoho nedělá důvěryhodnou osobu.

2. Nespěchejte s odesíláním údajů jen proto, že vám někdo jiný říká, jak je to naléhavé

Spousta e-mailových podvodů funguje, protože si podvodník získá vaši důvěru nebo vás přiměje si myslet, že je někým výše postaveným ve vaší organizační struktuře, a poté zdůrazňuje, jak naléhavý je úkol, který vám právě dal. Často se také uchýlí k lichotkám, když vám vysvětluje, proč se ptá zrovna vás a nikoho jiného, a udělá na vás dojem, že se jedná o důvěrný úkol, o kterém nesmíte diskutovat s nikým dalším.

Nikdy nepokládejte za obezřetnost, když někdo jiný požaduje úplné utajení, považujte to za podezřelé.

3. Nespoléhejte se na podrobnosti poskytnuté odesílatelem, ani když je zkontrolujete

Možná si myslíte, že se vás budou podvodníci snažit odradit od kontroly ‒ někdy to však nejen uvítají, ale dokonce vás aktivně vyzvou, abyste jim zavolali či odepsali zpět nebo navštívili jejich webové stránky. Tento mezikrok je součástí jejich podvodu. Pokud jim zavoláte zpět na telefonní číslo, které vám poskytli, nebo jim pošlete zprávu prostřednictvím webu, na který vás odkazují, jednoduše jim nabídnete příležitost, aby vám řekli ty samé lži, které chtějí, abyste slyšeli.

Toto je také důvod, proč finanční instituce uvádějí svá nouzová kontaktní čísla na zadní stranu vaší bankovní karty a umisťují je na uvítací obrazovky svých bankomatů – s těmito zdroji je pro podvodníky mnohem obtížnější manipulovat.

4. Nenásledujte pokyny k zobrazení zprávy, která je vložena uvnitř phishingového e-mailu

Běžnou lstí podvodníků je, že skrývají škodlivý obsah (například software pro krádež dat v podobě maker) do nevinně vyhlížejících souborů s dokumenty, a poté předloží „dokument“ s pokyny, jak jej „správně“ zobrazit po změně různých nastavení zabezpečení. Pokyny zní obvykle docela věrohodně, ale podvodníci vás ve skutečnosti navádějí k tomu, abyste vypnuli přesně ty bezpečnostní prvky, které vás udržují v bezpečí.

5. Nebojte se získat druhý názor

Pokud jste někdy požádali kolegy o kontrolu vašich dokumentů nebo e-mailů, často najdou chyby, u kterých nemůžete uvěřit, že jste je přehlédli. Proto je druhý názor tak užitečný. To je ve skutečnosti hlavní důvod, proč vás podvodníci vyzývají, abyste nikomu nic neříkali, aby vám zabránili získat druhý názor a tím je odhalit.

A když už mluvíme o spear-phishingu, jsou zde také 3 bonusové tipy pro zaměstnance IT oddělení a administrátory:

1. Zřiďte jednotný kontaktní bod, kde mohou zaměstnanci hlásit problémy s kybernetickým zabezpečením
Většina spear-phishingových útoků nefunguje proto, že by zaměstnanci chtěli udělat špatnou věc, ale proto, že chtěli jednat správně a zároveň být nápomocni tím, že všem poskytují skvělé zákaznické služby. Nikdo nechce riskovat, že si ho budeme pamatovat jako „bývalého kolegu, který dostal padáka za to, že řekl našemu nejdůležitějšímu zákazníkovi, ať jde do háje“.
Poskytnutím jednotného bodu pro hlášení, jako je třeba interní adresa jako bezpecnost-hlaseni@firma.cz, usnadníte svým uživatelům možnost požádat o bezpečnostní radu dříve, než napáchají škody. Jedinou horší věcí, než být podveden spear-phishingovým e-mailem, je zjištění, že osoba, která mu podlehla, nebyla ve firmě první, která se s ním setkala, a že se systémem včasného varování byste útok společně odvrátili.

2. Udělejte z kybernetické bezpečnosti obousměrnou ulici – naslouchejte svým uživatelům
V 90. letech i po roce 2000 byla kybernetická bezpečnost často založena na myšlence, že „IT ví všechno nejlépe a stanovuje všechna pravidla, bez výjimek“. Tento přístup má však tendenci vytvářet kulturu, ve které se slepě předpokládá, že vše, co není blokováno, je bezpečné. Dokonce i legitimní weby s vysokou návštěvností jsou někdy napadeny hackery, a pokud je jeden z vašich uživatelů náhodou první, kdo si toho všimne, tak chcete, aby vám to řekl, a ne aby pokrčil rameny a problém ignoroval.

3. Zvažte simulace phishingu
Vyspělé bezpečnostní produkty mohou vaše uživatele trénovat ‒ vystavit je různým typům triků, které využívají spear-phishingoví útočníci, na rozdíl od reálného útoku však v bezpečném prostředí, takže když jim někdo podlehne, nedojde k žádné skutečné škodě. Pokud dáte jasně najevo, že vaše phishingové testy jsou tu proto, aby pomohly uživatelům učit se, a ne je sledovat a nachytat je, pak z toho budou mít prospěch všichni. Koneckonců, někteří z vašich zaměstnanců pravděpodobně již každý měsíc dostávají desítky skutečných phishingových a spear-phishingových e-mailů, takže i když vy své uživatele netestujete, pak podvodníci určitě ano.

Paul Ducklin Autor článku je bezpečnostní expert společnosti Sophos.