- Přehledy IS
- APS (22)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (9)
- Cloud computing (SaaS) (29)
- CRM (49)
- DMS/ECM - správa dokumentů (19)
- EAM (16)
- Ekonomické systémy (68)
- ERP (87)
- HRM (27)
- ITSM (6)
- MES (32)
- Řízení výroby (52)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (40)
- Dodavatelé CRM (36)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (80)
- Informační bezpečnost (42)
- IT řešení pro logistiku (46)
- IT řešení pro stavebnictví (25)
- Řešení pro veřejný a státní sektor (26)
CRM systémy
Plánování a řízení výroby
AI a Business Intelligence
DMS/ECM - Správa dokumentů
HRM/HCM - Řízení lidských zdrojů
EAM/CMMS - Správa majetku a údržby
Účetní a ekonomické systémy
ITSM (ITIL) - Řízení IT
Cloud a virtualizace IT
IT Security
Logistika, řízení skladů, WMS
IT právo
GIS - geografické informační systémy
Projektové řízení
Trendy ICT
E-commerce B2B/B2C
CAD/CAM/CAE/PLM/3D tisk
Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | ||
Doxing: útoků pomocí cílených e-mailů rapidně přibývá
Mezi obávané techniky kybernetických zločinců patří nejen ransomware, který se už stal všeobecně známým pojmem. Společnost Kaspersky vydala varování, že rapidně přibývá i útoků, které jsou označovány jako doxing, což je proces, při němž útočníci neoprávněně shromažďují důvěrné informace o firmě i jejích zaměstnancích, aby je poškodili nebo aby na informacích vydělali.
Jednou z metod používaných při doxingu je zneužití firemních e-mailů (Business Email Compromise, BEC). Jde o cílené útoky, při nichž pachatelé rozesílají zaměstnancům řetězové e-maily, jež vypadají, jako by je odesílal někdo z firmy. Jen v únoru 2021 odhalila společnost Kaspersky 1 646 takových útoků, což dokazuje obecně slabou ochranu firem před zneužíváním veřejně dostupných informací. Hlavním účelem takových útoků je získávání důvěrných informací, například klientských databází, případně rovnou krádež financí. V jednom z posledních případů, které společnost Kaspersky analyzovala, se pachatel vydával za jednoho z klíčových zaměstnanců firmy, využíval velmi podobný e-mail jako on a lákal z kolegů peníze.
Příklad útoku typu BEC, při němž se útočník snaží od kolegů získat bankovní údaje.
Takové útoky by nebyly v masovém měřítku možné, pokud by pachatelé neměli k dispozici velké množství veřejně dostupných informací na sociálních sítích a dalších místech – například jména a pracovní zařazení zaměstnanců, jejich další údaje, termíny dovolených nebo kontakty.
Zneužití podnikových e-mailů je ovšem jen jedním z typů útoků, které využívají veřejně dostupné informace, aby mohly škodit firmám. Doxing má ve skutečnosti mnoho podob. Některé z nich jsou dobře známé a jednoduché, například phishing nebo napadání pečlivě vybraných firem pomocí úniků dat, jiné jsou kreativnější a využívají modernější technologie.
Mezi oblíbené metody korporátního doxingu aktuálně patří krádeže identit. Útočníci si vyberou vhodnou oběť a pak její identitu využívají k nekalým účelům, což jim výrazně usnadňují moderní technologie typu deepfake – stačí, když je k dispozici dostatek veřejně přístupných dat. Například deepfake video, které domněle zobrazuje některého z pracovníků vybrané firmy, může výrazně poškodit pověst dané společnosti. Útočníci k tomu potřebují jen určité množství fotografií či videozáznamů vybraného člověka a k tomu pár základních osobních informací. Zneužít se dají i hlasy – stačí rozhlasový záznam nebo podcast některého z vysoce postavených manažerů, ze kterého útočníci hlas získají a napodobí ho například při telefonátu, který po podřízených žádá rychlý převod firemních peněz nebo zaslání klientské databáze na určitou adresu.
Prevence doxingu:
- Zaveďte přísné pravidlo, že zaměstnanci nesmějí nikdy psát o pracovních záležitostech na svých soukromých e-mailech a mimo oficiální firemní komunikaci. Proškolte zaměstnance, aby toto pravidlo striktně dodržovali.
- Pomozte zaměstnanců získat lepší povědomí o úskalích kybernetické bezpečnosti. Je to jediný způsob, jak účinně bojovat s technikami sociálního inženýrství, které kybernetičtí zločinci používají stále agresivnějším způsobem.
- Průběžně školte zaměstnance o základních kybernetických hrozbách. Zaměstnanec, který se dobře orientuje v problematice kybernetické bezpečnosti, je schopen zabránit útoku. Například pokud obdrží e-mail od kolegy s žádostí o informace, bude vědět, že má nejdříve tomuto kolegovi zatelefonovat, aby si ověřil, že tuto zprávu skutečně odeslal on.
- Využívejte nástroje proti spamu a phishingu.
„Obecně se má za to, že se doxing týká hlavně běžných uživatelů, protože se často odehrává na sociálních sítích. Jenže existuje i doxing korporátní, který je výraznou hrozbou pro důvěrné firemní údaje a rozhodně radíme nepřehlížet ho. Korporátní doxing může podobně jako ten osobní vést ke ztrátě peněz či pověsti – čím důvěrnější jsou ukradené informace, tím víc škody doxing nadělá. Přitom se mu dá předcházet nebo aspoň minimalizovat jeho následky, pokud organizace dodržuje bezpečnostní zásady a procedury,“ říká Roman Dedenok, bezpečnostní expert společnosti Kaspersky.
Více informací o metodách doxingu najdete na webu Securelist.com.
O nebezpečí doxingu a možných způsobech zneužití dat si můžete přečíst i zde.
květen - 2024 | ||||||
Po | Út | St | Čt | Pá | So | Ne |
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 | 1 | 2 |
3 | 4 | 5 | 6 | 7 | 8 | 9 |
22.5. | Cloud Computing Conference 2024 |
5.6. | IT mezi paragrafy 2024 |
20.6. | Cybernity 2024 |
Formulář pro přidání akce