facebook LinkedIN LinkedIN - follow
Aktuality -> Komunikace a sítě - 28. 7. 2020 - Ing. Lukáš Grásgruber

Obstáli by vaši zaměstnanci při phishingovém útoku?

GitLab se rozhodla otestovat připravenost svých zaměstnanců Společnost GitLab se rozhodla otestovat připravenost svých zaměstnanců odolat pokusu o cílený phishingový útok. S výsledkem testu rozhodně nemohla být spokojena a je chvályhodné, že se přesto v rámci osvěty o výsledky simulovaného útoku podělila. 20 % zaměstnanců totiž při testovacím phishingovém útoku neobstálo a předalo vlastní přihlašovací údaje do firemních systémů. Myslíte, že by to u vás dopadlo lépe? Zkuste to! I jediný nepozorný zaměstnanec totiž může zavinit kompletní zničení či ovládnutí celé IT infrastruktury.



Phishing stojí (například dle tohoto výzkumu) za zhruba čtvrtinou všech narušení bezpečnosti. Zároveň patří ke kybernetickým útokům, kterým je prakticky nemožné zabránit a zčásti za to může i to, jakým způsobem fungují e-maily. Ještě více komplikované se vše stalo s příchodem mobilních telefonů, kde většinou není možné ověřovat hlavičky a internetové adresy v prohlížečích bývají skryté či různě zkrácené.

Test ve společnosti GitLab byl velmi snadný a odpovídal způsobu, jak by přesně cílený phishing (rhybaření) mohl probíhat. Padesáti zaměstnancům byl poslán e-mail tvářící se jako interní firemní zpráva o aktualizaci s požadavkem na kliknutí na odkaz v e-mailu. Ten vedl na doménu gitlab.company vytvořenou specificky pro tento účel a opatřenou i SSL certifikátem. Po kliknutí se objevila žádost o přihlášení. Na odkaz jako takový kliklo 17 lidí z 50. Deset z nich ale do podvodného přihlašovacího formuláře vyplnilo platné přihlašovací údaje.

Podobný test si můžete zkusit i ve vaší společnosti, zprovoznit falešný web vypadající jako ten váš na doméně vizuálně podobné té vaší není nijak nákladné. Získat vzorky toho, jak vypadají firemní e-maily, také ne, stejně jako dostatečný počet firemních e-mailových adres, na které je možné phishing poslat. Při pár desítkách adres a přibližně 20% úspěšnosti se zcela jistě dostanete k několika přihlašovacím údajům poměrně rychle.

Zneužití získaných přihlašovacích údajů pak už může jenom ztížit (a v řadě případů i zabránit) dostatečná ochrana přihlašování. Především dvoufaktorové ověřování, které vyžaduje k přihlášení nejenom znalost jména/e-mailu a hesla, ale také ověření přes mobilní telefon či další pokročilejší formy (bezpečnostní klíče). Doposud bylo také užitečné důsledné používání VPN pro jakékoliv přístupy zvenčí a kompletní znemožnění dostat se k přihlášení bez nich, to se však s postupným nárůstem využití cloudových služeb pomalu ale jistě snižuje. Úloha hardwarových klíčů v počítačích, o nichž mnozí také často uvažují, pak také klesá.

Nebezpečí se samozřejmě stále skrývá ve velmi obvyklém užívání stejných hesel pro více služeb. Tomu lze zabránit velmi těžko a případný útočník se tak možná nedostane ihned do firemních systémů, ale může získat přístup k soukromým e-mailům zaměstnanců či k jejich sociálním sítím. Jde to ale i obráceně, kdy útočníci nejdříve získají heslo k soukromým účtům a následně jej zrecyklují pro přístup k firemním systémům. Tím se otevírají další možnosti, například pro sociální inženýrství.

Proto musí být jednou ze zásadních cest ochrany i kvalitní vzdělávání zaměstnanců, doplněné o ochranu na úrovní poštovních systémů, kde bude docházet k testování příchozích e-mailů na příznaky phishingu (často jde i o nasazení strojového učení a umělé inteligence). Vhodnou cestou je důsledné prověřování všech domén i IP adres, ze kterých e-maily přicházejí. Je možné i přistoupit k tak základnímu opatření, jako je blokování všech odkazů ve firemních e-mailech. Stále tu ale zůstane možnost útoku přes osobní e-maily zaměstnanců, proto je právě vzdělávání zaměstnanců jedním z nejdůležitějších nástrojů. Včetně toho, že byste si měli své zaměstnance opravdu čas od času otestovat.

Pokud by snad phishingový útok vedl k prozrazení přihlašovacích údajů a následnému vstupu útočníka do firemních systémů – i na takové situace je třeba se připravit předem, dokázat detekovat nezvyklé chování, přístupy, přenosy dat. Zkrátka důsledně dbát na omezený přístup uživatelů k důležitým a citlivým systémům či datům.

Článek vznikl na základě materiálů firmy Anect.


 
  

- Inzerce -

Úsměv namísto podpisu a robot na místě prodavače

IT Systems 11/2020V novém vydání IT Systems se věnujeme trendům v digitalizaci bankovnictví a finančního sektoru, který je sice vnímán jako velmi konzervativní odvětví, ale ve vztahu k informačním technologiím patří naopak mezi ty nejprogresivnější. Tlak konkurence i nebankovních institucí a požadavky zákazníků totiž nutí celé odvětví, aby přijímalo nejnovější technologie.

  

- Inzerce -

5 důvodů, proč si pořídit řešení Juniper s Mist AI

JuniperI když jsou kabelové a bezdrátové sítě pro podnikání důležitější než kdykoli dříve a stávají se kritickou infrastrukturou i pro malé podniky, je udržování provozu sítě vzhledem k velkému počtu mobilních zařízení, internetu věcí (IoT) a škále hardwaru, operačních systémů a aktuálně používaných aplikací stále těžší a těžší.