Věděli jste, že více než 90 % všech úspěšných hackerských útoků a úniků dat začíná phishingovým podvodem? Víte vůbec, co je phishing a jak ochránit svou firmu před napadením?
Phishingový podvod je snaha kybernetických zločinců přimět uživatele, aby něco udělal, například klikl na odkaz, zadal přihlašovací údaje, otevřel přílohu nebo dokonce změnil firemní proces. Tyto podvody mají nejčastěji podobu škodlivých e-mailů, ale mohou vypadat i jinak. Jejich důsledkem může být ransomware, instalace škodlivého softwaru (virů, trojských koní, červů), krádež přihlašovacích údajů, krádež finančních prostředků, ztráta dat nebo dokonce krádež identity. Phishingoví útočníci využívají běžných lidských vlastností, jako je důvěra v lidi, které znáte, aby vás přiměli udělat něco, co byste normálně neudělali.
Připravte se bránit
Pokud je cílem phishingového útoku oklamat vás, jak před ním můžete ochránit své zaměstnance? Vypadá to jako střelba na pohyblivý cíl – a je to tak. Phishingoví útočníci dnes mění svou taktiku, jak oklamat lidi, a proto je ještě důležitější než kdy dřív, abyste byli připraveni a vždy o krok napřed.
Můžete se připravit tím, že zdokonalíte svou technickou obranu a budete své zaměstnance považovat za prodlouženou ruku bezpečnostního týmu. Správné filtry proti spamu, zabezpečená e-mailová brána a používání standardních protokolů pro ověřování e-mailů (např. DMARC, DKIM nebo SPF) a dalších technologií jsou klíčem k tomu, aby se vám phishingové e-maily vůbec nedostaly do schránky. Přesto je phishing nevyhnutelný a vaši lidé se s ním nakonec setkají. Ke zkáze stačí, aby jeden člověk jednou klikl, a váš bezpečnostní tým má zaručenou práci přesčas.
Nebyli byste raději, aby vaši zaměstnanci dokázali rozpoznat a nahlásit podvodný e-mail, místo aby na něj klikli? Jistěže ano. Proto je mojí prioritou průběžné školení zaměřené na zabezpečení. Školte své zaměstnance na to, co jsou phishingové podvody a jak je rozpoznat. Pokud je to možné, testujte jejich schopnost je identifikovat a odměňte je, když se jim to podaří. Motivujte své zaměstnance, aby podezřelé e-maily hlásili bezpečnostnímu týmu, a ještě lepší bude, když jim k tomu nabídnete snadný způsob. Nedopusťte, aby se z phishingu nebo zabezpečení stalo téma, které se objevuje jednou za rok. Musíte o nich neustále mluvit.
Anatomie phishingového útoku
Jakmile se rozhodnete připravit své zaměstnance, je třeba si uvědomit, proti komu stojíte. Jak phishing funguje a o co phishingovým útočníkům jde?
Koncept phishingu je jednoduchý a není nový. Vzpomínáte si, když vám kdysi volali, že jste vyhráli v soutěži, o které si nepamatujete, že byste se jí účastnili? Byli jste tak nadšení, že jste volajícímu řekli všechno, co bylo potřeba, abyste získali výhru. Stejný princip dnes platí i pro phishing, jen prostřednictvím e-mailu nebo jiného digitálního komunikačního kanálu.
Phishingoví útočníci, což jsou jen obyčejní podvodníci používající digitální komunikaci, využívají běžných lidských vlastností, jako je důvěra ve známé lidi, aby někoho přiměli udělat něco, co by normálně neudělal.
Phishingový útočník například pošle příjemci e-mail. V tomto e-mailu jsou nepravdivé informace, které se snaží příjemce přesvědčit, aby provedl požadovanou akci. E-maily obvykle obsahují hypertextové odkazy nebo přílohy, není to však pravidlem. Hypertextové odkazy obvykle vedou na falešné weby, které požadují určitý typ údajů. Některé se dokonce mohou vydávat za legitimní společnosti. Přílohy obvykle obsahují nějaký typ škodlivého kódu, který infikuje počítač nebo síť příjemce. E-maily, které neobsahují ani jedno, obvykle vyzývají příjemce, aby buď na e-mail odpověděl, nebo zavolal na určité číslo a sdělil údaje, které odesílatel požaduje.
Pokud příjemce naletí, často si to ani neuvědomí. Považuje e-mail za legitimní a dokonce věří v pozitivní následky. Ale phishingový útočník mu ukradl údaje či peníze nebo možná infikoval jeho počítač.
Různé typy phishingových útoků
Ne všechny phishingové útoky jsou stejné. Existují různé typy phishingových útoků, na které je třeba všechny v organizaci připravit. Tady je několik běžných typů:
Cílený phishing
Cílený phishing je podvod cílený na konkrétního příjemce. E-mail nedostanete náhodou. Phishingový útočník si udělal specifický průzkum, aby vás našel a poslal vám zprávu, která vám dává smysl. Může to být proto, že pracujete na personálním oddělení společnosti nebo jste možná nedávno na internetu uvedli, že jste byli povýšeni.
Velrybaření
Velrybaření je typ cíleného phishingu, který cílí přímo na vedoucí pracovníky společnosti (tzv. velké ryby). Složení výkonného vedení společnosti je obvykle veřejně známé a lze ho snadno najít na webu společnosti. To z jeho členů dělá snadný cíl. Tito lidé však také obvykle přístup k citlivým údajům a rozhodují o financích, což z nich činí lukrativní cíl pro phishingové útočníky.
Podvod typu BEC a CEO
Narušení firemního e-mailu (BEC) a podvod využívající generálního ředitele (CEO) je další formou cíleného phishingu, u které se útočník vydává za vaši společnost nebo jejího generálního ředitele. Phishingoví útočníci vědí, že lidé rychle začnou důvěřovat lidem s autoritou, vydávají se proto za osoby, které by mohly vynutit splnění požadavku. Firemní e-mailové domény lze snadno podvrhnout a oficiální loga lze najít online. Jména osob, které pracují ve vaší společnosti, jsou také snadno dostupná na mnoha sociálních sítích. To phishingovým útočníkům usnadňuje zaměření na útok typu BEC.
Vishing
Vishing je phishing pomocí telefonu (znamená to „hlasový phishing“). Jedná se v podstatě o dnešní podvodné telefonáty, které jste pravděpodobně zažili ještě předtím, než jste doma měli počítač. Tyto tradiční podvody jsou úspěšné, protože když slyšíte hlas volajícího, můžete si s ním vytvořit vztah. A pak vám dělá potíže odmítnout požadavek volajícího.
Smishing/SMShing
Smishing neboli SMShing jsou škodlivé SMS zprávy (jedná se o zkratku „SMS phishing“). Je to kratší verze tradičních phishingových podvodů, které obvykle obsahují zkrácený hypertextový odkaz se stručnou a věcnou zprávou vyzývající k akci.
Povědomí o phishingu: jak poznáte phishing?
Jednou z nejčastějších prvních otázek je: jak poznám, že se jedná o phishing? I když bychom se mohli zabývat všemi technickými způsoby vyhodnocování hlaviček e-mailů, běžné koncové uživatele je třeba školit na některé klíčové varovné signály. Ještě důležitější než varovné signály je však jim připomenout, že pokud mají jakékoli pochybnosti, musí v případě podezření na phishing nahlásit e-mail bezpečnostnímu týmu k dalšímu prošetření. Nezapomeňte, že je třeba podporovat zdravou míru skepse.
Varovné signály phishingu
Jaké jsou varovné signály? Je jich mnoho a mohou se měnit podle toho, jak phishingoví útočníci mění svou taktiku. Obecně platí, že pokud si zaměstnanec všimne kombinace těchto varovných signálů, měl by postupovat velmi obezřetně:
- Obecná oslovení a podpisy
- Chybějící údaje o odesílateli nebo společnosti
- Kostičkované nebo rozmazané obrázky
- Odkazy na weby, které nedávají smysl
- Špatný pravopis nebo gramatika
- Výhrůžky nebo naléhavé žádosti
- Nabídky, které jsou podezřele výhodné
- Žádosti o osobní údaje, převod finančních prostředků, přesun peněz nebo změnu údajů pro bezhotovostní převody
- Neočekávaný e-mail nebo přílohy
- Předmět a zpráva si neodpovídají
- Žádná související komunikace
Nejste si jisti, zda je e-mail skutečný, nebo se jedná o phishing? Postupujte následovně:
- Dejte si tu práci. Vyhledejte na internetu informace o údajném odesílateli. Můžete dokonce vyhledat přesně e-mail, který jste dostali, a zjistit, zda ho už někdo neoznačil jako podvodný.
- Ověřujte si požadavky s využitím druhé metody. Nikdy neodpovídejte odesílateli na původní e-mail. Ke kontaktování odesílatele a potvrzení žádosti použijte jinou metodu komunikace (např. telefonní číslo nebo e-mailovou adresu uvedenou na poslední faktuře).
- Přejeďte přes odkazy v e-mailu myší a zkontrolujte, zda se webová adresa hypertextového odkazu shoduje s legitimní webovou doménou společnosti. Pokud si nejste jisti, zadejte hypertextový odkaz do prohlížeče. Na samotný odkaz neklikejte.
- Podívejte se na název souboru v příloze. Zvažte, zda jste zprávu očekávali nebo ji potřebujete. Nikdy neotevírejte neočekávanou přílohu ani přílohu, která končí neznámou příponou (např. „soubor.exe“, když je v něm uvedeno, že se jedná o dokument aplikace Word).
- Používejte svůj úsudek. V mnoha případech vám zdravý rozum pomůže rozpoznat, zda je e-mail legitimní, nebo zda se jedná o podvodný e-mail.
Máte odkaz na web, ale nejste si jistí, zda je legitimní? Máme pro vás následující tipy:
- Podívejte se na webovou adresu. Je název společnosti v adrese URL napsaný správně? Nezačíná adresa na „http“ místo „https“? To, že začíná na „https“, neznamená, že je legitimní. Znamená to pouze, že se jedná o zabezpečené připojení. Pokud však nezačíná na „https“, mělo by vás to přinejmenším varovat, abyste nezadávali žádné údaje. Podobně zobrazení uzamčeného zámku nebo klíče v řádku s adresou nemusí vždy znamenat, že je stránka legitimní. Pokud tam ale není, nezadávejte žádné údaje.
- Všímejte si vyskakovacích oken. Pokud na webu narazíte na hromadu vyskakovacích reklam, buďte obezřetní.
- Věnujte pozornost značkám a logům. Odpovídají s ohledem na jejich vzhled a dojem tomu, co byste očekávali od společnosti, kterou se snažíte navštívit?
Co dělat, když se vaše organizace stane obětí phishingového útoku?
Nezapomeňte, že cílem phishingových podvodů je oklamat vás. Možná jste zavedli ta nejlepší opatření proti phishingu a informační kampaně, a přesto se vám stane, že se uživatel nechá oklamat phishingovým podvodem. Stává se to. Nejdůležitější je, abyste byli připraveni reagovat.
Zohledněte tyto nápravné kroky a spolupracujte se svým týmem kybernetického zabezpečení na vytvoření vhodného plánu reakce a nápravy pro vaši organizaci:
Omezte potenciální expozici
Pokud uživatel reaguje na škodlivý phishingový e-mail, pokuste se počítač izolovat a zajistěte, aby k němu váš kybernetický tým získal přístup kvůli vyšetření.
Změňte hesla
Přimějte uživatele, aby si změnil heslo. Pokud používá více hesel, doporučujeme změnit všechna, protože nemusíte vědět, v jakém rozsahu mohlo dojít k zneužití.
Dodržujte svůj postup reakce na incident
Phishingový útok je typem kybernetického bezpečnostního incidentu. Postupujte podle postupů reakce na incident, které by měly zahrnovat kroky k identifikaci phishingového e-mailu, jeho hledání ve schránkách ostatních uživatelů, odstranění z těchto schránek, prošetření dopadu a odpovídajícímu řešení.
Hledejte malware
Pomocí monitorovacích nástrojů zkontrolujte počítač uživatele a síť, zda se v ní nenachází malware (škodlivý software, jako jsou viry, trojské koně nebo červi), podezřelá aktivita nebo anomálie.
Osobní ochrana
Pokud uživatel vyzradil nějaké osobní údaje, měl by možná podle povahy phishingového útoku upozornit příslušné úřady sledující úvěry. Pokud phishingový útočník podvrhl skutečnou společnost nebo se za ni vydával, sdělte tuto informaci i této společnosti, aby mohla upozornit další uživatele.
Poučte se z toho
Stejně jako u každého kybernetického útoku je poučení z útoku často cennější než data, která kybernetický zločinec ukradl. Veďte si seznam poznatků a hodnoťte své stávající procesy a kontrolní mechanismy, abyste zjistili, zda něco můžete dělat jinak. A ještě více se zaměřte na školení uživatelů na phishing.
Phishingové podvody jsou nejčastější formou kybernetických útoků, při nichž se kybernetičtí zločinci spoléhají na lidskou psychologii, aby příjemce přesvědčili k nějaké akci. Předejít tomu můžete tak, že se připravíte na obranu a své zaměstnance vyškolíte tak, aby dokázali phishing odhalit.
Další zdroje:
- Identifikace ransomwaru a ochrana před ním
- Vyzkoušejte naši sadu na ochranu před ransomwarem
- Přečtěte si dokument white paper Jak porazit ransomware: Tři klíčové strategie
- Podívejte se na webinář 3 nejlepší strategie ochrany před ransomwarem
