Na tento podvodný email naletí 3 z 5 bezpečnostních expertů. Určitě jich ve schránce máte desítky
Sledovat v Google Zprávách
Phishingové útoky prošly během posledních pár let radikální proměnou a jejich efektivita dosáhla děsivých rozměrů. Zatímco dříve jsme se smáli špatně přeloženým emailům od „nigerijských princů“, dnes už do schránek chodí sofistikovaně připravené podvodné emaily. Mnohdy se dokonce tváří jako interní sdělení zaměstnavatele, což je něco, na co se zvládne nachytat i mnoho zkušených odborníků. Útočníci totiž začali využívat nejzranitelnějšího článku mnoha lidí – profesní odpovědnosti a lidské důvěry.
Klíčem k úspěchu tohoto typu podvodů je dokonalá imitace vnitrofiremního prostředí. Útočníci mnohdy neposílají email masově, ale jen na vybrané zaměstnance konkrétní firmy. Zpráva často informuje o nutnosti změny hesla do firemních Microsoft Teams, Slacku nebo třeba redakčního systému. Důvody mohou být různé, někdy se útočníci ohání bezpečnostní aktualizací, jindy argumentují vypršením platnosti stávajících údajů. Ať už má email jakýkoliv obsah, jisté je, že kombinace psychologického nátlaku a autority zaměstnavatele opravdu funguje.
Síla veřejně dostupných dat v praxi
Nejnebezpečnějším prvkem těchto emailů je jejich vizuální a kontextuální shoda s realitou. Útočníci se obvykle díky sociálním sítím zvládnou velmi dobře připravit. Na webových stránkách firmy či na LinkedInu zjistí, jaká je organizační struktura firmy, jak se jmenují vedoucí pracovníci i jakým stylem komunikují. A umělá inteligence pak už dokáže připravit email, který bude vypadat, jako by z oka vypadl komunikaci, kterou běžně využívá váš nadřízený.
Neprůstřelné je často i jméno odesílatele, které je shodné se jménem vašeho šéfa. A pokud už nezkoumáte skutečnou emailovou adresu, kterou část prohlížečů na první pohled neukazuje, nemáte šanci podvodníky odhalit. Zaměstnanci tak v dobré víře, že chrání firemní data, kliknout na zaslaný odkaz. Ten často vede na falešnou přihlašovací stránku, která je však identická s oficiální stránkou například pro přihlášení do Microsoft 365. Veškeré zadané údaje pak putují přímo do rukou kyberzločinců.
Detaily, které útočníka prozradí aneb jak nenaletět
I přes vysokou úroveň falzifikace existují technické detaily, které podvod odhalí. Musíte ale vědět, kam se dívat. Nejdůležitějším bodem je samotná doména odesílatele. Útočníci si často registrují domény, které se od té firemní liší jen v jediném nenápadném znaku. Například @vasefirma.cz může mít nově podobu @vase-firma.cz a podobně.
Útočníci bývají v tomto směru nezvykle kreativní. Například nedávno se na internetu objevil případ, kdy útočníci odesílali emaily z adresy @rnicrosoft.com – schválně, všimli jste si chyby v názvu? Prvními dvěma písmeny jsou v tomto případě RN, které ve variantě psané kapitálkami vypadají jako M. Je tedy třeba se mít opravdu na pozoru.
Dalším varovným signálem je samotná adresa URL, na kterou zaslaný odkaz směřuje. Předtím, než na jakýkoliv odkaz kliknete, je dobré na něj pouze najet kurzorem myši, díky čemuž se v levém dolním rohu prohlížeče objeví skutečná cílová adresa. Pokud neodpovídá oficiální doméně, na odkaz vůbec neklikejte.
Nejdůležitější je prevence
Proti tomuto typu útoku neexistuje příliš mnoho technologických řešení. Nejúčinnější je tak vaše vlastní procesní disciplína – IT oddělení prakticky nikdy nevyžadují změnu hesla prostřednictvím zaslaného mailu. Když proto takový email dostanete, je dobré se mít na pozoru a ověřit s IT podporou nebo vaším nadřízeným, zda se jedná o jejich skutečný požadavek. Jedna otázka, která může zachránit vaši firmu před fatálním únikem dat, ransomwarovým útokem nebo i finanční ztrátou.
Pokud jste na falešný odkaz už klikuli a zadali své údaje, je důležité jednat rychle. Okamžitě kontaktujte IT oddělení nebo bezpečnostního manažera firmy. Rychlá reakce IT specialistů umožní zneplatnit aktivní relace a změnit heslo dříve, než útočník v systému stihne napáchat škody. Útočníci často sázejí na to, že budete unavení, ve stresu nebo zkrátka jen ochotni vyhovět autoritě. Rychlým ověřením situace se členy IT týmu však nikdy nic nezkazíte a můžete předejít velmi nepříjemným situacím.
