Každý rok využívají útoky sociálního inženýrství pokročilejší techniky. Technologie pokračuje ve svém neúprosném postupu vpřed a její pokrok v oblastech, jako je umělá inteligence (AI) a strojové učení – například technologie deepfake – dále zhoršují rizika sociálního inženýrství.

Sociální inženýrství lze definovat jako psychologické strategie, které podvodníci používají k manipulaci s lidmi, aby klikali na kompromitované odkazy nebo vyzradili citlivé informace. Sociální inženýrství má mnoho forem, včetně e-mailů, telefonních hovorů a textových zpráv. Tyto útoky využívají strach, zvědavost nebo užitečnost uživatelů k tomu, aby přiměli jednotlivce ke sdílení dat, jako jsou přihlašovací údaje, bankovní účty nebo čísla sociálního zabezpečení. Obvykle přesměrovávají oběti na webové stránky, které obsahují stahování malwaru a iniciují phishingové útoky.

Phishingová schémata jsou často velmi sofistikovaná. Na podzim roku 2020 podlehli hosté hotelu Ritz v Londýně „vishingu“ (phishing s hlasovými hovory) podvodníky vydávajícími se za zaměstnance společnosti Ritz. Podvodníci přesvědčili hosty, aby vyzradili informace o kreditní kartě. Podle výzkumu Bitwarden byly e-maily vydávající se za finanční instituce (35 %) nebo od vládního subjektu (22 %) hlavními viníky phishingu roku 2021.

S nárůstem digitální a vzdálené práce dosáhl phishing vedený sociálním inženýrstvím bodu, kdy zachování bezpečnosti zůstává prioritou pro jednotlivce i podniky, protože zaměstnanci ovlivnění phishingem mohou ohrozit síť organizace.

Zaměřte se na základy kybernetické bezpečnosti

Pokud jde o online bezpečnost, základní internetové bezpečnostní protokoly mohou pomoci zabránit phishingu. Zvýšená ostražitost je zaručena – 83% organizací uvedlo, že v roce 2021 zažily úspěšný phishingový útok založený na e-mailech, oproti 57 % v roce 2020, což je astronomický nárůst.

Chcete-li začít, zkontrolujte všechny aspekty e-mailu a ujistěte se, že je od správné instituce. To zahrnuje pohled na jméno odesílatele e-mailu a doprovodnou e-mailovou adresu. Je důležité naučit se rozdíl mezi zobrazenou e-mailovou adresou a skutečnou, protože e-mailové adresy mohou být falešné a zavádějící. Mobilní telefony také ne vždy zobrazují celou e-mailovou adresu odesílatele, zatímco prohlížeče a aplikace pro stolní počítače a notebooky často zobrazují více informací.

Umístěním ukazatele myši na odkazy potvrďte, že vedou na správnou webovou stránku, a obecně se vyhněte klikání na odkazy, protože mohou být navrženy tak, aby oklamaly uživatele. Pokud vás znepokojuje zpráva v e-mailu, je vždy lepší přihlásit se přímo k příslušnému účtu a vyhnout se jakýmkoli informacím, které vám budou zaslány prostřednictvím podezřelého e-mailu.

Neotevírejte přílohy od lidí, které neznáte – ani neočekávané přílohy od lidí, které znáte, aniž byste je nejprve zkontrolovali. Je možné, že jejich e-mailové účty mohly být kompromitovány samostatným phishingovým útokem.

I když se tato doporučení obecně vztahují na online podvody, principy, které se za nimi skrývají, se mohou vztahovat i na podvody vishing a textové podvody. Buďte skeptičtí a zeptejte se na spoustu otázek, pokud se vám něco nezdá. Zavěste osobě, kterou považujete za pochybnou, a přímo zavolejte organizaci, o které tvrdí, že ji zastupuje. Být několikrát požádán o prozrazení citlivých finančních informací není normální. Poslouchejte své instinkty.

Nástroje pro udržení bezpečnosti podnikových sítí

Výše uvedené osvědčené postupy vytvářejí základ pro ochranu podnikových sítí před phishingem. Jít o krok nad rámec základů může dále posílit podnikovou kybernetickou bezpečnost.

  • Používejte správce hesel: Správci hesel umožňují uživatelům vytvářet a spravovat přihlašovací údaje pro každý web, aby se snížil dopad potenciálního úniku dat. Pokud k tomu dojde, bude ohroženo pouze jedno heslo a uživatelé si mohou rychle vygenerovat nové.
  • Povolit dvoufaktorové ověřování: Dvoufaktorové ověřování je první linií obrany proti hackerům, kteří se snaží získat přihlašovací údaje.
  • Zvažte prohlížeče a vyhledávače zaměřené na ochranu soukromí: Prozkoumejte a upřednostňujte ty, které nevlastní velké technologické společnosti.
  • Používejte šifrované zprávy a e-mail: Pokud sdílíte jakékoli citlivé informace, použijte program pro šifrované zasílání zpráv nebo e-mail.

Pokud se zaměstnanec stane obětí phishingového útoku, je organizace spadající do kritické infrastruktury, nebo spravující významný informační systém povinna nahlásit kybernetický incident provozovateli národního CERT nebo úřadu. Podniky, které do těchto kategorií firem nespadají mohou také nahlásit kybernetický incident. Podnikové organizace si také mohou udržet své zaměstnance ve střehu pomocí taktiky kybernetické bezpečnosti, jako jsou simulované phishingové útoky a zavádění programů kybernetického vzdělávání.

Počítačoví zločinci zaměření na sociální inženýrství jsou důvtipní. S těmito tipy mohou být i podniky.

 

Autor původního článku: Gary Orenstein
Překlad: Ondřej Strachota

Jak mohou společnosti držet krok s útoky sociálního inženýrství?

Každý rok využívají útoky sociálního inženýrství pokročilejší techniky. Technologie pokračuje ve svém neúprosném postupu vpřed a její pokrok v oblastech, jako je umělá inteligence (AI) a strojové učení – například technologie deepfake – dále...

Útoky botů se zaměřují na farmaceutický průmysl, aby ukradli recepty

Bezpečnostní výzkumníci identifikovali případy, kdy  hackeři kradli účty v lékárnách pomocí botů a přeprodávali recepty na sekundárním trhu žádaných a nelegálních látek. Výzkumníci také identifikovali zrychlení této činnosti: za posledních 60 dní...

Phishing na nejvyšší úrovni; 1 milion útoků v 1. čtvrtletí 2022

Nová zpráva APWG o trendech phishingové aktivity odhaluje, že v prvním čtvrtletí roku 2022 APWG zaznamenala celkem 1 025 968 phishingových útoků – jedná se o nejhorší čtvrtletí pro phishing, které APWG doposud zaznamenala. V tomto čtvrtletí to...

Zkoumání účinků kybernetických útoků botů

Boti zůstávají v organizačních sítích neobjeveni v průměru 16 týdnů, čímž otevírají podniky kybernetickému riziku.

Čtyři způsoby, jak mohou kyberzločinci hackovat hesla

Hackeři neustále hledají inovativní způsoby, jak ukrást hesla, aby obešli bezpečnostní kontroly a dostali se do vnitřní sítě, nebo účtů. Jakmile se dostanou dovnitř, útočníci mohou způsobit větší škody – ukrást vaši identitu, peníze nebo citlivé...

Sociální inženýrství je nejčastější metoda kybernetických útoků zaměřených na finanční organizace

Sociální inženýrství bylo identifikováno jako jedna z nejčastěji hlášených taktik kybernetického narušení, které používají kyberzločinci zaměřující se na finanční sektor v 1. čtvrtletí 2022.