[ Zavřít ] 


 

RSS Kanál

 

Top 10 phishingu 2020

Rok 2020 ničím jiným než koronou numerology zatím neoblažil, a tak se můžeme podívat, na co zaměstnanci nejčastěji skočí, když jde o phishing a sociální inženýrství, právě v roce, kdy se naprostá většina práce přesunula do režimu home office a naprostá většina firemní komunikace odehrává přes email.

 

Phishing je bránou pro únos sezení, přihlašovací údajů i vzdálené kontroly nad počítačem (Zdroj: Pixabay.com)

Kyberbezpečnostní společnost Sophos se jala zkoumal, jaké způsoby phishingového emailu jsou nejúčinnější v probíhajícím roce 2020 - konkrétně ve firemním prostředí. Využila k tomu nástroj Sophos Phish Threat, který generuje širokou škálu rozličných phishingových emailů: od zcela jednorázových přes šablony apelující známé způsoby chování až po emaily, které jsou k nerozeznání od pošty generované vnitřními informačními systémy podniků.

Výzkumníky zajímalo, zda oběti firemní komunikace podlehnou spíše výhrůžkám nebo bezplatným nabídkám. Konkrétním instrukcím nebo užitečným návrhům. Přikazování typu musíte nebo spíše podlézání typu mohlo by se vám líbit.

Top 10 phishingu a sociálního inženýrství v roce 2020

1) Etika chování na pracovišti

​Home office navzdory bezkonkurenčně vládne strach ze šéfů a jejich bachařů v podobě HR alias personalistiky. Především globální korporace překypují rozličnými pravidly toho, co už považováno za nekorektní chování až obtěžování. Paul Ducklin, specialista z týmu bezpečnostního výzkumu Sophos, poznamenává: S globálně rostoucí snahou o zvýšení diverzity na pracovištích a o snížení výskytu případů obtěžování firmy neustále revidují pravidla toho, jak se mají zaměstnanci chovat. Většina lidí ví, že by si měli nové pokyny alespoň přečíst, protože jinak je budou kádrováci neustále nahánět. A proto kliknou. Nejen na mail, ale často i na přílohu se zákeřným kódem. 

2) Opožděné podklady pro přiznání k dani z příjmu

Finanční úřad je spolehlivý strašák dospělých jedinců každé společnosti. V momentě, kdy je zaměstnavatelé upozorní, že se podklady potřebné pro bezproblémové přiznání k dani z příjmů opozdí, nebudou příliš uvažovat a okamžitě mail odkliknou. Každý chce vědět, jak dlouhé to opoždění bude, a čeho se sakra týká. Negativní emoce v tomto případě přímo vedou k bezmyšlenkovitým otevíráním emailů a jejich příloh.

3) Plánovaná údržba serveru

Ducklin s úsměvem uvádí: Byli jsme překvapeni, že právě tento způsob phishingu se ocitl na třetím místě. Prostě jsme cynicky předpokládali, že zaměstnanci budou zprávy z IT spíše ignorovat - zvláště, když s danou okolností nemohou vůbec nic dělat.

Ovšem při bližším pohledu - zvlášť když dnes tolik lidí pracuje v režimu home office - předpokládáme, že mnoho lidí chce vědět, kdy budou výpadky, aby si mohli lépe naplánovat svůj čas. Výpadky serveru ale netrápí jen home office, ale každého, kdo má starost o vlastní pracovní prostředky. A každý takový jedinec je zvědav na to, kdy budou pracovní prostředky nedostupné a čím je to způsobeno. 

4) Přidělení úkolu

Přidělený úkol vyžaduje reakci, komunikaci, vypracování úkolu, odevzdání a vysvětlení, proč to nešlo udělat nějak jinak:) Každopádně včasné přijetí, pochopení a včasná první komunikace zpět je často zárukou úspěchu. A v tomto případě i úspěšného phishingového útoku. Hackeři navíc využívají i specializované nástroje, které finální podobu emailu přizpůsobují informačnímu systému, který používá konkrétní firma.

Ducklin

„V případě této zprávy umožňuje nástroj Phish Threat výběr systému na plánování projektů, který daná společnost používá (např. JIRA, Asana aj.), takže email nevypadá jako zjevně falešný. Přestože jde o částečně cílený phishing, organizace by měly předpokládat, že jimi používané podnikové nástroje jsou všeobecně známé a podvodníci si je mohou snadno zjistit, možná dokonce i automaticky.“

5) Test nového emailového systému

Kdo by nechtěl být nápomocen, když stačí jediné kliknutí, táže se Ducklin. Útočný vektor má přitom více výhod, než jen apel na bezpracnou pomoc milované firmě. Novost systému vyřadí kritický systém vyřazující emaily, které nemají klasickou podobu firemní komunikace. Omluví i používanou frazeologii v předmětu a těle emailu. A vůbec největším phishingovým špekem je ono kliknutí na něco, které je obětem prodáno jako bezpracná pomoc firmě.

6) Změna týkající se dovolených

Práce je samozřejmě smyslem bytí každého z nás. Ale v rámci přežití nikomu nikdy nešahejte na dovolenou. A jakékoliv vyhlášení změn týkajících se čerpání dovolené vyvolává panické reakce - včetně těch zahrnujících zběsilé otevírání emailů a jejich příloh. 

Globální ideu tohoto útočného vektoru posílil ještě koronavirus, který měnil pravidla pro čerpání dovolených celosvětově napříč všemi firmami a organizacemi. 

Podoba phishingového emailu upozorňující zaměstnance v budově na zapomenutá zapnutá světla při parkování (Zdroj: NakedSecurity.Sophos.com)

7) Zapomenutí zapnutých světel zaparkovaného auta

Hodný správce budovy upozorňuje všechny lidi v budově, že někdo z nich si nechal zapnutá světla při parkování. A to je phishing, který kulhá na spoustu nohou:

  • moderní systémy samy zkontrolují ponechaná zapnutá světla při parkování; 
  • když už auto identifikuje, proč ho identifikuje celkovou fotkou - nikoliv SPZkou?
  • a SPZ může správce i vypsat v textu - ovšem v dnešní líné době by právě tady mohla být fotka SPZky účinným trojským koněm. 

Ať tak či tak - zapomenutá světla se probojovala na sedmé místo nejúčinnějších phishingových útoků.

8) Nedoručení zásilky

Slovy Ducklinanedoručená zásilka kurýrní službou je osvědčený trik, který podvodníci používají už léta. Kvůli nárůstu dodávek do domu vinou koronaviru má větší potenciál apelu než obvykle. Ve skutečnosti můžete právě teď očekávat nějakou zásilku – a pokud je to vnější dodavatel, kdo rozhoduje, jakou kurýrní společnost využije, tak ani možná nevíte, jaká společnost ji má doručit. A to otevírá příležitost mnoha neznámým, které oběť nebude brát v potaz, a podlehne útoku.

9) Zabezpečený dokument od HR

Zabezpečený dokument od HR je šikovný způsob, jak vás donutit nejen otevřít mail a jeho přílohu - ale bonusově můžete takový zabezpečený dokument otevřít nějakými zvlášť citlivými přihlašovacími údaji do hlubokých částí firemních informačních systémů. 

10) Zpráva ze sociálních sítí

Zpráva ze sociálních sítí se vzhledem k firemnímu prostředí týkají především sítě LinkedIn. LinkedIn právě zažívá nárůst popularity, což není překvapivé vzhledem k tomu, kolik lidí přišlo kvůli koronavirové pandemii o práci nebo jim byla zkrácena pracovní doba. Je lákavé kliknout ze strachu, abyste něco nepromeškali, a podvodníci toho rádi využijí, upřesňuje Ducklin.

Sophos coby věrní příznivci kyberbezpečnosti nejen říkají, jak lidé podléhají, ale snaží se je i přesvědčit k preventivním způsobům chování vůči všemu, co by mohlo zavánět phishingem. Nabízejí čtyřbodový seznam pravidel:

Jak nepodlehnout phishingu?

1) Přemýšlejte, než kliknete

I když zpráva vypadá na první pohled nevinně, existují známky podvodu, které jsou očividné, pokud si dáte na čas s kontrolou. Mezi příklady patří pravopisné chyby, o kterých pochybujete, že by je odesílatel udělal, terminologie, která neodpovídá vašemu prostředí, softwarové nástroje, které vaše společnost nepoužívá a chování, jako je třeba změna nastavení zabezpečení, u kterého jste byli výslovně upozorněni, abyste jej neměnili.

2) Pokud si nejste jistí, ověřte si zprávu u odesílatele

Ale nikdy si pravost zprávy neověřujte odpovědí na podezřelý e-mail – vždy dostanete odpověď „Ano“, protože legitimní odesílatel by řekl pravdu, ale podvodník by lhal. Použijte podnikový adresář přístupný důvěryhodnými prostředky k nalezení způsobu, jak se spojit s kolegou, o kterém si myslíte, že se za něj někdo vydává.

Pečlivě si prohlédněte odkazy, než na ně kliknete

Mnoho phishingových e-mailů obsahuje bezchybný text a obrázky. Ale podvodníci často musí při hostování svých phishingových stránek spoléhat na dočasné cloudové servery nebo hacknuté webové stránky a léčka se často projeví v názvu domény, kterou chtějí, abyste navštívili. Nenechte se oklamat, když je název serveru „hodně podobný“ – podvodníci si často registrují téměř stejná doménová jména, jako třeba vasefirna, vasesp0lecnost (s nulou místo písmena O) nebo vasefirma-web, s použitím překlepů, podobně vypadajících znaků nebo doplněného textu.

Nahlaste podezřelé e-maily vašemu bezpečnostnímu týmu

Zvykněte si to dělat pokaždé, i když to vypadá jako nevděčný úkol. Phishingoví podvodníci neposílají své e-maily pouze jedné osobě, takže pokud jste první, kdo ve vaší společnosti zaznamená nový podvod, včasné varování umožní vašemu IT oddělení upozornit všechny ostatní, kteří zprávu také mohli obdržet.

Zdroje

 

 

 

 

 

Mistral Small 3: malý, ale s velkými možnostmi

Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké...

DeepSeek R1 a Qwen2.5-Max: přijde osvěžení AI z Číny?

Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na...

Grok od xAI: první kroky v podobě samostatné aplikace

Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde? ...

VLC otitulkuje i neotitulkované... samozřejmě s pomocí AI

Nejhorší je, když najdete filmovou perlu, ale nemáte k ní titulky. A když už je najdete, tak nesedí. A i když ve VLC posunete jejich časování vůči časování zvukové stopy, tak se ty stopy neustále rozcházejí - a to dokonce nikoliv symetricky. To pak...


 
© 2005-2025 PS Media s.r.o. - digital world
 

reklama