
Top 10 phishingu 2020Rok 2020 ničím jiným než koronou numerology zatím neoblažil, a tak se můžeme podívat, na co zaměstnanci nejčastěji skočí, když jde o phishing a sociální inženýrství, právě v roce, kdy se naprostá většina práce přesunula do režimu home office a naprostá většina firemní komunikace odehrává přes email.
Kyberbezpečnostní společnost Sophos se jala zkoumal, jaké způsoby phishingového emailu jsou nejúčinnější v probíhajícím roce 2020 - konkrétně ve firemním prostředí. Využila k tomu nástroj Sophos Phish Threat, který generuje širokou škálu rozličných phishingových emailů: od zcela jednorázových přes šablony apelující známé způsoby chování až po emaily, které jsou k nerozeznání od pošty generované vnitřními informačními systémy podniků. Výzkumníky zajímalo, zda oběti firemní komunikace podlehnou spíše výhrůžkám nebo bezplatným nabídkám. Konkrétním instrukcím nebo užitečným návrhům. Přikazování typu musíte nebo spíše podlézání typu mohlo by se vám líbit. Top 10 phishingu a sociálního inženýrství v roce 20201) Etika chování na pracovištiHome office navzdory bezkonkurenčně vládne strach ze šéfů a jejich bachařů v podobě HR alias personalistiky. Především globální korporace překypují rozličnými pravidly toho, co už považováno za nekorektní chování až obtěžování. Paul Ducklin, specialista z týmu bezpečnostního výzkumu Sophos, poznamenává: 2) Opožděné podklady pro přiznání k dani z příjmuFinanční úřad je spolehlivý strašák dospělých jedinců každé společnosti. V momentě, kdy je zaměstnavatelé upozorní, že se podklady potřebné pro bezproblémové přiznání k dani z příjmů opozdí, nebudou příliš uvažovat a okamžitě mail odkliknou. Každý chce vědět, jak dlouhé to opoždění bude, a čeho se sakra týká. Negativní emoce v tomto případě přímo vedou k bezmyšlenkovitým otevíráním emailů a jejich příloh. 3) Plánovaná údržba serveruDucklin s úsměvem uvádí:
4) Přidělení úkoluPřidělený úkol vyžaduje reakci, komunikaci, vypracování úkolu, odevzdání a vysvětlení, proč to nešlo udělat nějak jinak:) Každopádně včasné přijetí, pochopení a včasná první komunikace zpět je často zárukou úspěchu. A v tomto případě i úspěšného phishingového útoku. Hackeři navíc využívají i specializované nástroje, které finální podobu emailu přizpůsobují informačnímu systému, který používá konkrétní firma.
5) Test nového emailového systému
6) Změna týkající se dovolenýchPráce je samozřejmě smyslem bytí každého z nás. Ale v rámci přežití nikomu nikdy nešahejte na dovolenou. A jakékoliv vyhlášení změn týkajících se čerpání dovolené vyvolává panické reakce - včetně těch zahrnujících zběsilé otevírání emailů a jejich příloh. Globální ideu tohoto útočného vektoru posílil ještě koronavirus, který měnil pravidla pro čerpání dovolených celosvětově napříč všemi firmami a organizacemi. 7) Zapomenutí zapnutých světel zaparkovaného autaHodný správce budovy upozorňuje všechny lidi v budově, že někdo z nich si nechal zapnutá světla při parkování. A to je phishing, který kulhá na spoustu nohou:
Ať tak či tak - zapomenutá světla se probojovala na sedmé místo nejúčinnějších phishingových útoků. 8) Nedoručení zásilkySlovy Ducklina: 9) Zabezpečený dokument od HRZabezpečený dokument od HR je šikovný způsob, jak vás donutit nejen otevřít mail a jeho přílohu - ale bonusově můžete takový zabezpečený dokument otevřít nějakými zvlášť citlivými přihlašovacími údaji do hlubokých částí firemních informačních systémů. 10) Zpráva ze sociálních sítíZpráva ze sociálních sítí se vzhledem k firemnímu prostředí týkají především sítě LinkedIn. Sophos coby věrní příznivci kyberbezpečnosti nejen říkají, jak lidé podléhají, ale snaží se je i přesvědčit k preventivním způsobům chování vůči všemu, co by mohlo zavánět phishingem. Nabízejí čtyřbodový seznam pravidel: Jak nepodlehnout phishingu?1) Přemýšlejte, než klikneteI když zpráva vypadá na první pohled nevinně, existují známky podvodu, které jsou očividné, pokud si dáte na čas s kontrolou. Mezi příklady patří pravopisné chyby, o kterých pochybujete, že by je odesílatel udělal, terminologie, která neodpovídá vašemu prostředí, softwarové nástroje, které vaše společnost nepoužívá a chování, jako je třeba změna nastavení zabezpečení, u kterého jste byli výslovně upozorněni, abyste jej neměnili. 2) Pokud si nejste jistí, ověřte si zprávu u odesílateleAle nikdy si pravost zprávy neověřujte odpovědí na podezřelý e-mail – vždy dostanete odpověď „Ano“, protože legitimní odesílatel by řekl pravdu, ale podvodník by lhal. Použijte podnikový adresář přístupný důvěryhodnými prostředky k nalezení způsobu, jak se spojit s kolegou, o kterém si myslíte, že se za něj někdo vydává. Pečlivě si prohlédněte odkazy, než na ně klikneteMnoho phishingových e-mailů obsahuje bezchybný text a obrázky. Ale podvodníci často musí při hostování svých phishingových stránek spoléhat na dočasné cloudové servery nebo hacknuté webové stránky a léčka se často projeví v názvu domény, kterou chtějí, abyste navštívili. Nenechte se oklamat, když je název serveru „hodně podobný“ – podvodníci si často registrují téměř stejná doménová jména, jako třeba vasefirna, vasesp0lecnost (s nulou místo písmena O) nebo vasefirma-web, s použitím překlepů, podobně vypadajících znaků nebo doplněného textu. Nahlaste podezřelé e-maily vašemu bezpečnostnímu týmuZvykněte si to dělat pokaždé, i když to vypadá jako nevděčný úkol. Phishingoví podvodníci neposílají své e-maily pouze jedné osobě, takže pokud jste první, kdo ve vaší společnosti zaznamená nový podvod, včasné varování umožní vašemu IT oddělení upozornit všechny ostatní, kteří zprávu také mohli obdržet. Zdroje
Daniel Beránek, 18.09.2020 19:36 Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké... Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na... Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde?
... Nejhorší je, když najdete filmovou perlu, ale nemáte k ní titulky. A když už je najdete, tak nesedí. A i když ve VLC posunete jejich časování vůči časování zvukové stopy, tak se ty stopy neustále rozcházejí - a to dokonce nikoliv symetricky. To pak... |