Každý rok využívají útoky sociálního inženýrství pokročilejší techniky. Technologie pokračuje ve svém neúprosném postupu vpřed a její pokrok v oblastech, jako je umělá inteligence (AI) a strojové učení – například technologie deepfake – dále zhoršují rizika sociálního inženýrství.

Sociální inženýrství lze definovat jako psychologické strategie, které podvodníci používají k manipulaci s lidmi, aby klikali na kompromitované odkazy nebo vyzradili citlivé informace. Sociální inženýrství má mnoho forem, včetně e-mailů, telefonních hovorů a textových zpráv. Tyto útoky využívají strach, zvědavost nebo užitečnost uživatelů k tomu, aby přiměli jednotlivce ke sdílení dat, jako jsou přihlašovací údaje, bankovní účty nebo čísla sociálního zabezpečení. Obvykle přesměrovávají oběti na webové stránky, které obsahují stahování malwaru a iniciují phishingové útoky.

Phishingová schémata jsou často velmi sofistikovaná. Na podzim roku 2020 podlehli hosté hotelu Ritz v Londýně „vishingu“ (phishing s hlasovými hovory) podvodníky vydávajícími se za zaměstnance společnosti Ritz. Podvodníci přesvědčili hosty, aby vyzradili informace o kreditní kartě. Podle výzkumu Bitwarden byly e-maily vydávající se za finanční instituce (35 %) nebo od vládního subjektu (22 %) hlavními viníky phishingu roku 2021.

S nárůstem digitální a vzdálené práce dosáhl phishing vedený sociálním inženýrstvím bodu, kdy zachování bezpečnosti zůstává prioritou pro jednotlivce i podniky, protože zaměstnanci ovlivnění phishingem mohou ohrozit síť organizace.

Zaměřte se na základy kybernetické bezpečnosti

Pokud jde o online bezpečnost, základní internetové bezpečnostní protokoly mohou pomoci zabránit phishingu. Zvýšená ostražitost je zaručena – 83% organizací uvedlo, že v roce 2021 zažily úspěšný phishingový útok založený na e-mailech, oproti 57 % v roce 2020, což je astronomický nárůst.

Chcete-li začít, zkontrolujte všechny aspekty e-mailu a ujistěte se, že je od správné instituce. To zahrnuje pohled na jméno odesílatele e-mailu a doprovodnou e-mailovou adresu. Je důležité naučit se rozdíl mezi zobrazenou e-mailovou adresou a skutečnou, protože e-mailové adresy mohou být falešné a zavádějící. Mobilní telefony také ne vždy zobrazují celou e-mailovou adresu odesílatele, zatímco prohlížeče a aplikace pro stolní počítače a notebooky často zobrazují více informací.

Umístěním ukazatele myši na odkazy potvrďte, že vedou na správnou webovou stránku, a obecně se vyhněte klikání na odkazy, protože mohou být navrženy tak, aby oklamaly uživatele. Pokud vás znepokojuje zpráva v e-mailu, je vždy lepší přihlásit se přímo k příslušnému účtu a vyhnout se jakýmkoli informacím, které vám budou zaslány prostřednictvím podezřelého e-mailu.

Neotevírejte přílohy od lidí, které neznáte – ani neočekávané přílohy od lidí, které znáte, aniž byste je nejprve zkontrolovali. Je možné, že jejich e-mailové účty mohly být kompromitovány samostatným phishingovým útokem.

I když se tato doporučení obecně vztahují na online podvody, principy, které se za nimi skrývají, se mohou vztahovat i na podvody vishing a textové podvody. Buďte skeptičtí a zeptejte se na spoustu otázek, pokud se vám něco nezdá. Zavěste osobě, kterou považujete za pochybnou, a přímo zavolejte organizaci, o které tvrdí, že ji zastupuje. Být několikrát požádán o prozrazení citlivých finančních informací není normální. Poslouchejte své instinkty.

Nástroje pro udržení bezpečnosti podnikových sítí

Výše uvedené osvědčené postupy vytvářejí základ pro ochranu podnikových sítí před phishingem. Jít o krok nad rámec základů může dále posílit podnikovou kybernetickou bezpečnost.

  • Používejte správce hesel: Správci hesel umožňují uživatelům vytvářet a spravovat přihlašovací údaje pro každý web, aby se snížil dopad potenciálního úniku dat. Pokud k tomu dojde, bude ohroženo pouze jedno heslo a uživatelé si mohou rychle vygenerovat nové.
  • Povolit dvoufaktorové ověřování: Dvoufaktorové ověřování je první linií obrany proti hackerům, kteří se snaží získat přihlašovací údaje.
  • Zvažte prohlížeče a vyhledávače zaměřené na ochranu soukromí: Prozkoumejte a upřednostňujte ty, které nevlastní velké technologické společnosti.
  • Používejte šifrované zprávy a e-mail: Pokud sdílíte jakékoli citlivé informace, použijte program pro šifrované zasílání zpráv nebo e-mail.

Pokud se zaměstnanec stane obětí phishingového útoku, je organizace spadající do kritické infrastruktury, nebo spravující významný informační systém povinna nahlásit kybernetický incident provozovateli národního CERT nebo úřadu. Podniky, které do těchto kategorií firem nespadají mohou také nahlásit kybernetický incident. Podnikové organizace si také mohou udržet své zaměstnance ve střehu pomocí taktiky kybernetické bezpečnosti, jako jsou simulované phishingové útoky a zavádění programů kybernetického vzdělávání.

Počítačoví zločinci zaměření na sociální inženýrství jsou důvtipní. S těmito tipy mohou být i podniky.

 

Autor původního článku: Gary Orenstein
Překlad: Ondřej Strachota

Security News za listopad

Comguard neustále zpracovává a hledá bezpečnostní hrozby vyskytující se v české republice, aby mohl poskytovat rychlé a věcné informace pro české společnosti.

Google opravuje dvě zranitelnosti Androidu zneužité při cílených útocích

Google varuje před omezeným, cíleným zneužitím dvou zranitelností vyřešených nejnovější aktualizací zabezpečení Androidu.

Pozor na phishing! Nová vlna podvodů cílí i na Česko

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve středu 24.října 2024 vydal varování před rozsáhlou phishingovou kampaní, která cílí i na uživatele  v Česku.

Ochrana, na kterou se můžete spolehnout – Palo Alto Networks

V dnešním světě, kde kybernetické hrozby neustále rostou a jsou stále sofistikovanější, je bezpečnost firemních dat klíčová. Mnoho podniků si to uvědomuje až ve chvíli, kdy už je pozdě.

Jak vybrat vhodné zálohovací řešení pro vaši firmu: Srovnání zálohovacích systémů Veeam, Veritas, Acronis a Nakivo

Správně nastavené zálohovací řešení je pro každou firmu nezbytné, protože ztráta dat může vést k vážným finančním ztrátám, ztrátě důvěry klientů a v některých případech i k likvidaci firmy. V tomto článku si představíme čtyři hlavní zálohovací...

Zvýšené riziko kyberůtoku po návratu z dovolené. Otestujte svoje zaměstnance a zlepšete svou bezpečnost.

Léto skončilo a s návratem do práce přichází také zvýšené riziko kybernetických útoků. Kyberzločinci se často zaměřují na zaměstnance, kteří po dovolené povolí v ostražitosti. Právě teď je ten správný čas, abyste se ujistili, že váš tým je...