- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 355 zobrazení
Každý rok využívají útoky sociálního inženýrství pokročilejší techniky. Technologie pokračuje ve svém neúprosném postupu vpřed a její pokrok v oblastech, jako je umělá inteligence (AI) a strojové učení – například technologie deepfake – dále zhoršují rizika sociálního inženýrství.
Sociální inženýrství lze definovat jako psychologické strategie, které podvodníci používají k manipulaci s lidmi, aby klikali na kompromitované odkazy nebo vyzradili citlivé informace. Sociální inženýrství má mnoho forem, včetně e-mailů, telefonních hovorů a textových zpráv. Tyto útoky využívají strach, zvědavost nebo užitečnost uživatelů k tomu, aby přiměli jednotlivce ke sdílení dat, jako jsou přihlašovací údaje, bankovní účty nebo čísla sociálního zabezpečení. Obvykle přesměrovávají oběti na webové stránky, které obsahují stahování malwaru a iniciují phishingové útoky.
Phishingová schémata jsou často velmi sofistikovaná. Na podzim roku 2020 podlehli hosté hotelu Ritz v Londýně „vishingu“ (phishing s hlasovými hovory) podvodníky vydávajícími se za zaměstnance společnosti Ritz. Podvodníci přesvědčili hosty, aby vyzradili informace o kreditní kartě. Podle výzkumu Bitwarden byly e-maily vydávající se za finanční instituce (35 %) nebo od vládního subjektu (22 %) hlavními viníky phishingu roku 2021.
S nárůstem digitální a vzdálené práce dosáhl phishing vedený sociálním inženýrstvím bodu, kdy zachování bezpečnosti zůstává prioritou pro jednotlivce i podniky, protože zaměstnanci ovlivnění phishingem mohou ohrozit síť organizace.
Zaměřte se na základy kybernetické bezpečnosti
Pokud jde o online bezpečnost, základní internetové bezpečnostní protokoly mohou pomoci zabránit phishingu. Zvýšená ostražitost je zaručena – 83% organizací uvedlo, že v roce 2021 zažily úspěšný phishingový útok založený na e-mailech, oproti 57 % v roce 2020, což je astronomický nárůst.
Chcete-li začít, zkontrolujte všechny aspekty e-mailu a ujistěte se, že je od správné instituce. To zahrnuje pohled na jméno odesílatele e-mailu a doprovodnou e-mailovou adresu. Je důležité naučit se rozdíl mezi zobrazenou e-mailovou adresou a skutečnou, protože e-mailové adresy mohou být falešné a zavádějící. Mobilní telefony také ne vždy zobrazují celou e-mailovou adresu odesílatele, zatímco prohlížeče a aplikace pro stolní počítače a notebooky často zobrazují více informací.
Umístěním ukazatele myši na odkazy potvrďte, že vedou na správnou webovou stránku, a obecně se vyhněte klikání na odkazy, protože mohou být navrženy tak, aby oklamaly uživatele. Pokud vás znepokojuje zpráva v e-mailu, je vždy lepší přihlásit se přímo k příslušnému účtu a vyhnout se jakýmkoli informacím, které vám budou zaslány prostřednictvím podezřelého e-mailu.
Neotevírejte přílohy od lidí, které neznáte – ani neočekávané přílohy od lidí, které znáte, aniž byste je nejprve zkontrolovali. Je možné, že jejich e-mailové účty mohly být kompromitovány samostatným phishingovým útokem.
I když se tato doporučení obecně vztahují na online podvody, principy, které se za nimi skrývají, se mohou vztahovat i na podvody vishing a textové podvody. Buďte skeptičtí a zeptejte se na spoustu otázek, pokud se vám něco nezdá. Zavěste osobě, kterou považujete za pochybnou, a přímo zavolejte organizaci, o které tvrdí, že ji zastupuje. Být několikrát požádán o prozrazení citlivých finančních informací není normální. Poslouchejte své instinkty.
Nástroje pro udržení bezpečnosti podnikových sítí
Výše uvedené osvědčené postupy vytvářejí základ pro ochranu podnikových sítí před phishingem. Jít o krok nad rámec základů může dále posílit podnikovou kybernetickou bezpečnost.
- Používejte správce hesel: Správci hesel umožňují uživatelům vytvářet a spravovat přihlašovací údaje pro každý web, aby se snížil dopad potenciálního úniku dat. Pokud k tomu dojde, bude ohroženo pouze jedno heslo a uživatelé si mohou rychle vygenerovat nové.
- Povolit dvoufaktorové ověřování: Dvoufaktorové ověřování je první linií obrany proti hackerům, kteří se snaží získat přihlašovací údaje.
- Zvažte prohlížeče a vyhledávače zaměřené na ochranu soukromí: Prozkoumejte a upřednostňujte ty, které nevlastní velké technologické společnosti.
- Používejte šifrované zprávy a e-mail: Pokud sdílíte jakékoli citlivé informace, použijte program pro šifrované zasílání zpráv nebo e-mail.
Pokud se zaměstnanec stane obětí phishingového útoku, je organizace spadající do kritické infrastruktury, nebo spravující významný informační systém povinna nahlásit kybernetický incident provozovateli národního CERT nebo úřadu. Podniky, které do těchto kategorií firem nespadají mohou také nahlásit kybernetický incident. Podnikové organizace si také mohou udržet své zaměstnance ve střehu pomocí taktiky kybernetické bezpečnosti, jako jsou simulované phishingové útoky a zavádění programů kybernetického vzdělávání.
Počítačoví zločinci zaměření na sociální inženýrství jsou důvtipní. S těmito tipy mohou být i podniky.
Autor původního článku: Gary Orenstein
Překlad: Ondřej Strachota