Rhybaření: Čtvrtina zaměstnanců naletí na phishing
Nejjednoduším a nejefektivnějším způsobem jak rozbít bezpečnost korporátní počítačové sítě je spolehnout se na zvědavost zaměstnanců.
Z výsledků analýzy osmdesáti tisíc phishingových útoků, které v loňském roce postihly korporátní sféru vyplývá, že asi čtvrtina zaměstnanců, kteří obdrželi phishingový e-mail, jej otevřela. Jak uvádí autor studie Bob Rudis, řádný trénink zaměstnanců je tedy v boji s touto hrozbou naprostou nutností. První oběti se na phishingový útok nachytají během několika minut.
Pokud zaměstnanci podlehnou phishingovému útoku, hackeři se dostanou k jejich přihlašovacím údajům, které následně mohou použít ke krádeži dat v celé síti. „Nemusí používat komplexní softwarové exploity, když mohou jednoduše získat legitimní přihlašovací údaje,“ říká Rudis. Z analýzy jednotlivých útoků hackerů vyplynulo, že v mnoha případech netrvalo ani dvě minuty, než se na odeslaný phishingový e-mail chytila první oběť. Polovina všech obětí pak podle Rudise klikla na mail do jedné hodiny po jejím odeslání.
Špatnou zprávou je, že zatímco útočníci se k přihlašovacím údajům dostali velmi rychle, IT expertům firem trvá mnohem déle, než si podezřelých aktivit všimnou. Jak dodává Rudis, řádné školení, v rámci kterého jsou zaměstnancům vysvětleny potenciální hrozby phishingových útoků, podle odhadů snižuje počet obětí, které se nachytají na podvodný mail, až pětinásobně. „Firmy by měly se zaměstnanci zacházet jako nástroji, které je možné využít při obraně korporátních systémů tam, kde selžou automatické detekční systémy a ne jako s ovcemi, které ženou na porážku,“ říká Rudis.
Jak vyplývá z jiné studie, kterou minulý týden zveřejnila švýcarská bezpečnostní společnost High-Tech Bridge, je třeba si dát pozor na to, že útočníci kromě e-mailů při phishingu také čím dál více zneužívají legitimní webové stránky, u nichž uživatelé předpokládají, že jsou dostatečně zabezpečené. High-Tech Bridge toto zjištění demonstroval na e-shopu svého korporátního zákazníka, který byl využíván k útokům na vybrané uživatele. Při útoku byl zkompromitován systém oSCommerce Online Merhachant veze 2.3.4, který byl vydán v červenci minulého roku. Tento systém je používán řadou známých firem – zmínit lze třeba Ubuntu shop od firmy Canonical. Útočníkům se podařilo dostat do Online Merchanta a byli tak schopni číst IP adresy a údaje vybraných uživatelů, kteří se k e-shopu přihlásili. Jakmile byl detekován vybraný uživatel, byl spuštěn skript, který se mu pokusil nabídnout ke stažení škodlivý kód.
Phishing je však jen jednou z hrozeb. Jak dále vyplývá ze studie Verizonu, jakmile se útočníci dostanou k přihlašovacím údajům nic netušících zaměstnanců, začnou využívat děr v softwaru, který není aktualizovaný tak, jak by měl. Je alarmující, že o více než 99 % bezpečnostních rizicích, které útočníci v minulém roce zneužili při svých útocích, se vědělo více než rok. A některé byly staré i přes deset let.
Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů,úřadů státní správy nebo od IT administrátorů.
Principem phishingu je typicky rozesílání e-mailových zpráv nebo instant messaging, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví. Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.
Phishing je příkladem techniky sociálního inženýrství používané k oklamání uživatelů za využití slabých míst současných bezpečnostních technologií. Ochrana proti rostoucímu množství nahlášených případů phishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření.
-of-
Přečtěte si také
Poslední zprávy z rubriky Investice:
Přečtěte si také:
Příbuzné stránky
- Nařízení vlády o platových poměrech zaměstnanců ve veřejných službách a správě č. 341/2017 Sb.
- Sociální pojištění pro zaměstnance i OSVČ v roce 2020
- Platová tabulka státní zaměstnanci - úředníci ve státní službě 2022
- Sleva na poplatníka 2023 - 30.840. Kč. Slevu může uplatnit zaměstnanec i OSVČ. Sleva zůstává stejná jako v roce 2022.
- Rhybaření: Čtvrtina zaměstnanců naletí na phishing
- APF ČR: Téměř čtvrtina firem v ČR přispívá svým zaměstnancům na penzijní připojištění
- prahapress.cz: Zaměstnanci tvoří téměř čtvrtinu tržeb ve stravovacím byznysu, uvádí analýza AMSP ČR
- ahaonline.cz: „Zrušení stravenek ovlivní více než tři čtvrtiny českých zaměstnanců, hostů restaurací. Takže facka nejen hostům, ale zároveň i hospodám,“ uvedl člen představenstva AMSP ČR a garant projektu „Moje restaurace“ Luboš Kastner
- Phishing zaměřený na klienty internetového bankovnictví ČSOB
- Phishing – věrohodně se tvářící podvod
- 5 rad jak se bránit Phishingu
- Varujeme před novou verzí phishingu
Prezentace
12.02.2025 iPhone 16 Pro za 699 Kč! Nová služba nemá v…
29.01.2025 Xiaomi má nový bestseller. Je extrémně nadupaný a
28.01.2025 České firmy stále častěji místo banky…