Firmu jde nejlépe okrást přes zaměstnance jménem kolegy

Do zabezpečení před kybernetickými hrozbami investují firmy nemalé prostředky, a není to neopodstatněné. Stále ale opomíjejí to, že nejslabším článkem zabezpečení bývají zaměstnanci. Simulované útoky v rámci testování odolnosti firem ukazují, že řádově pětina zaměstnanců klikne na odkaz ve zprávě, aniž by prověřovali, kam směřuje. V době, kdy velká část lidí pracuje vzdáleně a pro práci kdykoli a odkudkoli se využívají osobní zařízení, mají kybernetičtí útočníci velkou šanci uspět s útokem vedeným přes jednotlivé zaměstnance.

Na co klikají zaměstnanci

Únik nebo poškození dat, falešné platební příkazy nebo phishingové léčky mohou způsobit firmám katastrofální škody. A jak se v IT bezpečnosti traduje, amatéři útočí na firmy, profesionálové na lidi. Zacílení na jednotlivce je velmi účinná technika, mnoho zaměstnanců stále kliká na phishingové e-mailové odkazy a stahuje přílohy se škodlivými soubory.

„Firmy musí věnovat maximální pozornost tomu, kdo a jakým způsobem pracuje s jejich daty. Počet kybernetických útoků stoupá, obezřetnost zaměstnanců klesá a v mnoha případech není kybernetické zabezpečení firem dostačující,“ říká Ondřej Ševeček, odborník na bezpečnost a etický hacking z Počítačové školy Gopas. „Phishingové útoky vedené přes zaměstnance jsou velmi účinné, jejich edukace v základních pravidlech bezpečného chování ve virtuálním prostředí pokulhává na celém světě. Simulované útoky v rámci testování odolnosti firem ukazují, že řádově pětina zaměstnanců klikne na odkaz ve zprávě, aniž by prověřovali, kam směřuje.“

amatéři útočí na firmy, profesionálové na lidi

Zneužitelní chatboti

Chatboti se stále více stávají standardním nástrojem zákaznických služeb pro mnoho společností. Jako každá technologie jsou však potenciálně zranitelní – hackeři totiž mohou snadno vytvořit roboty, kteří se budou vydávat za nákupčí nebo dodavatele a navázat konverzaci s interními pracovníky firem. V průběhu chatu může tento „podvodný bot“ přesvědčit zaměstnance, aby sdíleli citlivé údaje nebo se přihlásili k odběru neautorizovaného, škodlivého obsahu. Zabaveného chatbota lze použít také k phishingu.

Chatbot, vstupní brána zločinu. Ilustrační foto: GOPAS

„Chatboti jsou v zásadě zranitelní vůči stejným druhům útoků jako jakákoli jiná technologie. Pokud útočník získá přístup k síti, data, se kterými chatbot pracuje, mohou být ohrožena. Pokud mohu upravit data, mohu také nakrmit chatbota dezinformacemi. Nebo firmu vydírat na základě odcizených dat. Případně je možné přístup k získaným údajům rovnou zneužít a obeslat například databázi klientů nabídkou se škodlivým kódem,“ říká Michal Merta, ředitel Cyber Fusion centra společnosti Accenture.

Fingovaná odborná pomoc

Práce odkudkoli, hybridní pracovní kolektivy, kolegové, které znáte jen po hlase. V posledních dvou letech se způsob spolupráce ve firmách radikálně změnil. A toho zneužívají i hackeři, kteří se snaží prostřednictvím zaměstnanců dostat do firemních systémů. Funguje i zcela primitivní metoda, kdy se jim podvodník představí jako nový pracovník IT oddělení, který má za úkol pomocí vzdáleného přístupu provést nějaký zásah na jejich počítači. V poslední době se množí také případy podvodných telefonátů, kdy se podvodníci snaží své oběti přesvědčit o tom, že jako zástupci velké softwarové nebo antivirové společnosti zachytili útok, který je na ně veden. Pod záminkou, že jim chtějí pomoci, pokoušejí se je přimět k zpřístupnění počítače přes aplikaci pro vzdálenou správu.

„Předávání přístupových údajů do svých zařízení, aplikací, služeb, komukoli jinému je vždy mimořádně rizikové. Cílem bývá odchytit přístupové údaje a ty pak zneužít k přímému získání finančních prostředků nebo vydírání. Ale na zpřístupněném počítači mohou útočníci napáchat i horší škody – například instalovat škodlivý software, stáhnout „zapamatovaná“ hesla, nebo se dokonce probourat pod získanou identitou do firemní sítě a tam napáchat významné škody,“ říká Martin Pejsar z BNP Paribas Cardif. „Pokud se prokáže zavinění takového průniku nedbalostí zaměstnance, může to pro něj mít významné finanční důsledky, nebo může dokonce přijít o místo.“

Nebezpečí v interní komunikaci

Obezřetní musejí být lidé i v komunikaci v rámci firmy. Ne vše, co se tváří jako mail nebo zpráva od kolegů, je nutně neškodné. K tomu nemusejí útočníci ani proniknout do firemního systému, stačí si například registrovat doménu s názvem podobným firemnímu či napodobit jméno reálného pracovníka daného oddělení. V současné době, kdy řada lidí řeší pracovní záležitosti i ze soukromých adres a přes telefon, to mají útočníci celkem jednoduché. Pošlou například excelovskou tabulku se škodlivým kódem a mohou si být jistí, že mnoho lidí povolí aktivní prvky. Nebo do e-mailu vloží link na podvodné stránky. Oblíbenou metodou je i tzv. CEO fraud, kdy podvodníci zjistí díky automatické odpovědi nepřítomnost člena managementu společnosti a jeho jménem pak vydají podvržený příkaz – například účtárně podniku pokyn k vyplacení určité částky.

„Podvodných metod napodobujících vnitrofiremní komunikaci je mnoho. Kromě podvodných ajťáků může podvržený e-mail přijít ve jménu jakéhokoliv jiného oddělení, například HR. Známe konkrétní příklady, kdy zaměstnancům přišly podvodné zprávy, které oznamovaly údajné změny dovolených a rodičovských, jiné informovaly příjemce o jeho propuštění a nabízely vyplacení dvouměsíčního platu po vyplnění přiloženého dokumentu. Vše hackeři dělali s cílem získat od obětí citlivé osobní informace. Útočníci zneužívají i komunikaci směrem k HR oddělení – zde můžeme zmínit případ, kdy ukradenou identitu zaměstnance zneužil útočník tak, že jeho jménem poslal HR oddělení zprávu s novým číslem účtu, kam mají nadále posílat výplatu. A než dotyčný podvod odhalil, připravil jej řádově o desítky tisíc korun,“ uzavírá Michal Novák z pracovního portálu Profesia.cz