Zaměstnanci jsou častými oběťmi podvodných e-mailových útoků
Lidský faktor je pravděpodobně jedním z nejslabších článků bezpečnostního řetězce každé organizace. To si hackeři dobře uvědomují a stále častěji používají klamné taktiky, aby zneužili nic netušící zaměstnance. Ti se mohou nevědomky stát obětí phishingového útoku jediným kliknutím a toto jedno malé kliknutí může přitom zničit celou firmu.
„První, co je dobré každému zaměstnanci doporučit, je popřemýšlet nad tím, jak počítač používá a jestli nemá tendenci občas klikat a stahovat bezmyšlenkovitě cokoliv, co na něj „vyskočí”. Nicméně to úplně nejjednodušší, co může každý zaměstnanec udělat sám, je zvolit si unikátní a silná hesla pro služby, do kterých se přihlašuje,“ radí Jana Večerková, ředitelka projektu Coding Bootcamp Praha, intenzivních kurzů programování, codingbootcamp.cz
Pravděpodobně jste se s tím setkali, víte ale co je phishing?
Phishing je typ kybernetického bezpečnostního útoku, při kterém hacker odešle e-mail s odkazem nebo dokumentem, který vypadá legitimně, ale jeho cílem je krádež informací. Phishingový e-mail se tváří, jako by pocházel z důvěryhodného zdroje (např. od vaší banky, jiného zaměstnance nebo známé společnosti). Jakmile však uživatel klikne na škodlivý odkaz nebo přílohu, bude vyzván k zadání důvěrných informací. Odkaz může také do zařízení zaměstnance stáhnout malware (škodlivý program). Zaměstnanci by tak mohli hackerům předat přesně to, co potřebují k získání přístupu k důležitým firemním účtům, aniž by se dozvěděli, co se stalo.
„Dříve se většina podobných podvodných emailů dala poznat už jen podle stylu a špatné gramatiky, ale dneska tyto emaily vypadají zcela legitimně. Proto je dobré zkontrolovat doménu, ze které email přišel a jestli přesně sedí s doménou služby, za kterou se vydává,“ doplňuje Večerková.
Důležitým krokem je vzdělávat své zaměstnance
Nestačí zaměstnancům posílat e-maily s upozorněním na phishing. Zaměstnanci potřebují školení cílené na rozšíření povědomí, bezpečnost a simulované phishingové testy, které vyhodnotí a změří jejich náchylnost k phishingovým útokům. Cílem není nikoho ponížit nebo ho nachytat, pokud neuspěje v simulovaném phishingovém testu. Důraz by měl být kladen na vzdělávání v oblasti kybernetických bezpečnostních hrozeb a hledání způsobů, jak zlepšit školení zaměstnanců, aby podvodníci nemohli projít přes váš personál.
Vytvoření povinného celopodnikového bezpečnostního školení je pro ochranu firemních dat velmi důležité. Implementujte toto školení při nástupu nových zaměstnanců s následnými pravidelnými opakovacími kurzy. Školení by se mělo týkat osvědčených postupů, ale neměli byste u toho skončit. Zajistěte, aby zaměstnanci věděli, co mají dělat, pokud si všimnou něčeho podezřelého, a jaké kroky mají podniknout, aby na problém upozornili vedení.
Co dělat s těmi, kteří v testech selhávají?
Když spustíte phishingové testy, někteří lidé v nich nevyhnutelně selžou. Musíte se rozhodnout, jak s výsledky naložíte. Pokud zaměstnanec neustále selhává v testech kybernetické bezpečnosti, zhodnoťte riziko spojené s tímto uživatelem a teprve poté se rozhodněte, jaká opatření podniknete.
Příkladem faktorů, podle kterých zhodnocovat vážnost situace, mohou být:
- Má dotyčný přístup k citlivým datům?
- Má možnost přistupovat k finančním prostředkům nebo zpracovávat bankovní převody?
- Pokud klikne na skutečný, reálný phishingový odkaz, co nejhoršího se může stát?
- Pokud si stáhne vir, jak by to ovlivnilo zbytek organizace?
V jednom extrému máte například zaměstnance na základní úrovni, který pracuje v části sítě chráněné firewallem a nemá přístup k ničemu jinému než k internetu – to je situace s nižším rizikem. Na druhém konci máte zaměstnance na vyšší úrovni, který je „místním administrátorem“ a má přímý přístup k databázi – situace s vyšším rizikem.
Vaši pozornost je lepší zaměřit na zaměstnance s vyšším rizikem. Tato osoba může potřebovat individuální koučink nebo úpravu přístupu. Přezkoumání výše uvedených faktorů může také odhalit některé technické kontroly, které by mělo oddělení IT zavést.
Co dělat po otevření phishingového e-mailu
„Nejlepší je nikdy nejednat unáhleně a pod časovým tlakem. Mnoho podvodných emailů sází také na výhodné časově omezené nabídky, výhry v soutěžích a podobné. Když něco vypadá tak, že je to příliš dobré na to, aby se tomu dalo věřit, tak to víceméně vždy je proto, že to tak je,“ říká Jana Večerková.
Kyberzločinci jsou bohužel stále inteligentnější. Začínají také používat velmi sofistikované techniky, takže pro lidi bez účinných antispamových filtrů je velmi obtížné rozlišit legitimní a nelegitimní e-maily. Pokud jste se chytili do této pasti a klikli na phishingový odkaz, je na čase rychle jednat a chránit sebe i svá data.
Zde je pár rad od Jany Večerkové z Coding Bootcamp Praha, jak se zachovat:
Snažte se nepanikařit! – Snadněji se to řekne, než udělá, ale zachování klidu vám pomůže uvažovat logicky a jednat prakticky. Pamatujte – pouhé otevření phishingového e-mailu vás pravděpodobně neohrozí. Pokud jste e-mail otevřeli, ale neklikli jste na žádný odkaz ani jste si nestáhli žádnou přílohu, je pravděpodobnost, že se zločinci stojící za útokem dostanou k vašim informacím, velmi malá. V takovém případě nahlaste odesílatele a přesuňte e-mail do složky s nevyžádanou poštou.
Odpojte zařízení od sítě – Pokud jste však v e-mailu klikli na podvodný odkaz, je tento další krok velmi důležitý. Odpojení od internetu pomůže zabránit kyberzločincům zodpovědným za phishingový útok v přístupu k důležitým a citlivým údajům. To můžete provést odpojením Wi-Fi nebo ethernetového kabelu.
Zkontrolujte, zda jste stáhli přílohu – Kliknutím na phishingový odkaz se často spustí stahování složek nebo souborů obsahujících škodlivý malware. S ohledem na to byste měli zkontrolovat složku stažených souborů, zda do vašeho zařízení nebyla stažena příloha – ale neotevírejte ji. Pokud můžete, odstraňte přílohu, aniž byste ji otevřeli.
Změňte své osobní údaje – Pokud jste v rámci phishingového útoku zadali své osobní přihlašovací údaje k webové stránce, je na čase je aktualizovat. Lidé stojící za podvodným e-mailem nyní mohou mít přístup k vašemu uživatelskému jménu a heslu, které mohou být použity k rozluštění přihlašovacích údajů k dalším webům a účtům.