Víte, že pro úspěšný průnik do vaší sítě stačí jediná oběť, která útočníkovi podlehne? Nechat se nachytat v simulovaném testu nemá žádný vliv na fungování firmy, ale má vysoký edukativní účinek pro všechny účastníky testu.
Mgr. Peter Šinaľ
CEO společnosti Trusted Network Solutions, kde vede tým etických hackerů, řídí projekty penetračních testů, analýz rizik i projekty zaměřené na audit nebo zavádění procesní bezpečnosti.
Nejslabším článkem bývá zpravidla uživatel
Při útocích nejde jen o samotný škodlivý malware. Důležitá je i tzv. back story, tedy série smyšlených argumentů, kvůli kterým oběť útočníkovi podlehne a poskytne mu třeba i své přihlašovací údaje. Zkušený útočník dobře ví, že pokud jednáme pod vlivem emocí, zapomínáme kriticky myslet a jsme snáze zranitelní.
Psychologický nátlak
E-mail stále patří mezi nejrozšířenější vektory útoků. Útočník použije perfektní češtinu a napodobí i styl firemní komunikace. Vydává se např. za člena účetního oddělení a žádá od svých kolegů, aby si prostřednictvím odkazu zkontrolovali výplatní pásku kvůli nesrovnalosti odpracovaných hodin. Uživatel se tak ocitne ve stresové situaci. Na odkaz bez delšího uvažování klikne a zadá své přihlašovací údaje do podvodné stránky. Útočník tak získá heslo, které zaměstnanec zpravidla používá i pro přístup do dalších interních systémů. Pokud je oběť ve firmě navíc administrátorem, útočník získal cenný úlovek a může si směle vytvořit tzv. backdoor – zadní vrátka pro trvalý přístup do interní sítě.
Nečekejte, až vás otestuje skutečný hacker >
Pozor na telefony a USB
Útok může být veden mnohem aktivněji prostřednictvím telefonu nebo flash disků. Stačí, když několik takových disků zanechá útočník ve veřejně dostupných prostorách firmy. Je vysoce pravděpodobné, že některý zaměstnanec disk najde a vloží do počítače. Disk pak může být naprogramovaný jako klávesnice, začít chrlit stovky znaků a otevřít útočníkovi za pár sekund zadní vrátka pro přístup do sítě. V případě telefonátu pak dokáže útočník podvrhnout oběti telefonní číslo a simulovat standardní příchozí hovor např. přímého nadřízeného. Při nerozpoznání hlasu se pak stačí vymluvit na okolní hluk, horší signál nebo nachlazení a následky takového hovoru si už nemusíme ani vysvětlovat.
Jak ve firmě zajistit a udržet kybernetickou bezpečnost? >
Jak snížit šance útočníka?
Vyzkoušejte si ve firmě simulovaný útok. Zjistíte, jak se vaši zaměstnanci skutečně zachovají. Penetrační test odolnosti s využitím prvků sociálního inženýrství je ideální scénář. Důležitá je na míru vytvořená zpráva a forma oslovení dle nároků na testované uživatele. V průběhu se pak sledují jejich reakce a chování. Zda otevřeli e-mail, stáhli přílohu, klikli na odkaz, případně poskytli i přihlašovací údaje. Díky testu si můžete vyhodnotit skutečnou míru odolnosti vůči reálné hrozbě.
Využijte test kybernetické odolnosti ke školení svých zaměstnanců >
Motivujte k bezpečnosti
Scénář útoku je vhodné propojit se zpětnou vazbou a pozitivní motivací. Zaměstnance, kteří v testu obstáli, můžeme směle odměnit. Naopak ty, kteří se stali obětí, zásadně netrestáme. Školicí efekt můžeme navíc posílit edukativním webem nebo prezentací, jak podobným útokům příště čelit.