Je to celkem jednoduché. Pokud třeba prodáváte něco ze svého majetku na internetu, může se stát, že vám na vaši nabídku přijde odpověď od zájemce s odkazem na doručovací službu. Tam má stačit vyplnit údaje včetně těch z vaší karty a zaplatit poštovné. Tady byste měli zpozornět, protože pravděpodobně jde ve skutečnosti o léčku, kterou chtějí podvodníci získat přístup k vašim penězům. Tento a podobné scénáře poukazují na asi nejslabší článek kyberbezpečnosti – totiž lidi.

Podvody podobného rázu jsou denním chlebem i pro českou společnost Trask, která díky více než tisícovce zaměstnanců dodává komplexní IT řešení do firem ze široké palety segmentů. Její bezpečnostní konzultanti Martin Bareš, Tomáš Sýkora a Jan Zmítko byli hosty dalšího TechCastu, technologického podcastu od CzechCrunche. Přehrát si jej můžete na odkazu níže.

Trask se věnuje především zabezpečení firemních infrastruktur, nicméně ani do nich se hackeři nedostávají složitým kódováním nebo rozšifrováváním hesel, ale právě na základě lidské nepozornosti. „Principiálně není žádný rozdíl v tom, jak se na kyberbezpečnost dívá firma nebo jednotlivec. Rozdíl je v dopadu. Když někdo hackne e-mail nebo bankovní účet, tak se bavíme o škodách v rámci statisíců či milionů. Jenže u firem se jedná o miliardy,“ vysvětluje Zmítko.

V osobní rovině podvodníci zkouší ledacos – SMS s tím, že „váš balík je na cestě“, nebo urgentní hovor od „bankovního poradce“ s tím, že se do vašeho účtu v bance nabourali útočníci a vy musíte své finance okamžitě vybrat a strčit je do bitcoinmatu. Jakkoliv se může zdát neskutečné, že na takové podvody někdo skočí, podobné případy se i v Česku počítají v tisícovkách.

Společně by se tyto útoky daly shrnout pod pojem phishing a jejich cílem je téměř vždy získat peníze. Na firemním poli je situace o něco složitější. „Nejvíc viditelné jsou takzvané DDoS útoky, které se snaží zahltit službu a odstavit ji. To se dělá přes různé boty, které ovládají kvanta počítačů. Daleko horší jsou ale útoky, co nejsou tak viditelné, hacker se do sítě dostává neviditelně. Je složité ho odhalit a firmy na to, že tam byl, mohou přijít klidně po půl roce, aniž by tušily, co hacker napáchal,“ vysvětluje Sýkora.

Základem podobných akcí přitom nebývá nic složitějšího než prostá manipulace, nejčastěji pomocí phishingového e-mailu. V lepším případě se útočník dostane třeba na firemní sociální sítě. V tom horším ale může získat přístup do celkové digitální identity důležitého zaměstnance, díky čemuž dokáže napáchat na firemní síti nebývalé škody – může totiž celý IT systém paralyzovat a tím prakticky znemožnit fungování dané instituce. To byl ostatně i případ některých českých nemocnic.

Firmy tak často samy své zaměstnance zkouší a úmyslně vytvářejí interní phishingové kampaně, jež mají především edukativní účel. Někteří si dokáží vymyslet i to, že zaměstnancům, kteří se na první phishingový útok nenachytají, pošlou druhý e-mail s odkazem na „odměnu“, což je ve skutečnosti další phishingový útok.

Pakliže už zaměstnanec phishingový e-mail odhalí, důležité je to oznámit. Experti z Trasku zmiňují jako příklad případ nejmenované globální firmy, jejíž zaměstnanec dostal phishingový e-mail, a ačkoliv si po vyplnění klíčových údajů uvědomil, že se nachytal, věc neohlásil svým nadřízeným. Výsledkem bylo, že hackeři se dva měsíce pohybovali nepozorovaně po síti, zkoušeli se probourat dále, až se jim to skutečně povedlo. Dostali se do klíčového databázového adresáře a jednoho dne vypustili na celý systém ransomware, který veškerá data společnosti zahesloval. Firma se tak v mžiku nemohla dostat k čemukoliv, co by jí umožňovalo práci.

Experti Trasku se tak shodují na jedné zásadní poučce, která může podobným malérům zabránit – nikomu v online prostředí nevěřit (takzvaná zero trust metodika) a především nepostupovat automaticky a vždy přemýšlet, na co klikáme. Jen tak můžeme být podle nich imunní vůči stále důmyslnějším podvodům.

Další díl TechCastu si můžete pustit na Spotify, Google Podcastech, Apple Podcastech nebo na YouTube. Dozvíte se v něm také:

• Proč je důležité používat správce hesel.
• Jaká metoda dvoufaktorového ověření už není považována za bezpečnou.
• Na co se napálili samotní experti Trasku.
• Proč firmy provádějí takzvané penetrační testy.