Obstojí vaši zaměstnanci při phishingovém útoku?

Dvacetiprocentní výsledek může vypadat jako zanedbatelný, na stranu druhou by u lidí pracujících pro jednu z nejznámějších služeb na Internetu měla být opatrnost při zadávání přihlašovacích údajů na vyšší úrovní než u běžných uživatelů.

Test samotný byl velmi snadný a odpovídal způsobu, jak by přesně cílený phishing (rhybaření) mohl probíhat. Padesáti zaměstnancům byl poslán e-mail tvářící se jako interní firemní zpráva o aktualizaci s požadavkem na kliknutí na odkaz v e-mailu. Ten vedl na doménu gitlab.company vytvořenou specificky pro tento účel a opatřenou i SSL certifikátem. Po kliknutí se objevila žádost o přihlášení. Na odkaz jako takový kliklo 17 lidí z 50. Deset z nich ale do podvodného přihlašovacího formuláře vyplnilo platné přihlašovací údaje.

Phishing přitom stojí za zhruba čtvrtinou všech narušení. Zároveň patří k útokům, kterým je prakticky nemožné zabránit a zčásti za to může i to, jakým způsobem fungují e-maily. Ještě více komplikované se vše stalo s příchodem mobilních telefonů, kde většinou není možné ověřovat hlavičky a internetové adresy v prohlížečích bývají skryté či různě zkrácené.

Podobný test si můžete zkusit i ve vaší společnosti, zprovoznit falešný web vypadající jako ten váš na doméně vizuálně podobné té vaší není nijak nákladné. Získat vzorky toho, jak vypadají firemní e-maily, také ne, stejně jako dostatečný počet firemních e-mailových adres, na které je možné phishing poslat. Při pár desítkách adres a přibližně 20% úspěšnosti se zcela jistě dostanete k několika přihlašovacím údajům poměrně rychle.

Zneužití získaných přihlašovacích údajů pak už může jenom ztížit (a v řadě případů i zabránit) dostatečná ochrana přihlašování. Především dvoufaktorové ověřování, které vyžaduje k přihlášení nejenom znalost jména/e-mailu a hesla, ale také ověření přes mobilní telefon či další pokročilejší formy (bezpečnostní klíče). Doposud bylo také užitečné důsledné používání VPN pro jakékoliv přístupy zvenčí a kompletní znemožnění dostat se k přihlášení bez nich, to se však s postupným nárůstem využití cloudových služeb pomalu ale jistě snižuje. Úloha hardwarových klíčů v počítačích, o nichž mnozí také často uvažují, pak také klesá.

Nebezpečí se samozřejmě stále skrývá ve velmi obvyklém užívání stejných hesel pro více služeb. Tomu lze zabránit velmi těžko a případný útočník se tak možná nedostane ihned do firemních systémů, ale může získat přístup k soukromým e-mailům zaměstnanců či k jejich sociálním sítím. Jde to ale i obráceně, kdy útočníci nejdříve získají heslo k soukromým účtům a následně jej zrecyklují pro přístup k firemním systémům. Tím se otevírají další možnosti, například pro sociální inženýrství.

Proto musí být jednou ze zásadních cest ochrany i kvalitní vzdělávání zaměstnanců, doplněné o ochranu na úrovní poštovních systémů, kde bude docházet k testování příchozích e-mailů na příznaky phishingu (často jde i o nasazení strojového učení a umělé inteligence). Vhodnou cestou je důsledné prověřování všech domén i IP adres, ze kterých e-maily přicházejí. Je možné i přistoupit k tak základnímu opatření, jako je blokování všech odkazů ve firemních e-mailech. Stále tu ale zůstane možnost útoku přes osobní e-maily zaměstnanců, proto je právě vzdělávání zaměstnanců jedním z nejdůležitějších nástrojů. Včetně toho, že byste si měli své zaměstnance opravdu čas od času otestovat.

Pokud by snad phishingový útok vedl k prozrazení přihlašovacích údajů a následnému vstupu útočníka do firemních systémů – i na takové situace je třeba se připravit předem, dokázat detekovat nezvyklé chování, přístupy, přenosy dat. Zkrátka důsledně dbát na omezený přístup uživatelů k důležitým a citlivým systémům či datům.