Text: Jan Šaroch

Foto: ­pixabay

Útočník se může například pokoušet získat přihlašovací údaje k informačním systémům organizace nebo informace, které mu umožní následně nakládat s finančními prostředky své oběti. Aby byl úspěšný, snaží se napodobit co nejlépe legitimní komunikaci, na kterou je potenciální oběť zvyklá. V případě vishingu se jedná o nevyžádaný telefonní hovor, kde se útočník pomocí vyvolání časové tísně pokouší taktéž z oběti vylákat potřebné údaje.

Organizace se proti takovým útokům brání systematickým vzděláváním svých zaměstnanců. Kromě klasického způsobu formou e-learningu nebo informačních kampaní používá také předstírané útoky na vybraný vzorek zaměstnanců, aby si ověřila jejich schopnost takovým útokům odolat.

Schopnost zaměstnanců rozpoznat phishing se snižuje

Správa železnic v roce 2022 provedla takové testy dvakrát, a to na stejném vzorku zaměstnanců. První vlna se odehrála v polovině června, kdy bylo e-mailem osloveno 1026 zaměstnanců. Z nich 338 zprávu otevřelo, 224 kliklo na závadný link a 172 vložilo údaje do přihlašovacího formuláře. Jen 126 z nich nahlásilo útok na centrální helpdesk SŽT. Druhá vlna testů následovala poté, co v organizaci proběhlo školení pomocí aplikace e-learning. V prosinci bylo osloveno opět 1026 zaměstnanců, 445 z nich e-mail otevřelo, 312 kliklo na závadný link, 185 vložilo přihlašovací údaje a navíc 72 zaměstnanců se pokusilo provést platbu pomocí své platební karty. Jen 87 zaměstnanců nahlásilo phishing na centrální helpdesk SŽT. Z výsledků je patrné, že schopnost našich zaměstnanců rozpoznat phishing se v čase nebezpečně snižuje. Z toho plyne, že úsek kybernetické bezpečnosti by měl v tomto roce změnit svůj přístup a nabídnout zaměstnancům společnosti takový systém vzdělávání, který by respektoval jejich schopnosti a možnosti v rámci jejich pracovního nasazení. A to tak často, aby jejich pozornost vůči phishingu opět neopadla.

Základní pravidla hodnocení příchozí pošty

Jako první krok vám může SŽT nabídnout stručné shrnutí základních pravidel pro vyhodnocení příchozí pošty.

Při kontrole pošty se zaměřte hlavně na tyto body:

1.       Od koho pošta přichází. Je adresa odesílatele správná?

2.       Na jaké adresy odkazy v e-mailu míří. Jsou to důvěryhodné weby?

3.       Jakým jazykem je e-mail psán?

4.       Nikdy nezadávejte své přístupové údaje na webu, na který jste se dostali z odkazu v e-mailu a který jste si nezkontrolovali.

5.       Platební údaje nikdy nezadávejte na webu, na který jste se dostali odkazem z e-mailu. Znovu si přečtěte bezpečnostní oporučení své banky ohledně plateb na internetu.

6.       Sledujte kontext. Opravdu se ve zprávě vyskytují očekávatelné informace od daného adresáta? Pokud vám e-mail nabízí nějaké benefity nebo překvapivé informace, je lepší si jeho autentičnost ověřit u odesílatele. A to zejména v případech, kdy po vás požaduje zadání přístupových údajů nebo číslo vaší karty!

7.       Pokud vám někdo zavolá a požaduje, abyste mu sdělili přístupové údaje nebo vás nutí pomocí „časové tísně” odbavit e-mail, který vede k zadání přihlašovacích údajů nebo platebních údajů, zavěste. Zavolejte volajícímu zpět hned poté, co si ověříte jeho identitu.

8.       Oznamujte podezřelé e-maily na náš helpdesk.

Pokud jste udělali chybu, neváhejte se na nás obrátit, bezodkladným postupem se dají případné ztráty minimalizovat.

Své dovednosti můžete trénovat zde: www.kybertest.cz.

Pokud máte doma malé děti, rozhodně doporučujeme navštívit odkaz https://www.kyberpohadky.cz/kyberpohadky/. I kybernetická bezpečnost může být zábavná.