Phishingové triky aneb 10 nejběžnějších podvodů roku 2020

9. 10. 2020. (redaktor: František Doupal, zdroj: Sophos)
Kybernetičtí podvodníci nás neustále testují a zkouší, kam až mohou zajít, takže jednou z možných ochran je i testovat sami sebe, abychom si před útočníky udrželi náskok. Existují nástroje, které umožňují IT oddělením odesílat realisticky vypadající podvržené e-maily vlastním zaměstnancům, takže když se nechají zmást a kliknou na ně…

Se svým simulátorem phishingových útoků Sophos Phish Threat odhalila společnost Sophos několik zajímavých statistik, které letos získala od reálných uživatelů tohoto produktu. Simulátor Sophos Phish Threat umožňuje připravit vlastní šablony podvodů, aby organizace mohly vytvářet vlastní phishingové e-maily, ale obsahuje i rozsáhlou sbírku přizpůsobitelných šablon, které jsou pravidelně aktualizovány. Základní myšlenkou je následovat vzhled a chování skutečných podvodů všech typů od Strach vyvolávajících varování před bezprostřední zkázou po nenápadné zprávy sdělující o něco více než Podívejte se prosím na přiložený soubor.

Hledání nejhoršího

Bezpečnostní experti týmu Phish Threat se zaměřili zejména na to, jaké phishingové šablony mají nejlepší, nebo přesněji řečeno nejhorší výsledky. Zda firemní uživatelé e-mailu podlehnou spíše cukru, nebo biči. Výhrůžkám, nebo bezplatným nabídkám. Konkrétním instrukcím, nebo užitečným návrhům. Formulacím s „musíte“, nebo „mohlo by se vám líbit“.

Odpovědi pokrývají širokou škálu témat kolem phishingu, ale jedno mají společné: žádné z nich nespadá do kategorie hrozeb. Většina z testovacích podvodných emailů, na které uživatelé reagovali, se zabývala běžnými, nijak dramatickými problémy, přičemž to byla zjevně zajímavá či důležitá témata. Nic na seznamu deseti nejčastějších nebylo skutečně naléhavé nebo děsivé a všechny zprávy zněly dostatečně pravděpodobně a nekomplikovaně, aby stálo za to je rychle vyřešit.

Desítka nejlepších, resp. nejhorších

1. Etický kodex. Domnělá zpráva z HR oddělení představující nový etický kodex společnosti. S globálním zájmem o zvýšení diverzity na pracovištích a omezení obtěžování řada společností reviduje své interní pokyny pro zaměstnance. Většina zaměstnanců ví, že by si měli nové pokyny přečíst a že je HR tým povinen je uhánět, dokud to neudělají. Takže kliknutí na tento e-mail vypadá jako úkol, který byste měli vyřídit.

2. Zpožděné dodání ročního vyúčtování daní. Simulované upozornění zaměstnancům, že jejich podklady k daňovému přiznání nedorazí v očekávaném termínu. Ať už se příslušné formuláře ve vaší zemi nazývají jakkoli, jde o „nezbytné zlo“, o kterém zaměstnanci vědí, že jej potřebují vyřídit, takže možná budou chtít také zjistit, jak dlouhé to zpoždění bude.

3. Plánovaná údržba serveru. Pro bezpečnostní experty Sophosu bylo překvapením, že se tato zpráva dostala na 3. příčku v tomto hodnocení, protože spíše cynicky předpokládali, že většina lidí tento druh zpráv z IT spíše ignoruje. Už jen proto, že s tímto typem sdělení stejně nemohou nic dělat. Po další úvaze lze však dojít k závěru, že v dnešní době, kdy množství lidí pracuje z domova, se budou zajímat o to, kdy pravděpodobně dojde k odstávce, aby si podle toho mohli naplánovat svoje aktivity.

4. Byl vám přidělen úkol. V případě této zprávy umožňuje nástroj Phish Threat výběr systému na plánování projektů, který daná společnost používá (např. JIRA, Asana aj.), takže e-mail nevypadá jako zjevně falešný. Přestože jde o částečně cílený phishing, organizace by měly předpokládat, že jimi používané podnikové nástroje jsou všeobecně známé a podvodníci si je mohou snadno zjistit, možná dokonce i automaticky.

5. Test nového e-mailového systému. Kdo ze zaměstnanců by nechtěl být nápomocen, když stačí jediné kliknutí?

6. Aktualizace pravidel čerpání dovolených. Kvůli omezením a karanténě v souvislosti s koronavirem se ukazuje, že hlášení a čerpání dovoleným může být v praxi problematické. Mnoho společností kvůli tomu odpovídajícím způsobem upravilo svá pravidla pro čerpání dovolené – a kdo by chtěl riskovat, že přijde o volno?

7. Zapnutá světla u auta. V této zprávě chce být správce budovy evidentně mile nápomocný, když hlásí, že si někdo nechal na parkovišti rozsvícená světla. Ve skutečnosti by ale zaměstnanci měli zpozornět a pojmout podezření, proč správce posílá fotografii, namísto toho, aby jen napsal registrační značku auta.

8. Nedoručená zásilka kurýrní službou. Toto je osvědčený trik, který podvodníci používají už léta. Kvůli nárůstu dodávek do domu vlivem koronaviru je dnes obzvláště důvěryhodný. Ve skutečnosti můžete právě teď očekávat nějakou zásilku – a pokud je to dodavatel, kdo rozhoduje, jakou kurýrní společnost využije, tak ani možná nevíte, kdo vám ji doručí.

9. Zabezpečený dokument. Údajně se jedná o „zabezpečený dokument“ od HR týmu, což je pravděpodobně důvodem, proč se jej neobvyklým způsobem pokusíte zobrazit. Tento trik phishingoví podvodníci často používají jako důvod přesvědčit vás, abyste zadali heslo tam, kde obvykle nemusíte, nebo upravili nastavení zabezpečení ve vašem počítači – zdánlivě kvůli posílení zabezpečení, ale ve skutečnosti k jeho snížení.

10. Zpráva ze sociálních sítí. V daném případě šlo o simulované oznámení ze sítě LinkedIn sdělující příjemci, že „Máte nepřečtené zprávy od Josefa“. Zdá se, že si LinkedIn právě zažívá nárůst popularity, což není překvapivé vzhledem k tomu, kolik lidí přišlo kvůli koronavirové pandemii o práci nebo jim byla zkrácena pracovní doba. Je lákavé kliknout ze strachu, abyste něco nepromeškali, a podvodníci toho rádi využijí.

Autor: Paul Ducklin, bezpečnostní expert společnosti Sophos

Štítky: 

Podobné články

Kybernetické útoky: Tichá epidemie 21. století

12. 11. 2024. (redaktor: František Doupal, zdroj: Soitron)
Kybernetická kriminalita představuje stále rostoucí riziko pro firmy a státy po celém světě. Je výrazně méně riziková než obchod s drogami nebo lidmi a přináší útočníkům obrovské zisky. Proto jde o zlatou žílu moderní kriminality. Ztráty způsobené kybernetickými útoky dosahují astronomických částek a ohrožují stabilitu globální ekonomiky. Čtěte více

Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti

30. 9. 2024. (redaktor: František Doupal, zdroj: Sophos)
Nejčastějším zdrojem ransomwarových útoků na české společnosti v roce 2023 bylo zneužití zranitelnosti systému zabezpečení. Firmy se na kybernetické útoky připravují, ale stále nedostatečně - pouze 57 % z nich zálohuje data a 42 % zaměstnává specialisty na kybernetickou bezpečnost nebo provozuje interní SOC. Ještě hůře na tom jsou firmy s plány obnovy nebo plány na zachování kontinuity provozu. Čtěte více

Průzkum Acronis hlásí 293% nárůst e-mailových útoků

2. 8. 2024. (redaktor: František Doupal, zdroj: Acronis)
Zpráva Acronis Cyberthreats Report H1 2024 zjistila, že e-mailové útoky zaznamenaly 293% nárůst ve srovnání se stejným obdobím roku 2023. Rostl také počet detekovaných ransomwarových útoků, který od 4. čtvrtletí 2023 do 1. čtvrtletí 2024 narost o 32 %. Čtěte více

Uživatele nejspolehlivěji oklame phishingový e-mail o nezaplacené faktuře

27. 6. 2024. (redaktor: František Doupal, zdroj: GFI Software)
Podle dotazování mezi českými a slovenskými partnery společnosti GFI Software mají největší potenciál způsobit finanční škody krádeže přístupových údajů a cílené podvržené e-maily (BEC/Spear Phishing). Jednu z hlavních rolí hrají phishingové e-maily schopné oklamat firemní uživatele řadou podvodných informací včetně nezaplacených faktur, vymyšlených dluhů či neexistujících zásilek. Čtěte více