Gopas: Firmu jde nejlépe okrást přes nepozornost a neukázněnost zaměstnanců

5. 4. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: © Depositphotos
V době, kdy velká část lidí pracuje vzdáleně a pro práci kdykoli a odkudkoli se využívají osobní zařízení, mají kybernetičtí útočníci velkou šanci uspět s útokem vedeným přes jednotlivé zaměstnance.

Společnost Gopas uvádí, že do zabezpečení firem před kybernetickými hrozbami investují firmy nemalé prostředky, a není to neopodstatněné. Stále ale opomíjejí to, že nejslabším článkem zabezpečení bývají zaměstnanci.

Simulované útoky v rámci testování odolnosti firem podle Gopasu ukazují, že řádově pětina zaměstnanců klikne na odkaz ve zprávě, aniž by prověřovali, kam směřuje.

Firmy musí věnovat maximální pozornost tomu, kdo a jakým způsobem pracuje s jejich daty. Počet kybernetických útoků stoupá, obezřetnost zaměstnanců klesá a v mnoha případech není kybernetické zabezpečení firem dostačující,“ říká Ondřej Ševeček, odborník na bezpečnost a etický hacking z Počítačové školy Gopas.

Phishingové útoky vedené přes zaměstnance jsou podle něj velmi účinné, jejich edukace v základních pravidlech bezpečného chování ve virtuálním prostředí navíc pokulhává na celém světě.

Zneužitelní chatboti

Hackeři mohou rovněž vytvářet roboty, kteří se budou vydávat za nákupčí nebo dodavatele a navázat konverzaci s interními pracovníky firem. V průběhu chatu může tento „podvodný bot“ přesvědčit zaměstnance, aby sdíleli citlivé údaje nebo se přihlásili k odběru neautorizovaného, škodlivého obsahu.

Chatboti jsou v zásadě zranitelní vůči stejným druhům útoků jako jakákoli jiná technologie. Pokud útočník získá přístup k síti, data, se kterými chatbot pracuje, mohou být ohrožena,“ vysvětluje Michal Merta, ředitel Cyber Fusion centra společnosti Accenture.

Pokud mohu upravit data, mohu také nakrmit chatbota dezinformacemi. Nebo firmu vydírat na základě odcizených dat. Případně je možné přístup k získaným údajům rovnou zneužít a obeslat například databázi klientů nabídkou se škodlivým kódem,“ upřesňuje.

Fingovaná odborná pomoc

Kyberútočníci dále zneužívají radikální změny ve způsobu spolupráce ve firmách. Hackeři v tomto případě využívají toho, že v hybridních pracovních kolektivech se lidé mohou znát jen po hlase.

Podle BNP Paribas Cardif funguje i zcela primitivní metoda, kdy se podvodník představí jako nový pracovník IT oddělení, který má za úkol pomocí vzdáleného přístupu provést nějaký zásah na počítači.

Předávání přístupových údajů do svých zařízení, aplikací, služeb, komukoli jinému je vždy mimořádně rizikové. Cílem bývá odchytit přístupové údaje a ty pak zneužít k přímému získání finančních prostředků nebo vydírání,“ říká Martin Pejsar z PNB Paribas Cardif.

Ale na zpřístupněném počítači mohou útočníci napáchat i horší škody – například nainstalovat škodlivý software, stáhnout „zapamatovaná“ hesla, nebo se dokonce probourat pod získanou identitou do firemní sítě a tam napáchat významné škody,“ dodává.

Nebezpečí v interní komunikaci

Profesia.cz upozorňuje, že obezřetní musejí být lidé i v komunikaci v rámci firmy. Ne vše, co se tváří jako mail nebo zpráva od kolegů, je nutně neškodné. K tomu nemusejí útočníci ani proniknout do firemního systému, stačí si například registrovat doménu s názvem podobným firemnímu či napodobit jméno reálného pracovníka daného oddělení.

Podvodných metod napodobujících vnitrofiremní komunikaci je mnoho. Kromě podvodných ajťáků může podvržený e-mail přijít ve jménu jakéhokoliv jiného oddělení, například HR,“ popisuje Michal Novák z Profesia.cz.

bitcoin školení listopad 24

Známe konkrétní příklady, kdy zaměstnancům přišly podvodné zprávy, které oznamovaly údajné změny dovolených a rodičovských, jiné informovaly příjemce o jeho propuštění a nabízely vyplacení dvouměsíčního platu po vyplnění přiloženého dokumentu,“ uzavírá.

Zdroj: Gopas, Accenture, BNP Paribas Cardif, Profesia.cz

Čtěte dále

Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně