5 spôsobov, ako sa chrániť pred sociálnym inžinierstvom

|

Za väčšinou kybernetických útokov stojí ľudská chyba, ktorá je základným stavebným kameňom pre sociálnych inžinierov. Tí totiž vedia, že ľudia konajú nesystematicky, netestujú si pravosť webových liniek, neanalyzujú dôveryhodnosť wifi siete alebo stránok. Stáva sa to v bežných životoch užívateľov i vo firmách, keďže tieto zlozvyky si ľudia obyčajne nosia zo súkromného života do práce.

Kto je sociálny inžinier?

Sociálny inžinier je v podstate podvodník. Využíva slabosti ľudí, aby z nich vymámil informácie alebo ich donútil niečo urobiť. V dobe, kedy je internet každodennou súčasťou života, ľudia sami uľahčujú prácu sociálnym inžinierom už len tým, že si neuvedomujú, čo všetko zverejňujú na svojich sociálnych sieťach. Sociálny inžinier totiž spočiatku zhromažďuje informácie o svojej obeti (človeku alebo firme) a následne prichádza konfrontácia.

O slabosti zamestnancov vedel už aj pred 40 rokmi najznámejší sociálny inžinier Kevin Mitnick, ktorý dokázal získať prístup do mnohých systémov a prakticky presvedčil zamestnancov firiem, aby mu sami dali prístup do informačných systémov. Následne ho stíhala aj FBI a odsedel si za to 5 rokov. Dnes už svoj dar na hľadanie tajných vchodov do sietí využíva s legitímnym úmyslom.

Phishing patrí medzi najbežnejší typ sociálneho inžinierstva

Jedným z najflexibilnejších a najbežnejších typov útoku v oblasti sociálneho inžinierstva je phishing. Môže byť maskovaný mnohými spôsobmi a použitý na rôzne účely. Podľa prieskumu spoločnosti Proofpoint zažilo v roku 2018 tieto útoky až 83 % respondentov z celého sveta, čo predstavuje 76 % nárast oproti roku 2017.

Na vytvorenie phishingovej stránky stačí urobiť repliku populárnej alebo dôveryhodnej webstránky, prilákať nič netušiacich používateľov a presvedčiť ich, aby ochotne zadali svoje osobné údaje. Často ide o finančné údaje, napríklad heslá bankových účtov alebo údaje o platobných kartách či prihlasovacie údaje do účtov na sociálne siete. Niektoré domény môžu zamieňať znaky ako napríklad číslicu „0“ za písmeno „O“, veľké písmeno „I“ za malé písmeno „L“ alebo písmeno „V“ za písmeno „U“.

Ako sa môžete chrániť pred sociálnym inžinierstvom?

  1. Spomaľte – Útočníci vedia, ako vám spôsobiť pocit naliehavosti a ovplyvniť vás, aby ste konali čo najrýchlejšie. Je dôležité si starostlivo skontrolovať, čo vám príde, či už na e-mail, alebo aj na sociálne siete, nielen v súkromných správach, ale aj firemných. Ako strašiak môžeme spomenúť najaktuálnejší hackerský útok na Facebook, kde hackeri prenikli až do 50 miliónov účtov a spoločnosť stále nevie, kto za útokom stojí a či napadnuté účty boli zneužité.
  2. Dávajte si pozor na URL adresy a prílohy – Podozrievať odkazy a prílohy z neznámych zdrojov je úplne v poriadku. Bez ohľadu na to, ako legitímne vyzerá e-mail alebo správa na vašom sociálnom profile, ak máte čo i len najmenšie podozrenie na daný odkaz, je vždy bezpečnejšie zadať adresu URL do prehliadača.
  • Overte totožnosť odosielateľa – Útočníci využívajúfalošnú identitu vašich vedúcich pracovníkov, predajcov a zamestnancov v oblasti ľudských zdrojov a ďalších. Overenie e-mailu je najlepším spôsobom, ako si skontrolovať totožnosť odosielateľa.
  • Implementujte komplexnú stratégiu zabezpečenia e-mailov – V súčasnosti musia byť firemné systémy schopné identifikovať škodlivé e-maily a blokovať ich skôr, ako sa dostanú k samotným zamestnancom. K e-mailovej autentifikácii vie pomôcť Proofpoint´s Email Protection, ktorý dokáže zastaviť pokročilé útoky, zmierniť ich vplyv a udržať chod firmy bez problémov.
  • Vzdelávanie – Vzhľadom na nárast kybernetických hrozieb i útokov na firemné ciele je pre organizácie dôležité vzdelávanie zamestnancov, ktoré patrí medzi najúčinnejšie nástroje ochrany organizácie. Až 48 % firiem uvádza, že v rámci kybernetickej bezpečnosti je najdôležitejšie zlepšenie informovanosti pracovníkov.

„Vzdelávacia platforma Proofpoint Security Awarness Training vie na základe simulácie rozlíšiť úroveň zručností a znalostí v oblasti kybernetickej bezpečnosti u každého zamestnanca. Zamestnanec môže napríklad podľa zákaznícky upraviteľných šablón phishingových e-mailov rôzneho stupňa dostať e-mail, kedy po prijatí a kliknutí na odkaz získa podnet na poučenie,“ vysvetľuje Tomáš Barta, Channel Sales Executive zo spoločnosti Veracomp Slovakia. Zamestnanci musia vedieť, ako nielen rozpoznať štandardné techniky sociálneho inžinierstva, ale aj ako im zabrániť.