Zatímco se mnozí obávají virů, malwaru a hackerů, často se zapomíná, že největší zranitelnost je v nás samotných: v lidech.

Sociální inženýrství je založeno na psychologické manipulaci s cílem přimět vás k vyzrazení důvěrných informací nebo k činnostem, které ohrožují bezpečnost vaší společnosti.

Co je sociální inženýrství a jak ho rozpoznat?

Sociální inženýrství není nic nového, ale vyvinulo se spolu s technologií.

Představte si hackera, který nepotřebuje prolamovat kódy ani se nabourávat do systémů. Místo toho manipuluje se zaměstnanci společnosti, aby získal přístup k citlivým informacím.

Tento přístup využívá důvěry, zvědavosti nebo dokonce strachu.

Pokus o sociální inženýrství poznáte, když vás někdo požádá o citlivé informace nebo vás pod falešnou záminkou vyzve ke kliknutí na podezřelý odkaz.

Častými metodami jsou podvodné e-maily, podvodné telefonáty a příspěvky na sociálních sítích.

Chcete-li chránit sebe i svou společnost, je nutné být vždy ostražitý, vždy ověřovat žádosti o informace a nikdy nesdílet citlivé údaje, aniž byste si byli zcela jisti pravostí žadatele.

Případy zranitelnosti ve firmách

1. Phishing zaměřený na zaměstnance: Velká společnost byla napadena, když hacker rozeslal e-mail několika zaměstnancům a vydával se za ředitele IT. V e-mailu byli zaměstnanci požádáni, aby si změnili hesla na falešné stránce, což hackerovi umožnilo přístup k účtům společnosti.

2. Phishingový útokV jiné společnosti se hacker vydával za běžného dodavatele společnosti a požádal o změnu bankovního účtu pro platby. Než si společnost podvod uvědomila, převedla na hackerův účet velkou částku peněz.

3. Sociální inženýrství prostřednictvím sociálních sítí: Zaměstnanec se na sociálních sítích podělil o podrobnosti o své práci a používaných systémech. Hacker tyto informace použil k oklamání oddělení technické podpory společnosti a získal přístup k účtům zaměstnance.

Úspěšné příběhy firem, které zabránily útokům sociálního inženýrství

1. Pokus o phishing byl zastaven díky informovanosti zaměstnanců

O co se hackeři pokusili: Skupina kyberzločinců se pokusila zaútočit na společnost poskytující finanční služby zasláním podvodných e-mailů několika zaměstnancům. E-maily vypadaly, že pocházejí od finančního ředitele společnosti, a žádaly zaměstnance, aby zadali své přihlašovací údaje na webové stránce, která napodobovala přihlašovací stránku společnosti. Cílem bylo získat přístup k účtům zaměstnanců a ohrozit interní systémy.

Jak se tomu vyhnuli: Díky probíhajícímu programu školení o kybernetické bezpečnosti jeden ze zaměstnanců rozpoznal, že e-mail je podezřelý. Místo kliknutí na odkaz informoval bezpečnostní tým společnosti. Tento tým byl schopen e-mail analyzovat a potvrdit, že se jedná o pokus o phishing. Poté upozornil celou organizaci a posílil bezpečnostní opatření, čímž zabránil úspěšnému útoku.

2. Vydávání se za někoho jiného je zabráněno důsledným ověřováním

O co se hackeři pokusili: V jiném případě se hacker vydával za běžného dodavatele výrobní společnosti a zaslal e-mail oddělení závazků s žádostí o změnu bankovního účtu, na který byly prováděny platby. Plánem hackera bylo přesměrovat velkou částku peněz na jím ovládaný účet.

Jak se tomu vyhnuli: Zásady společnosti vyžadovaly, aby každá žádost o změnu platebních údajů byla ověřena přímým telefonátem dodavateli. Po pokusu o ověření žádosti kontaktovalo oddělení závazků skutečného dodavatele, který popřel, že by o změnu požádal. To vyvolalo varování a pokus o vydávání se za dodavatele byl zmařen dříve, než došlo k převodu peněz.

3. Sociální inženýrství prostřednictvím sociálních sítí narušené proaktivním monitorováním

O co se hackeři pokusili: Při pokusu o infiltraci hackeři identifikovali zaměstnance technologické společnosti prostřednictvím jeho sociálních sítí. Poté použili informace zveřejněné zaměstnancem k vytvoření falešného profilu a vydávali se za něj. V plánu bylo kontaktovat technickou podporu společnosti a požádat o obnovení hesla s tvrzením, že mají problémy s přístupem.

Jak se tomu vyhnuli: Společnost měla zavedený proaktivní systém monitorování sociálních médií, který byl navržen tak, aby odhalil potenciální bezpečnostní rizika související se sociálním inženýrstvím. Po zjištění vytvoření falešného profilu přijal bezpečnostní tým okamžitá opatření na ochranu účtů zaměstnanců a informoval pracovníky technické podpory o pokusu o podvod. Díky tomu hacker nezískal přístup k žádným účtům a bezpečnost společnosti zůstala nedotčena.

Tyto případy ukazují, jak příprava, školení a jasné zásady mohou rozhodnout o tom, zda se podaří zabránit úspěšnému útoku sociálního inženýrství. Klíčem je zůstat ostražitý a vždy mít k dispozici robustní bezpečnostní protokol.

Souhrn

Sociální inženýrství je složitý problém, protože se nespoléhá na technologii, ale na manipulaci s lidmi. Společnosti musí své zaměstnance vzdělávat, aby rozpoznali příznaky potenciálního útoku, a stanovit jasné postupy pro vyřizování žádostí o informace. Klíčem k ochraně před těmito hrozbami může být kombinace informovanosti, školení a bezpečnostních protokolů.