Pravdepodobne ste už počuli o sociálnom inžinierstve – psychologickej manipulácii ľudí s cieľom donútiť ich nedobrovoľne o sebe prezradiť citlivé informácie. Pozrime sa na impersonifikáciu, ďalšiu netechnickú metódu útoku, pri ktorej sa kybernetickí zločinci vydávajú za dôveryhodné osoby a snažia sa tak manipulovať inými (napr. aby zadali objednávku a schválili podvodné transakcie). Ako zistíte, že vás namiesto kolegu kontaktuje podvodník?
Impersonifikáciu možno popísať ako praktiku vydávania sa za niekoho iného, v tomto prípade s cieľom získania informácií alebo prístupu k určitej osobe, spoločnosti alebo počítačovému systému. Kybernetickí zločinci tak robia napríklad prostredníctvom telefonátov, e‑mailov alebo aplikácií na odosielanie a prijímanie správ. V mnohých prípadoch si vyberajú mená ľudí z vrcholového manažmentu spoločnosti. Následne pripravia e‑mail, ktorý vyzerá, akoby ho napísal samotný manažér.
Je až neuveriteľné, koľko firemných informácií je dostupných na platformách ako LinkedIn, na ktorých sú zverejnené celé štruktúry spoločností a mená zamestnancov. Útočník sa môže pomocou takýchto údajov pokúsiť kontaktovať viacerých zamestnancov a požiadať ich o vykonanie prevodu peňazí, zaplatenie faktúr alebo zaslanie dôležitých údajov. Práve z tohto dôvodu sú následky impersonifikácie pre spoločnosti také nebezpečné – podobné útoky môžu spôsobiť únik údajov či finančné straty.
Skutočný príbeh: Impersonifikačný útok na spoločnosť ESET
Kybernetické útoky môžu postihnúť akúkoľvek organizáciu. V roku 2020 spoločnosť ESET čelila pokusom útočníkov o vydávanie sa za generálneho riaditeľa prostredníctvom aplikácie WhatsApp. Cieľom tohto pokusu bolo predstierať existenciu veľkej ponuky na akvizíciu aktív, ktorá si vyžadovala finančný vklad. Ukážky týchto správ uvádzame na obrázku nižšie.
Vďaka bezpečnostným riešeniam pravdepodobne predídete bežným technickým typom útokov. Techniky impersonifikácie sa však viac spoliehajú na psychológiu – využívajú dôveru ľudí. Preto je rovnako dôležité školiť zamestnancov o osvedčených postupoch bezpečnostnej hygieny. Ponúkame vám niekoľko tipov, vďaka ktorým vy a vaši zamestnanci znížite riziko, že naletíte technikám sociálneho inžinierstva, a odfiltrujete škodlivý obsah.
Ako odvrátiť impersonifikačné útoky?
1. Naučte sa rozpoznávať správy využívajúce impersonifikáciu
Je dôležité mať sa na pozore. Čím viac o takýchto útokoch vieme, tým ľahšie sa im dá vyhnúť. Ako teda vyzerajú e‑maily, v ktorých sa útočníci vydávajú za niekoho iného? Mnoho z nich sa snaží v obetiach vzbudiť pocit naliehavosti a strachu. Práve takéto emócie vedú ľudí k vykonaniu požadovaných úloh. Môže ísť o niečo, čo sa vám zdá nezvyčajné a podozrivé, napríklad nákupy, ktoré nesúvisia s vaším podnikaním, od klientov, ktorých nepoznáte. Útočníci sa tiež snažia prinútiť obete splniť ich podmienky za čo najkratší čas.
Podvodné správy často obsahujú gramatické chyby alebo nesprávne zaobchádzajú s firemnou značkou. Tieto znaky sú ľahšie rozpoznateľné. Kybernetickí zločinci zdatní v impersonifikácii však dokážu vytvoriť reálne vyzerajúcu e‑mailovú správu, v ktorej použijú oficiálnu fotografiu zamestnanca či jeho podpis. Hoci teda na prvý pohľad e‑mail pôsobí hodnoverne, pristupujte k nemu s opatrnosťou, ak sa vám žiadosť v správe zdá nezvyčajná.
2. Zamyslite sa nad kontextom
Niekedy sme príliš zaneprázdnení na to, aby sme nad svojimi rozhodnutiami hlbšie rozmýšľali. Možno vám to bude trvať o pár sekúnd naviac, no vždy zvážte, či e‑mailová správa ako celok dáva zmysel. Prečo presne vás daný kolega žiada práve o túto transakciu alebo citlivú osobnú informáciu? Všetko, čo pôsobí neobvykle a odchyľuje sa od zaužívaných postupov vašej firmy, by malo byť varovným signálom. Aj keď sa zdá, že e‑mail pochádza od dôveryhodnej osoby, napríklad generálneho riaditeľa, stále môže ísť o podvod. Zostaňte za každých okolností ostražitý a podozrivé správy či požiadavky radšej preverte s ďalšími zamestnancami.
Kybernetickí zločinci môžu získať informáciu, že istý zamestnanec práve nie je v práci, a tváriť sa, že ho zastupujú. V takom prípade overte predmetné informácie s jeho nadriadeným alebo spolupracovníkmi. Ako predsa hovorí príslovie, dvakrát meraj a raz strihaj.
3. Skontrolujte e‑mailovú adresu
Dostali ste firemný e‑mail z osobného účtu? Adresa môže na prvý pohľad patriť niekomu, koho poznáte, vždy je však lepšie odpovedať takejto osobe na jej oficiálnu e‑mailovú adresu.
Niekedy hackeri používajú aj adresu, ktorá na prvý pohľad vyzerá takmer ako oficiálny firemný e‑mail. Názvy domén však môžu obsahovať drobné odchýlky. Aká chyba sa v názvoch e-mailových adries vyskytuje najčastejšie? Výmena pôvodných písmen za iné, ktoré vyzerajú podobne, napríklad nahradenie písmena „m“ kombináciou „rn“.
4. Overte osobu cez iný komunikačný kanál
Všetko dobre zvážte. Máte podozrenie, že správa, ktorú ste dostali, je podvodná? Odosielateľovi zavolajte alebo využite iné komunikačné kanály. Hackeri však na impersonifikačné útoky používajú aj iné kanály ako len e-maily. Útočníci vás môžu kontaktovať aj prostredníctvom aplikácií na zasielanie a prijímanie správ, ako je napríklad WhatsApp. Ak ste dostali podozrivú správu v službe WhatsApp, mali by ste danému človeku napísať prostredníctvom firemného e‑mailu alebo mu zavolať.
Prípadne sa môžete jednoducho porozprávať osobne tvárou v tvár. Nebojte sa niekoho spýtať, aj keď môže byť zaneprázdnený. Možno sa zdráhate vyrušovať samotného generálneho riaditeľa. Je to celkom prirodzené, čím vyššiu pozíciu daný kolega vo firme zastáva, tým viac váhame osloviť ho, najmä ak je mimo kancelárie. V prípade, že sa so svojím nadriadeným neviete skontaktovať osobne, môžete sa obrátiť na jeho zástupcov alebo iné osoby, ktoré by mohli byť oboznámené s danou situáciou. Napríklad o dôležitej a naliehavej platbe faktúry po termíne splatnosti by určite vedel (alebo mal vedieť) váš finančný či prevádzkový riaditeľ, nebojte sa ich preto na problém spýtať. Pamätajte si, že ostražitosť sa vypláca.
Takýto postup nemusí byť zrovna časovo nenáročný. Môžete si však byť istý, že sa vám investícia vráti, keď bude vaše podnikanie a pracovné prostredie pod kontrolou a zabezpečené pred kybernetickými útokmi.
Označujte e-maily značkou „EXTERNAL“
Na základe nedávnych zmien aj v rámci internej bezpečnosti spoločnosti ESET sú e‑maily prichádzajúce z domén mimo firmy vždy označené značkou „EXTERNAL“.
Toto označenie by nepomohlo v prípade, ak by útočník vydávajúci sa za generálneho riaditeľa predstieral, že odosiela správu z jeho súkromnej adresy, no zíde sa pri rozpoznávaní e‑mailov s falošnou doménou (ako to bolo v prípade zamieňania písmena „m“ kombináciou „rn“).
Útočníci vás tiež môžu naviesť na to, aby ste klikli na škodlivú prílohu alebo odkaz, preto sa uistite, že máte nainštalované komplexné bezpečnostné riešenie, ktoré by malo túto hrozbu odhaliť a zablokovať.