Poslední měsíce pozorujeme vzrůstající důraz na digitalizaci firemního prostředí, což vede k tomu, že i o problematice phishingu slýcháme čím dál hlasitěji. A to nejen od bezpečnostních specialistů a odborných skupin, ale také z mediálního prostoru. Firmy si tak čím dál více uvědomují, že jejich největším aktivem jsou právě informace v digitální podobě. Díky nim mohou získat konkurenční výhodu, utajované informace nebo se správně rozhodnout. Pozorujeme tak zvýšený zájem o vhodné řešení kybernetické bezpečnosti a ochrany jejich dat i digitální identity.
Phishing se řadí mezi formy útoku sociálního inženýrství. Ty spočívají v klamání a zneužívání lidského faktoru k prolomení zabezpečení a získání citlivých informací jako jsou přihlašovací údaje, data o zákaznících a klientech nebo přímo finančních prostředků. A právě o phishingu můžeme dnes slyšet jako o jednom z nejčastějších typů kybernetických útoků.
V češtině se pro phishing používá i termín rybaření. Jedná se totiž o lehkou zkomoleninu anglického slova fishing znamenajícího právě rybaření. Zde můžeme sledovat analogii s rybářem, který hodí háček s návnadou a doufá, že se na něj ryba chytí. Obdobně kyberútočník doufá, že se oběť chytí na jím vytvořenou neodolatelnou návnadu, a on tak získá požadovaná data.
Podle odborných skupin sledujících celosvětovou phishingovou aktivitu se jeho úspěšnost pohybuje okolo 5 %. Statistická data ukazují, že existují organizované skupiny, které se na tyto útoky specializují. Mluví o phishingu jako o jednom z nejorganizovanějších a nejvýnosnějších zločinů 21. století. Celosvětově má s úspěšným phishingovým útokem zkušenost 57 % organizací. Phishing se stal dle výročního reportu FBI z roku 2020 nejčastěji nahlašovaným kybernetickým útokem s celkovou škodou v řádech stovek milionů amerických dolarů. Veřejně známé jsou případy úspěšných phishingových útoků na společnosti Snapchat, Facebook, WhatsApp, UPS a další. |
Různé druhy phishingu pozorujeme již desítky let, a i přes jeho relativní jednoduchost a mnohdy i nápadnost, se jedná o útok často velmi účinný. Prakticky každý se dnes s určitou formou phishingu už někdy setkal. Phishing v prostředí internetu nerozlišuje mezi běžným uživatelem, korporátním zaměstnancem či dokonce vysoce postaveným státním zaměstnancem. V určitých chvílích je totiž pro útočníky mnohem jednodušší a levnější soustředit se při svých útocích na překonání obyčejného lidského faktoru a místo snahy o prolomení sofistikovaných bezpečnostních technologií si o citlivé informace jednoduše říct.
Phishing využívá známých situací, kdy útočník prostřednictvím klamu chce od uživatele, jako nejslabšího článku firemního zabezpečení, získat cenné informace nebo rovnou finance. Útoky se stávají úspěšnými díky využití psychologických triků a manipulací, často spojených s časovým tlakem, což vede oběť k porušení bezpečnostních pravidel firmy. Jsou tak obtížně identifikovatelné a lze se proti nim těžko bránit. Oběť například prakticky automaticky vyřídí mezi běžnými e-maily také e-mail podvodný, sdělí citlivé informace během obyčejně znějícího telefonního hovoru nebo podlehne jiným, sofistikovanějším formám phishingového útoku.
Jak phishing funguje?
Phishing využívá primárně zranitelnosti člověka, ne systému. Jeho podstatou je snaha získat citlivé informace od nic netušící oběti, které mohou útočníci následně zneužít. Příkladem jsou třeba přihlašovací údaje, údaje o kreditní kartě a další osobní údaje vedoucí ke krádeži digitální identity. Později tato data zneužijí nebo v kombinaci s útoky typu ransomware (je připojen k 9 z 10 phishingových e-mailů) uživateli zablokují přístup k jeho datům a následně vyžadují výkupné za jejich odšifrování.
Na počátku phishingových útoků nebylo těžké uživatele oklamat jednoduchými a často na první pohled pochybnými e-maily. Ač by se mohlo zdát, že na takové léčky museli skočit pouze velmi naivní jedinci, bohužel jich, v globálním množství rozeslaného phishingu, nebylo málo. Tato doba dobře ilustrovala fakt, že část úspěchu phishingu je založena na důvěřivosti lidí.
Phishing se ale v průběhu let radikálně mění a dnes můžeme sledovat mnohdy velmi personifikované útoky za využití všech dostupných dat, která o sobě uživatelé internetu vědomě i nevědomě sdílí. Takové útoky jsou vizuálně prakticky bezchybné, používají správnou gramatiku a mají cílený a přesvědčivý obsah jak z hlediska technického, tak i psychologického.
Můžeme vidět, že phishing, často kombinovaný s malwarem, představuje pro organizace všeho druhu a velikostí jedno z největších nebezpečí. Ač by se mohlo zdát, že útočníci budou cílit na ty největší organizace, skutečnost je jiná. Nikdo není tak malý, aby nebyl zajímavý, a bez dat se dnes neobejde již prakticky žádná společnost. Malé a střední organizace navíc často nemají takové bezpečnostní povědomí jako velké firmy, a tak jsou pro útočníky snazším cílem. Proto i nadále budeme pozorovat boj mezi útočníky a organizacemi vytvářející protiopatření všeho druhu.
K digitální bezpečnosti přistupujeme komplexně. Našim zákazníkům proto nabízíme i různé edukační platformy pro vždělávání zaměstnanců v oblasti kyberbezpečnosti. Pomáhají šířit povědomí o aktuálních kyberhrozbách a metodách sociálního inženýringu, a doplňují tak bezpečnostní politiku firem o další úroveň zabezpečení. Kromě neustálé edukace zaměstnanců je primárním nástrojem v boji proti phishingu ochrana e-mailu pomocí služby O2 Antispam. Jde o ochranu koncového uživatele, ke kterému se phishingový e-mail ani nedostane. Ideální je pak kombinace proti pokročilým hrozbám v podobě sandboxingu. Dále je vhodné zajistit ochranu serverové infrastruktury a tím zamezit či zmenšovat dopadovou plochu případného útoku. Vhodným nástrojem není jen sofistikovaný antispamový engine, ale i zajištění perimetru sítě v podobě O2 NGFW Firewallu, který následně kontroluje provoz a spojení „do“, ale i „ze“ sítě. Firewall s „Next generation funkcionalitami“ je pak schopen zamezit nežádoucím spojením, které by jinak mohli navázat další nežádoucí spojení a fáze kybernetického útoku. |
Ing. Jonáš Jandák, ICT Security Specialista
Pracuje v O2 druhým rokem a zaměřuje se na rozvoj bezpečnostních služeb. Předtím působil v prostředí automotive, kde řešil podnikové IT včetně zabezpečení v souladu se standardy a legislativou. Vystudoval fakultu Informatiky a statistiky VŠE se zaměřením na Security management v rámci informačních systémů a technologií. Při řešení problémů nezapomíná na své počátky, které provázela záliba ve zkoumání a „hraní“ si se vším, co se pojí k moderním technologiím, což přináší někdy nečekané ale funkční a inovativní pohledy s cílem co nejlépe pomoct zákazníkovi.