Nejslabším článkem ve firmě je vždycky člověk. To je asi nejzákladnější pravidlo kybernetické bezpečnosti. Můžete mít sebesofistikovanější technologické řešení, ale ve chvíli, kdy se útočníkům podaří přesvědčit zaměstnance, aby jim kliknutím na nakažený link nebo otevřením zavirované přílohy e-mailu nevědomky otevřel dveře do vaší společnosti, veškerá technologická ochrana je k ničemu.

Manipulativní techniky sociálního inženýrství, které zneužívají lidské psychiky, jsou navíc rok od roku sofistikovanější – díky pokrokům v umělé inteligenci je čím dál těžší útoky kyberpodvodníků rozpoznat. 

Stále nejrozšířenějším typem je phishing, ale existují i podvody přes falešný telefonát nebo SMS zprávy. Čím dál častěji se objevují také útoky využívající deepfake technologii – například falešné hlasové zprávy nebo videa, která imitují hlas či tvář nadřízeného a přesvědčí zaměstnance k převodu peněz nebo poskytnutí přístupových údajů. 

Právě kombinace AI, přesvědčivého scénáře a důvěry v autoritu dělá z těchto útoků stále větší hrozbu.

Jedinou efektivní ochranou proti sociálnímu inženýrství je vzdělávání zaměstnanců. Proškolený personál, který ví, jaké techniky hackeři používají nebo jak poznat phishingový e-mail, je nejlepším způsobem, jak ochránit vaši firmu před kybernetickým útokem. 

Jak snadné je nachytat zaměstnance falešným e-mailem a co všechno může způsobit jediný neopatrný klik? Jeden z našich klientů se chtěl přesvědčit o tom, jak je jeho firma odolná proti sociálnímu inženýrství. Výsledky byly překvapivé.

Otestovat zaměstnance, zabezpečení i interní SOC

Zákazník nás oslovil se zadáním na simulovaný phishingový útok s cílem otestovat tři důležité součásti ochrany před potenciálními kybernetickými riziky:

1. povědomí zaměstnanců v oblasti sociálního inženýrství,
2. nastavení zabezpečení mailových serverů společnosti,
3. reakci interního SOC týmu na tento typ útoku.

Pro tyto cíle jsme se rozhodli spustit kombinovaný simulovaný útok vishingem a phishingem. Tedy využití falešných e-mailů i telefonátů. Díky našim více jak desetiletým zkušenostem i znalostem o aktuálních kybernetických hrozbách, technologiích útočníků i chování obětí, jsme byli schopní nasimulovat útok přesně tak, jako by ho provedli skuteční hackeři.

Jak probíhá simulovaný hackerský útok? 

Před samotným spuštěním kampaně jsme se důkladně připravili a vytvořili potřebnou podvodnou infrastrukturu i scénáře pro jednotlivé typy útoků.

Phishing | Získání citlivých informací prostřednictvím podvodného e-mailu

Pro provedení phishingového útoku jsme si zaregistrovali doménové jméno, které bylo velmi podobné doméně našeho klienta. Pod touto adresou jsme následně vytvořili:

• falešnou webovou stránku která byla designem k nerozeznání od webu klienta,
• 4 podvodné e-mailové účty,
• podvrhnutou e-mailovou šablonu, také se stejným vzhledem.

Vishing | Získání citlivých informací prostřednictvím falešného telefonátu

Pro telefonické oslovování zaměstnanců jsme dostali kontakty na padesátku zaměstnanců a za pomocí metody OSINT jsme o nich získali maximální množství informací. Open-Source Intelligence je proces sběru a analýzy veřejně dostupných informací z různých zdrojů, jako jsou webové stránky, sociální sítě, databáze či zmínky v médiích. Díky těmto informacím je pak následný útok cílenější a přesvědčivější. Následně jsme:

• zajistili službu pro vytvoření spoofing (podvodné zneužití čísla volajícího),
• a připravili telefonické scénáře útoků. 

Během samotné kampaně simulující útok jsme telefonicky kontaktovali zaměstnance společnosti a vydávali se za jejich kolegy z IT oddělení. Požádali jsme je o to, jestli by nám nepomohli vyřešit problém s jejich zařízením a pokusili se je manipulativními strategiemi sociálního inženýrství přesvědčit k provedení nebezpečných aktivit, které vedou například ke spuštění škodlivého softwaru. 

Během telefonátu jsme jim z podvržené e-mailové adresy poslali phishingový e-mail, který vypadal jako skutečný interní e-mail.

 "Množství zaměstnanců firem podobný nebezpečný e-mail otevře, což vede k nemalým škodám. Například 58 % organizací utrpělo v roce 2023 převzetí účtů, z nichž 79 % pocházelo z přihlašovacích údajů získaných prostřednictvím phishingu," komentuje statistiky Tomáš Zatko, CEO společnosti Citadelo.

Cílem útočníka bylo navést zaměstnance, aby se z e-mailu prokliknul na falešnou webovou stránku, kde zadal své osobní údaje, v tomto případě e-mailovou adresu. Dalším simulací bylo spuštění potenciálně nebezpečného příkazu zaměstnancem na firemním počítači.

Výsledky kampaně aneb proč silná bezpečnostní konfigurace nestačí

I přesto, že se v tomto podniku nejednalo o první testování zaměstnanců, ukázalo se, že není vhodné podobné útoky podceňovat. Těch, co se nachytali, bylo překvapivě hodně.

 Prověření bezpečnostního povědomí zaměstnanců v oblasti sociálního inženýrství

Jak reagovali zaměstnanci firmy? Náš test potvrdil fakt zmiňovaný v úvodu, že člověk je v ochraně před kybernetickými útoky tím nejslabším článkem. Z padesátky oslovených zaměstnanců se 36 % z nich nechalo našimi etickými hackery navést až ke spuštění nebezpečného příkazu. Útočníkovi přitom častokrát stačí, aby nachytal jen jednu oběť.

Jde tedy o doklad toho, že více než třetina zaměstnanců je vážně ohrožena podobnými útoky. A bohužel nejde o ojedinělý případ, takto vysoké číslo je spíše pravidlem, než výjimkou.

Celkové riziko: Kritické 

Otestování zabezpečení a konfigurace e-mailových serverů společnosti

Poté, co jsme do společnosti poslali podvržené e-maily, na serverech proběhla kontrola důvěryhodnosti domény, parametrů a obsahu e-mailu, které podobné e-maily detekují nebo nepustí přes spam filter k příjemci.

Přestože měla společnost obstojnou bezpečnostní konfiguraci poštovního serveru, podařilo se nám phishingové e-maily doručit do schránek příjemců.

Celkové riziko: Střední

Prověření reakce interního SOC týmu na tento typ útoku

Společnost klienta má své vlastní bezpečnostní centrum (Security Operations Center, neboli SOC), jehož úkolem je včas reagovat na podobné útoky a předcházet dalším rizikům a škodám. Přesto jsme byli schopní kontaktovat zaměstnance a přesvědčit je k následování našich instrukcí a nebezpečným aktivitám na jejich počítači.

Celkové riziko: Střední

Význam pravidelných školení a testování v kyberbezpečnosti

Podobným útokům a jejich vážným následkům či finančním ztrátám je přitom možné předcházet pravidelným vzděláváním, testováním a audity.

Účinnost kybernetické obrany však často stojí a padá na samotných zaměstnancích, kteří podobné útoky rozpoznají a nahlásí, díky čemuž může bezpečnostní oddělení zablokovat podvržené emailové adresy a webové stránky.

Nepodceňte situaci ve své společnosti a ochraňte své podnikání před rostoucími a stále promyšlenějšími kybernetickými útoky. Pomoci vám v tom může Tomáš Horváth.

Závěrem bychom rádi poděkovali všem klientům, kteří se spolu s námi vydali na cestu šíření edukace v oblasti rizik v kybernetickém prostoru a důležitosti etického hackingu prostřednictvím sdílení svého autorizovaného příběhu. Velmi si toho ceníme.