Najslabším článkom vo firme je vždy človek. To je asi najzákladnejšie pravidlo kybernetickej bezpečnosti. Môžete mať akokoľvek sofistikované technologické riešenie, ale vo chvíli, keď sa útočníkom podarí presvedčiť zamestnanca, aby im kliknutím na škodlivý odkaz alebo otvorením zavírovanej prílohy e‑mailu nevedomky otvoril dvere do vašej spoločnosti, všetka technologická ochrana je zbytočná.

Manipulatívne techniky sociálneho inžinierstva, ktoré zneužívajú ľudskú psychiku, sú navyše z roka na rok sofistikovanejšie – a vďaka pokrokom v umelej inteligencii je čoraz ťažšie útoky kyberpodvodníkov rozpoznať.

Stále najrozšírenejším typom je phishing, ale existujú aj podvody cez falošný telefonát alebo SMS správy. Čoraz častejšie sa objavujú aj útoky využívajúce deepfake technológiu – napríklad falošné hlasové správy alebo videá, ktoré imitujú hlas či tvár nadriadeného a presvedčia zamestnanca k prevodu peňazí alebo poskytnutiu prístupových údajov.

Práve kombinácia AI, presvedčivého scenára a dôvery v autoritu robí z týchto útokov čoraz väčšiu hrozbu.

Jedinou efektívnou ochranou proti sociálnemu inžinierstvu je vzdelávanie zamestnancov. Preškolený personál, ktorý vie, aké techniky hackeri používajú alebo ako rozpoznať phishingový e‑mail, je najlepším spôsobom, ako ochrániť vašu firmu pred kybernetickým útokom.

Ako ľahko je nachytať zamestnanca falošným e‑mailom a čo všetko môže spôsobiť jediný neopatrný klik? Jeden z našich klientov sa chcel presvedčiť, aká odolná je jeho firma proti sociálnemu inžinierstvu. Výsledky boli prekvapivé.

Otestovať zamestnancov, zabezpečenie aj interný SOC

Zákazník nás oslovil so zadaním na simulovaný phishingový útok s cieľom otestovať tri dôležité súčasti ochrany pred potenciálnymi kybernetickými rizikami:

1. povedomie zamestnancov v oblasti sociálneho inžinierstva,
2. nastavenie zabezpečenia mailových serverov spoločnosti,
3. reakciu interného SOC tímu na tento typ útoku.

Pre tieto ciele sme sa rozhodli spustiť kombinovaný simulovaný útok vishingom a phishingom. Teda využitie falošných e‑mailov aj telefonátov. Vďaka našim viac ako desaťročným skúsenostiam aj znalostiam o aktuálnych kybernetických hrozbách, technológiách útočníkov a správaní obetí sme boli schopní nasimulovať útok presne tak, ako by ho vykonali skutoční hackeri.

Ako prebieha simulovaný hackerský útok?

Pred samotným spustením kampane sme sa dôkladne pripravili a vytvorili potrebnú podvodnú infraštruktúru aj scenáre pre jednotlivé typy útokov.

Phishing | Získanie citlivých informácií prostredníctvom podvodného e‑mailu

Pre vykonanie phishingového útoku sme si zaregistrovali doménové meno, ktoré bolo veľmi podobné doméne nášho klienta. Pod touto adresou sme následne vytvorili:
    •    falošnú webovú stránku, ktorá bola dizajnom na nerozoznanie od webu klienta,
    •    4 podvodné e‑mailové účty,
    •    podvrhnutú e‑mailovú šablónu s rovnakým vzhľadom.

Vishing | Získanie citlivých informácií prostredníctvom falošného telefonátu

Pre telefonické oslovovanie zamestnancov sme dostali kontakty na päťdesiatku zamestnancov a pomocou metódy OSINT sme o nich získali maximum informácií. Open‑Source Intelligence je proces zberu a analýzy verejne dostupných informácií z rôznych zdrojov, ako sú webové stránky, sociálne siete, databázy či zmienky v médiách. Vďaka týmto informáciám je potom následný útok cielenejší a presvedčivejší. Následne sme:
    •    zaistili službu na vytvorenie spoofingu (podvodného zneužitia čísla volajúceho),
    •    pripravili telefonické scenáre útokov.

Počas samotnej kampane simulujúcej útok sme telefonicky kontaktovali zamestnancov spoločnosti a vydávali sa za ich kolegov z IT oddelenia. Požiadali sme ich, či by nám nepomohli vyriešiť problém s ich zariadením a pokúsili sa ich manipulatívnymi stratégiami sociálneho inžinierstva presvedčiť k vykonaniu nebezpečných aktivít, ktoré vedú napríklad k spusteniu škodlivého softvéru.

Počas telefonátu sme im z podvrhnutej e‑mailovej adresy poslali phishingový e‑mail, ktorý vyzeral ako skutočný interný e‑mail.

„Množstvo zamestnancov firiem podobný nebezpečný e‑mail otvorí, čo vedie k nemalým škodám. Napríklad 58 % organizácií utrpelo v roku 2023 prevzatie účtov, z ktorých 79 % pochádzalo z prihlasovacích údajov získaných prostredníctvom phishingu,“ komentuje štatistiky Tomáš Zatko, CEO spoločnosti Citadelo.

Cieľom útočníka bolo naviesť zamestnanca, aby sa z e‑mailu preklikol na falošnú webovú stránku, kde zadal svoje osobné údaje, v tomto prípade e‑mailovú adresu. Ďalšou simuláciou bolo spustenie potenciálne nebezpečného príkazu zamestnancom na firemnom počítači.

Výsledky kampane alebo prečo silná bezpečnostná konfigurácia nestačí

Aj napriek tomu, že v tomto podniku už prebehlo testovanie zamestnancov, ukázalo sa, že nie je vhodné podobné útoky podceňovať. Tých, ktorí sa nachytali, bolo prekvapivo veľa.

Overenie bezpečnostného povedomia zamestnancov v oblasti sociálneho inžinierstva

Ako reagovali zamestnanci firmy? Náš test potvrdil fakt spomenutý v úvode, že človek je v ochrane pred kybernetickými útokmi tým najslabším článkom. Z päťdesiatky oslovených zamestnancov sa 36 % z nich nechalo našimi etickými hackermi naviesť až k spusteniu nebezpečného príkazu. Útočníkovi pritom často stačí, aby nachytal len jednu obeť.

To je dôkazom, že viac ako tretina zamestnancov je vážne ohrozená podobnými útokmi. A, žiaľ, nejde o ojedinelý prípad – takéto vysoké číslo je skôr pravidlom než výnimkou.

Celkové riziko: Kritické

Otestovanie zabezpečenia a konfigurácie e‑mailových serverov spoločnosti

Potom, čo sme do spoločnosti poslali podvrhnuté e‑maily, na serveroch prebehla kontrola dôveryhodnosti domény, parametrov a obsahu e‑mailu, ktoré podobné e‑maily detegujú alebo nepustia cez spam filter k príjemcovi.

Napriek tomu, že spoločnosť mala obstojnú bezpečnostnú konfiguráciu poštového servera, podarilo sa nám phishingové e‑maily doručiť do schránok príjemcov.

Celkové riziko: Stredné

Overenie reakcie interného SOC tímu na tento typ útoku

Spoločnosť klienta má vlastné bezpečnostné centrum (Security Operations Center – SOC), ktorého úlohou je včas reagovať na podobné útoky a predchádzať ďalším rizikám a škodám. Napriek tomu sme boli schopní kontaktovať zamestnancov a presvedčiť ich k nasledovaniu našich inštrukcií a nebezpečným aktivitám na ich počítači.

Celkové riziko: Stredné

Význam pravidelných školení a testovania v kyberbezpečnosti

Podobným útokom a ich vážnym následkom či finančným stratám je možné predchádzať pravidelným vzdelávaním, testovaním a auditmi.

Účinnosť kybernetickej obrany však často stojí a padá na samotných zamestnancoch, ktorí podobné útoky rozpoznajú a nahlásia, vďaka čomu môže bezpečnostné oddelenie zablokovať podvrhnuté e‑mailové adresy a webové stránky.

Nepodceňte situáciu vo svojej spoločnosti a ochráňte svoje podnikanie pred rastúcimi a čoraz premyslenejšími kybernetickými útokmi. Pomôcť vám v tom môže Tomáš Horváth.

Záverom by sme radi poďakovali všetkým klientom, ktorí sa spolu s nami vydali na cestu šírenia edukácie v oblasti rizík v kybernetickom priestore a dôležitosti etického hackingu prostredníctvom zdieľania svojho autorizovaného príbehu. Veľmi si to vážime.