Jak chránit firmu před Phishingovými útoky?
V současné digitální době se kybernetické útoky stávají stále častější realitou, která ohrožuje nejen velké korporace, ale čím dál častěji také malé a střední podniky. Tyto menší firmy se často mylně domnívají, že nejsou dostatečně atraktivním cílem pro kybernetické zločince, což je však zásadní omyl. Právě naopak - menší firmy často disponují slabší kybernetickou ochranou a jejich zaměstnanci nebývají dostatečně proškoleni v oblasti kybernetické bezpečnosti, což je činí ideálními oběťmi pro různé typy útoků. Z celého spektra kybernetických hrozeb, které dnes existují, patří phishingové útoky mezi ty absolutně nejčastější a zároveň nejúspěšnější metody, kterými se podvodníci snaží získat přístup k citlivým firemním datům a systémům. Statistiky ukazují, že právě přes phishing dochází k naprosté většině počátečních průniků do firemních sítí, které pak mohou vést ke katastrofálním následkům včetně úniku dat, finančních ztrát nebo kompletního ochromení provozu společnosti.
Co přesně je phishingový útok a jak funguje
Phishingový útok představuje sofistikovanou formu kybernetického podvodu, při kterém se útočník velmi rafinovaně vydává za důvěryhodnou instituci, se kterou má oběť pravidelný kontakt nebo které důvěřuje. Nejčastěji se jedná o napodobování bank, státních institucí, známých firem, obchodních partnerů nebo dokonce kolegů a nadřízených z vlastní společnosti. Cílem útočníka je pomocí této falešné identity vylákat z protistrany maximální množství citlivých údajů o firmě, především pak přístupová hesla do různých internetových systémů, které firma využívá pro svůj každodenní provoz. Mezi další vyhledávané informace patří čísla bankovních účtů, přihlašovací údaje k firemním e-mailovým schránkám, přístupy do účetních systémů, informace o firemní struktuře a procesech, ale také osobní údaje zaměstnanců. Útočníci přitom velmi obratně využívají různé techniky psychologické manipulace, kdy na oběť vyvíjejí enormní časový tlak a vytvářejí atmosféru naléhavé situace, která vyžaduje okamžité jednání. Velmi často hrozí různými sankcemi, pokutami, blokací účtu nebo jinými negativními důsledky, pokud adresát nezareaguje ihned a neprovede požadovanou akci, což má za cíl vypnout racionální uvažování oběti a donutit ji jednat unáhleně bez řádného ověření situace.
Mnoho podob moderního phishingu
V dnešní době již phishing rozhodně neprobíhá pouze prostřednictvím tradičních e-mailových zpráv, jak tomu bylo v počátcích tohoto typu útoků. Moderní útočníci využívají prakticky všechny dostupné komunikační kanály a neustále hledají nové způsoby, jak oslovit potenciální oběti tam, kde to nejméně očekávají. S phishingovými pokusy se tak můžeme setkat v běžných SMS zprávách, které se tváří jako upozornění od banky nebo kurýrní služby. Velice rozšířené jsou také útoky přes různé messengery a komunikační aplikace jako WhatsApp, Facebook Messenger, Telegram či LinkedIn, kde útočníci zneužívají důvěryhodnost osobní komunikace. Stále častější jsou také telefonní hovory, při kterých se podvodníci vydávají za pracovníky banky, technické podpory nebo státních institucí - tento typ útoku se označuje jako vishing (voice phishing). S rozvojem moderních technologií přibývají i video hovory, kde útočníci někdy dokonce využívají deepfake technologie k napodobení hlasu nebo tváře důvěryhodné osoby. Posledním trendem, který rychle nabírá na popularitě, jsou falešné QR kódy umístěné na veřejných místech, restauračních stolech nebo zasílané v e-mailech, které po naskenování odvádějí oběť na podvodné webové stránky nebo stahují do zařízení malware. Tato různorodost útoků znamená, že zaměstnanci musí být obezřetní na všech frontách, nejen při práci s e-mailem.
Klíčová role školení zaměstnanců v ochraně firmy
Základ účinné ochrany před phishingovými útoky spočívá především v průběžném, systematickém a pravidelně opakovaném školení všech zaměstnanců bez výjimky, protože i jediný neopatrný pracovník může ohrozit celou firmu. Nestačí přitom jednorázové proškolení při nástupu do zaměstnání, ale je naprosto nezbytné pravidelně opakovat a aktualizovat znalosti, protože metody útočníků se neustále vyvíjejí a zdokonalují. Zaměstnanci musí být schopni rozpoznat podezřelé situace a phishingový pokus odhalit ještě dříve, než dojde ke vzniku jakékoliv škody nebo úniku informací. Pracovníci na všech úrovních firemní hierarchie musí jednoznačně a zcela jasně vědět, na co konkrétně se mají při každodenní práci soustředit, jaké varovné signály by je měly upozornit na potenciální nebezpečí a především jak by měli v podezřelé situaci správně jednat. Bohužel realita v mnoha menších firmách, které nemají dedikovaného IT specialistu nebo bezpečnostního manažera, bývá taková, že zaměstnanci často ani nedokážou správně rozeznat podvrženou přílohu v e-mailu od legitimní, nepoznají falešný přihlašovací formulář od skutečného, a mnohdy dokonce vůbec netuší nebo si neuvědomují, jaké konkrétní informace o firmě nebo klientech nesmějí za žádných okolností sdílet po telefonu s neověřenou osobou. Celá situace se pak bohužel začíná řešit až ve chvíli, kdy již k útoku skutečně došlo a kdy už je často pozdě na zvrácení způsobených škod, což může vést k devastujícím důsledkům pro celou organizaci.
Praktické zásady obezřetného chování
Základní kámen ochrany před phishingovým útokem tkví v přirozené obezřetnosti každého jednotlivého pracovníka a v jeho schopnosti včas se kriticky zamyslet nad situací, do které se dostal. Zaměstnanec by se měl vždy pozastavit nad neobvyklou naléhavostí zprávy nebo požadavku a ptát se sám sebe, zda je skutečně normální a běžné, aby daná záležitost vyžadovala tak urgentní řešení bez možnosti jejího ověření. Měl by si klást otázku, zda komunikace, která mu přišla, odpovídá standardnímu způsobu, jakým daná instituce nebo firma běžně jedná se svými klienty, zákazníky nebo obchodními partnery. Před unáhleným otevřením jakéhokoliv odkazu nebo připojeného souboru ve zprávě, která přišla e-mailem, SMS nebo přes messenger, je naprosto nezbytné tyto prvky důkladně zkontrolovat. Je dobré najet kurzorem myši na odkaz bez kliknutí a podívat se do spodní lišty prohlížeče, kam skutečně vede, nebo zkontrolovat příponu souboru, zda není podezřelá. Podle doporučení odborníků na kybernetickou bezpečnost je v případě jakékoliv pochybnosti nejlepší kontaktovat domnělého odesílatele zprávy nebo volajícího úplně jiným způsobem než tím, kterým s vámi navázal kontakt. Ideálním příkladem bezpečného ověření může být osobní návštěva pobočky instituce, za jejíhož zástupce se potenciální podvodník vydává, přímá návštěva oficiální webové stránky dané společnosti zadáním adresy přímo do prohlížeče (nikoliv přes odkaz v e-mailu), nebo telefonát na veřejně dostupnou infolinku, jejíž číslo si sami najdete na oficiálních stránkách. Naprosto zásadní pravidlo je, že je nutné nepouštět se do podrobné komunikace s možným útočníkem a v případě sebemenších pochybností tuto komunikaci radikálně utnout ještě předtím, než dojde k předání jakýchkoliv citlivých údajů. Pokud si pracovník není jistý legitimností situace, je nejen vhodné, ale přímo povinné nestydět se přiznat svou nejistotu a situaci co nejrychleji konzultovat se svým přímým nadřízeným a především s IT odborníkem nebo osobou zodpovědnou za kybernetickou bezpečnost ve firmě, aby se společnými silami podařilo problému účinně předejít.
Technická ochrana jako doplněk lidského faktoru
Kromě důkladného vzdělávání zaměstnanců, které tvoří první a nejdůležitější linii obrany, je naprosto zásadní implementovat také komplexní technickou ochranu na úrovni celé firemní IT infrastruktury. Kvalitní antispamová ochrana na úrovni e-mailového serveru dokáže vyfiltrovat velkou část phishingových e-mailů ještě předtím, než se vůbec dostanou do schránky zaměstnance, což výrazně snižuje riziko lidské chyby. Stejně důležitá je robustní antimalwarová ochrana na všech koncových zařízeních včetně počítačů, notebooků, tabletů a chytrých telefonů, která dokáže odhalit a zablokovat škodlivý software stažený z phishingových stránek. Pravidelné aktualizace veškerého software a operačních systémů jsou kritické, protože uzavírají bezpečnostní díry, které by útočníci mohli zneužít pro získání přístupu do systému. Včasná náhrada zastaralého software, pro který již výrobce neposkytuje bezpečnostní záplaty, je investicí, která se rozhodně vyplatí. Nasazení vícefaktorové autentizace pro přístup ke všem důležitým systémům představuje další významnou bariéru - i pokud útočník získá přístupové heslo, bez druhého faktoru (například kódu z mobilní aplikace) se do systému nedostane. V neposlední řadě je klíčovou záležitostí také implementace rozsáhlého a pravidelného zálohování všech důležitých firemních dat, ideálně podle pravidla 3-2-1, tedy tři kopie dat na dvou různých médiích s jednou kopií uloženou mimo hlavní pracoviště, což zajistí, že i v nejhorším případě úspěšného útoku bude možné data obnovit a minimalizovat prostoje firmy.
