Phishing – psychologická manipulácia

Na začiatku ničivých kybernetických útokov voči firmám je väčšinou zamestnanec, ktorý naletí na podvodný e-mail. Kým donedávna sa dali takéto správy pomerne jednoducho rozoznať, s nástupom nástrojov umelej inteligencie sa treba pripraviť na pokusy, ktoré budú takmer na nerozoznanie od le­gitímnej komunikácie. Na tému sa bližšie pozrel portál Bezpečne vo firme.

PHISHING AKO VSTUPNÁ BRÁNA PRE ÚTOK

Phishing je kybernetický podvod, pri ktorom sa útočníci snažia vylákať od obete prihlasovacie, pla­tobné alebo inak citlivé údaje. Takáto psychologická manipulácia môže mať rôzne podoby: od e-mailovej správy, ktorá cieli na tisícky ľudí až po presne ciele­né taktiky, pri ktorých útočníci našijú komunikáciu na mieru pre konkrétnu obeť.

Okrem odovzdania prístupu k systémom organizá­cií môžu útočníci prostredníctvom phishingu vy­mámiť od obetí finančné prostriedky či zaniesť pro­stredníctvom škodlivej prílohy do siete ransomvér alebo iný typ malvéru.

ČASTÉ ZNAKY PHISHINGOVÝCH PODVODOV

Phishing sa za uplynulé roky významne vyvinul. Ešte nedávno sa podvodné pokusy dali rýchlo od­haliť pre zlú gramatiku či vetnú skladbu. Útoční­ci však vďaka nástrojom umelej inteligencie ako ChatGPT dokážu aktuálne zostrojiť takmer doko­nalé pasce. Dávajte si pozor na nasledovné varov­né znaky:

1. Generické oslovenie môže naznačiť, že zločinci skúšajú podvod na mnohých používateľoch.
2. Žiadosť o osobné údaje indikuje, že niečo nie je v poriadku. Inštitúcie ako banka vás nikdy e-mailom neoslovia so žiadosťou o citlivé informácie.
3. Neočakávaná korešpondencia vám môže napovedať, že čelíte podvodu. Prečo vám píše doručovacia služba, keď ste si nič neobjednali?
4. Časový nátlak využívajú útočníci na vyvolanie rýchleho a nepremysleného konania.
5. Príliš lákavá ponuka často slúži ako návnada na krádež peňazí či vylákanie údajov.
6. Akýkoľvek odkaz v neočakávanej či nevyžiadanej správe signalizuje, že sa vás útočníci môžu snažiť dostať k škodlivému obsahu.
7. Zlá gramatika je v súčasnosti doménou podvodov, na ktorých si útočníci nedali príliš záležať.

E-MAILOVÝ PHISHING

E-mailový phishing je podľa spoločnosti ESET suverénne najčastejšie zachytávanou kybernetickou hrozbou na Slovensku. Útočníci sa pokúšajú získať od náhodných obetí dôverné informácie, ktoré môžu zneužiť na krádež peňazí alebo získanie prístupových údajov. Príkladom sú falošné e-maily vydávajúce sa za komunikáciu dôveryhodnej spoločnosti, napríklad banky, ktoré sa obete snažia naviesť na kliknutie na odkaz, na ktorom majú overiť údaje o svojom účte.

Phishing – psychologická manipulácia, môže pre firmu skončiť pohromou

SPEARPHISHING

V prípade spearphishingu kybernetickí zločinci cie­lia svoje pokusy na konkrétne organizácie, prípadne na špecifické skupiny. Takýto podvod s užším zame­raním dokáže pôsobiť omnoho presvedčivejšie. „Au­tori spearphishingových správ si svoje obete vopred podrobne zmapujú z informácií dostupných online a na základe získaných poznatkov nastavia komuni­káciu. Môžu napríklad zistiť, kedy a akou formou vy­braná firma vypláca finančné bonusy, a všetkým za­mestnancom v mene organizácie rozposlať e-mail, že ak chcú odmenu, majú vyplniť údaje na prilože­nom odkaze,“ varuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.

VISHING

Ďalší spôsob, ako sa môžu útočníci pokúsiť oklamať obeť, je prostredníctvom telefonátu. Útočníci sa predstavia napríklad ako zamestnanci banky alebo iných inštitúcií a snažia sa získať osobné údaje od svojich obetí. Na Slovensku rezonovali napríklad prípady imitovania technickej podpory Microsoftu či vládnych orgánov.

Znepokojivým trendom v oblasti telefonických pod­vodov je využívanie deepfake technológie. Útočníci dokážu prostredníctvom umelej inteligencie vy­generovať hlas tak, aby znel napríklad ako váš ob­chodný partner alebo nadriadený. Zamestnanci tak môžu konať v prospech útočníkov a myslieť si, že plnia príkazy svojho zamestnávateľa.

SMISHING

Okrem e-mailov a chatovacích aplikácií sú pre útoč­níkov stále mimoriadne obľúbeným médiom na podvody SMS správy. Kyberzločincom hrá do kariet, že ide o mimoriadne rozšírený spôsob komuniká­cie, ktorý vo väčšine prípadov nepodlieha takému dôkladnému zabezpečeniu ako e-maily.

Útočníci dokážu (aj v prípade telefonátov) prostred­níctvom techniky spoofing, maskovania čísla odo­sielateľa, zmeniť telefónne číslo tak, aby pripomína­lo legitímnu inštitúciu, prípadne aby sa ich správa zaradila do SMS vlákna od tejto inštitúcie.

FALOŠNÉ WEBOVÉ STRÁNKY

Cieľom podvodných e-mailov, správ v chate a SMS správ je v mnohých prípadoch priviesť obeť na fa­lošnú webovú stránku, ktorá sa vydáva za prihla­sovacie okno do nejakej služby alebo internetový obchod. ESET identifikoval v prvej polovici roka 2023 na Slovensku až 37-tisíc podvodných stránok. Najčastejšie imitovali e-mailové služby.

AKO CHRÁNIŤ ORGANIZÁCIU PRED PHISHINGOM?

Schopnosť firiem odolávať phishingu pozostáva z komplexného súboru opatrení, ktorý v sebe skĺbi technické aj netechnické parametre:

• Budovanie povedomia zamestnancov o phishin­gových nástrahách prostredníctvom pravidelných a in- teraktívnych školení.
• Nasadiť na všetky koncové zariadenia kvalitné bez­pečnostné riešenie s funkciou Anti-Phishing, ktorá dokáže úspešne blokovať podvodné e-maily. Nástroj ESET Mail Security zas dokáže odchytiť spam a mal­vér na serverovej úrovni ešte predtým, ako sa dosta­ne do e-mailových schránok používateľov.
• Nastavte jasné označenie pre e-mailovú komuni­káciu, ktorá pochádza zvonka vašej organizácie.
• Nezverejňujte o svojej organizácii respektíve o za­mestnancoch nadbytočné informácie.

Viac tipov nájdete na webovej stránke Bezpečne vo firme.

foto: Shutterstock