Vyhľadať
Close this search box.

MENU

Phishing – psychologická manipulácia, ktorá môže pre firmu skončiť pohromou

Na začiatku ničivých kybernetických útokov voči firmám je väčšinou zamestnanec, ktorý naletí na podvodný e-mail. Kým donedávna sa dali takéto správy pomerne jednoducho rozoznať, s nástupom nástrojov umelej inteligencie sa treba pripraviť na pokusy, ktoré budú takmer na nerozoznanie od legitímnej komunikácie. Na tému sa bližšie pozrel portál Bezpečne vo firme.  

Phishing ako vstupná brána pre útok

Phishing je kybernetický podvod, pri ktorom sa útočníci snažia vylákať od obete prihlasovacie, platobné alebo inak citlivé údaje. Takáto psychologická manipulácia môže mať rôzne podoby, od e-mailovej správy, ktorá cieli na tisícky ľudí až po presne cielené taktiky, pri ktorých útočníci našijú komunikáciu na mieru pre konkrétnu obeť. Okrem odovzdania prístupu k systémom organizácií môžu útočníci prostredníctvom phishingu vymámiť od obetí finančné prostriedky či zaniesť prostredníctvom škodlivej prílohy do siete ransomvér alebo iný typ malvéru.

Časté znaky phishingových podvodov

Phishing sa za uplynulé roky významne vyvinul. Ešte nedávno sa podvodné pokusy dali rýchlo odhaliť pre zlú gramatiku či vetnú skladbu. Útočníci však vďaka nástrojom umelej inteligencie ako ChatGPT dokážu aktuálne zostrojiť takmer dokonalé pasce. Dávajte si pozor na nasledovné varovné znaky:

  1. Generické oslovenie môže naznačiť, že zločinci skúšajú podvod na mnohých používateľoch.
  2. Žiadosť o osobné údaje indikuje, že niečo nie je v poriadku. Inštitúcie ako banka vás nikdy e-mailom neoslovia so žiadosťou o citlivé informácie.
  3. Neočakávaná korešpondencia vám môže napovedať, že čelíte podvodu. Prečo vám píše doručovacia služba, keď ste si nič neobjednali?
  4. Časový nátlak využívajú útočníci na vyvolanie rýchleho a nepremysleného konania.
  5. Príliš lákavá ponuka často slúži ako návnada na krádež peňazí či vylákanie údajov.
  6. Akýkoľvek odkaz v neočakávanej či nevyžiadanej správe signalizuje, že sa vás útočníci môžu snažiť dostať k škodlivému obsahu.
  7. Zlá gramatika je v súčasnosti doménou podvodov, na ktorých si útočníci nedali príliš záležať.


E-mailový phishing

E-mailový phishing je podľa spoločnosti ESET suverénne najčastejšie zachytávanou kybernetickou hrozbou na Slovensku. Útočníci sa pokúšajú získať od náhodných obetí dôverné informácie, ktoré môže zneužiť na krádež peňazí alebo získanie prístupových údajov. Príkladom sú falošné e-maily vydávajúce sa za komunikáciu dôveryhodnej spoločnosti, napríklad banky, ktoré sa obete snažia naviesť na kliknutie na odkaz, na ktorom majú overiť údaje o svojom účte.

Spearphishing

V prípade spearphishingu kybernetickí zločinci cielia svoje pokusy na konkrétne organizácie, prípadne na špecifické skupiny. Takýto podvod s užším zameraním dokáže pôsobiť omnoho presvedčivejšie.

„Autori spearphishingových správ si svoje obete vopred podrobne zmapujú z informácií dostupných online a na základe získaných poznatkov nastavia komunikáciu. Môžu napríklad zistiť, kedy a akou formou vybraná firma vypláca finančné bonusy, a všetkým zamestnancom v mene organizácie rozposlať e-mail, že ak chcú odmenu, majú vyplniť údaje na priloženom odkaze,“ varuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.

Vishing

Ďalším spôsobom, ako sa môžu útočníci pokúsiť oklamať obeť, je prostredníctvom telefonátu. Útočníci sa predstavia napríklad ako zamestnanci banky alebo iných inštitúcií a snažia sa získať osobné údaje od svojich obetí. Na Slovensku rezonovali napríklad prípady imitovania technickej podpory Microsoftu či vládnych orgánov.

Znepokojivým trendom v oblasti telefonických podvodov je využívanie deepfake technológie. Útočníci dokážu prostredníctvom umelej inteligencie vygenerovať hlas tak, aby znel napríklad ako váš obchodný partner alebo nadriadený. Zamestnanci tak môžu konať v prospech útočníkov a myslieť si, že plnia príkazy svojho zamestnávateľa.

Smishing

Okrem e-mailov a chatovacích aplikácií sú pre útočníkov stále mimoriadne obľúbeným médiom pre podvody SMS správy. Kyberzločincom hrá do kariet, že ide o mimoriadne rozšírený spôsob komunikácie, ktorý vo väčšine prípadov nepodlieha takému dôkladnému zabezpečeniu ako e-maily.

Útočníci dokážu (aj v prípade telefonátov) prostredníctvom techniky spoofing, maskovania čísla odosielateľa, zmeniť telefónne číslo tak, aby pripomínalo legitímnu inštitúciu, prípadne aby sa ich správa zaradila do SMS vlákna od tejto inštitúcie.

Falošné webové stránky

Cieľom podvodných e-mailov, správ v chate a SMS správ je v mnohých prípadoch priviesť obeť na falošnú webovú stránku, ktorá sa vydáva za prihlasovacie okno do nejakej služby alebo internetový obchod. ESET identifikoval v prvej polovici roka 2023 na Slovensku až 37-tisíc podvodných stránok. Najčastejšie imitovali e-mailové služby.

Ako chrániť organizáciu pred phishingom?

Schopnosť firiem odolávať phishingu pozostáva z komplexného súboru opatrení, ktorý v sebe skĺbi technické aj netechnické parametre:

  • Budovanie povedomia zamestnancov o phishingových nástrahách prostredníctvom pravidelných a interaktívnych školení.
  • Nasadiť na všetky koncové zariadenia kvalitné bezpečnostné riešenie s funkciou Anti-Phishing, ktorá dokáže úspešne blokovať podvodné e-maily. Nástroj ESET Mail Security zas dokáže odchytiť spam a malvér na serverovej úrovni ešte predtým, ako sa dostane do e-mailových schránok používateľov.
  • Nastavte jasné označenie pre e-mailovú komunikáciu, ktorá pochádza zvonka vašej organizácie.
  • Nezverejňujte o svojej organizácii respektíve o zamestnancoch nadbytočné informácie.

Viac tipov nájdete na webovej stránke Bezpečne vo firme.

Novinky

Odoberajte newsletter

Odoberajte najnovšie informácie o našej ponuke do Vašej emailovej schránky.