Kybernetičtí podvodníci nás neustále testují a zkouší, kam až mohou zajít, takže jednou z možných ochran je i testovat sami sebe, abychom si před útočníky udrželi náskok. Existují nástroje, které umožňují IT oddělením odesílat realisticky vypadající podvržené e-maily vlastním zaměstnancům, takže když se nechají zmást a kliknou na ně… nehrozí organizaci žádné nebezpečí, protože na druhé straně nečíhají skuteční podvodníci.
Se svým simulátorem phishingových útoků Sophos Phish Threat odhalila společnost Sophos několik zajímavých statistik, které letos získala od reálných uživatelů tohoto produktu. Simulátor umožňuje připravit vlastní šablony podvodů, aby organizace mohly vytvářet vlastní phishingové e-maily, ale obsahuje i rozsáhlou sbírku přizpůsobitelných šablon, které jsou pravidelně aktualizovány. Základní myšlenkou je následovat vzhled a chování skutečných podvodů všech typů od strach vyvolávajících varování před bezprostřední zkázou po nenápadné zprávy sdělující o něco více než „Podívejte se na přiložený soubor“.
Hledání nejlepšího nejhoršího Bezpečnostní experti týmu Phish Threat se zaměřili zejména na to, jaké phishingové šablony mají nejlepší, nebo přesněji řečeno nejhorší výsledky. Zda firemní uživatelé e-mailu podlehnou spíše cukru, nebo biči. Výhrůžkám, nebo bezplatným nabídkám. Konkrétním instrukcím, nebo užitečným návrhům. Formulacím s „musíte“, nebo „mohlo by se vám líbit“. Odpovědi pokrývají širokou škálu témat kolem phishingu, ale jedno mají společné: žádné z nich nespadá do kategorie hrozeb. Většina z testovacích podvodných emailů, na které uživatelé reagovali, se zabývala běžnými, nijak dramatickými problémy, přičemž to byla zjevně zajímavá či důležitá témata. Nic na seznamu deseti nejčastějších nebylo skutečně naléhavé nebo děsivé a všechny zprávy zněly dostatečně pravděpodobně a nekomplikovaně, aby stálo za to, je rychle vyřešit.
Jak nenaletět na podvodný email Přemýšlejte, než kliknete. I když zpráva vypadá na první pohled nevinně, existují známky podvodu, které jsou očividné, pokud si dáte na čas s kontrolou. Mezi příklady patří pravopisné chyby, o kterých pochybujete, že by je odesílatel udělal, terminologie, která neodpovídá vašemu prostředí, softwarové nástroje, které vaše společnost nepoužívá, a chování, jako je třeba změna nastavení zabezpečení, u kterého jste byli výslovně upozorněni, abyste je neměnili. Pokud si nejste jisti, ověřte si zprávu u odesílatele. Ale nikdy si pravost zprávy neověřujte odpovědí na podezřelý e-mail – vždy dostanete odpověď „Ano“, protože legitimní odesílatel by řekl pravdu, ale podvodník by lhal. Použijte podnikový adresář přístupný důvěryhodnými prostředky k nalezení způsobu, jak se spojit s kolegou, o kterém si myslíte, že se za něj někdo vydává. Pečlivě si prohlédněte odkazy, než na ně kliknete. Mnoho phishingových e-mailů obsahuje bezchybný text a obrázky. Ale podvodníci často musí při hostování svých phishingov ých st ránek spoléhat na dočasné cloudové servery nebo hacknuté webové stránky a léčka se často projeví v názvu domény, kterou chtějí, abyste navštívili. Nenechte se oklamat, když je název serveru „hodně podobný“ – podvodníci si často registrují téměř stejná doménová jména, jako třeba vasefirna, vasesp0lecnost (s nulou místo písmena O) nebo vasefirma-web, s použitím překlepů, podobně vypadajících znaků nebo doplněného textu. Nahlaste podezřelé e-maily vašemu bezpečnostnímu týmu. Zvykněte si to dělat pokaždé, i když to vypadá jako nevděčný úkol. Phishingoví podvodníci neposílají své e-maily pouze jedné osobě, takže pokud jste první, kdo ve vaší společnosti zaznamená nový podvod, včasné varování umožní vašemu IT oddělení upozornit všechny ostatní, kteří zprávu také mohli obdržet. Mimochodem, pokud patříte do bezpečnostního týmu a nemáte pro své zaměstnance rychlý a snadný způsob, jak hlásit potenciální problémy v oblasti kybernetické bezpečnosti, jako jsou podezřelé telefonní hovory nebo rizikové e-maily, zvažte vytvoření snadno zapamatovatelné interní e-mailové adresy, kterou si zvyknete sledovat. Proměnit všechny vaše pracovníky na oči a uši bezpečnostního týmu nevyžaduje příliš povzbuzování. Koneckonců, pokud jde o kybernetickou bezpečnost, napadení jednoho z vás je napadením všech.
Poučme se z historie Historie nás poučila, že e-mailové podvody mohou fungovat překvapivě dobře i bez jakéhokoli textu v těle zprávy. Jedním z nejrozšířenějších e-mailových virů všech dob byl HAPPY99, známý také jako Ska, který se objevil před více než 20 lety na začátku roku 1999. E-mail obsahoval pouze přílohu – neměl žádný předmět ani zprávu, takže jediným viditelným textem e-mailu byl název přílohy HAPPY99. EXE. Pokud jste ji otevřeli, objevil se novoroční ohňostroj, ale tato animace jen zakryla virus infikující počítač. Ten se dále šířil všem, komu jste následně poslali e-mail. Je i ronické, že absence vysvětlujícího textu znamenala, že e-mail byl mnohem méně podezřelý, než kdyby předmět zprávy obsahoval slova v jazyce, který by příjemce nečekal. Samotný název souboru HAPPY99 byl dobře načasovaný a globálně srozumitelný, takže téměř jistě přiměl miliony lidí, aby na něj klikli spíše, než kdyby obsahoval jakýkoli druh marketingového či jiného sdělení.
/Paul Ducklin, bezpečnostní expert/