Proč na phishing uslyknete (a jak ho zarazit dřív, než napáchá škody)

Proč na phishing uslyknete (a jak ho zarazit dřív, než napáchá škody)

Takový ten „naléhavý" e-mail od šéfa s prosbou o dárkové karty vypadá jako jasný spam. Jenže moderní phishingové útoky jsou tak propracované, že na ně naletí i lidé, kteří se v technologiích vyznají. Pojďme se podívat, co se stane, když phishing uspěje – a proč je pochopení toho, jak tyto útoky fungují, tou nejlepší obranou.

Phishing útoky: Příběh, který vám nedá spát

Chci vám vyprávět o něčem, co mě pořádně zaměstnalo. Jde o pojišťovací agenturu, jeden nešťastný klik a 42 tisíc dolarů, které zmizely jako pára nad hrncem. Žádný virus. Žádné složité hackerské nástroje. Jen přesvědčivý e-mail a chvíle nepozornosti.

A to nejšílenější? Každý jednotlivý krok toho útoku zanechal stopu. Problém byl, že ji nikdo nesledoval.

Anatomie phishingu, o kterém se nemluví

Takto to obvykle funguje. Přijde e-mail, který vypadá naprosto věrohodně — možná bezpečnostní výstraha od Microsoftu, možná oznámení od vaší banky, možná zpráva od kolegy. Písma sedí. Logo je správné. Tón je naléhavý, ale ne panický.

Kliknete na odkaz bez zaváhání, protože vypadá reálně.

A v tu chvíli má někdo na druhé straně planety vaše přihlašovací údaje.

Tady je ale věc, kterou většina lidí netuší: útok teprve začíná. Získání vašich přihlašovacích údajů je jen první krok. Skutečná škoda přijde během následujících 30 minut a jde to rychle — protože útočníci vědí, že existují časová okna pro odhalení.

Co se děje potom

Jakmile má útočník vaše přihlašovací údaje, udělá obvykle tři věci:

Za prvé, stáhne váš seznam kontaktů. To mu poskytuje mapu všech, s nimiž obchodujete — klienty, dodavatele, partnery. Přesně ví, na koho cílit dál.

Za druhé, prohledá vaši schránku podle konkrétních klíčových slov. Hledá termíny jako "faktura", "bankovní převod", "platba", "banka" nebo "obnova". To mu prozradí, kam tečou peníze a kdo je spravuje.

Za třetí — a to je ta zákeřná část — nastaví pravidla pro přeposílání e-mailů. Každá zpráva, kterou dostanete, se tiše kopíruje na externí adresu. Vy toto pravidlo nikdy nevidíte. Dál normálně používáte svou schránku, zatímco někdo jiný sleduje úplně všechno.

Proto je phishing tak efektivní. Nejde o přímou krádež dat. Jde o tiché číhání ve vaší schránce, studium obchodních vztahů a načasování útoku dokonale.

Moment podvodu

Představte si tohle: Útočník sleduje vaše e-maily několik dní. Viděl legitimní konverzace mezi vámi a účtárnou klienta o nadcházející platbě. Zná přesnou částku. Zná běžný postup.

Pak odešle zprávu tomuto klientovi — z vaší skutečné e-mailové adresy (ne zfalšované). Zpráva se zařadí přímo pod konverzaci, kterou jste vedli minulý týden. Obsahuje něco jako: "Ahoj, naše banka změnila partnera. Použijte prosím tyto nové platební údaje."

Účtárna klienta nemá jediný důvod pochybovat. Zpráva přišla z vašeho skutečného e-mailu. Odkazuje na skutečné konverzace. Načasování dává smysl.

Než kdokoli zjistí, co se stalo, peníze jsou fuč. Bankovní převody jdou rychle a útočníci přesně vědí, jak účty vyprázdnit dřív, než se stihne cokoli udělat.

Proč tyto útoky pořád fungují

Tady je ta nepříjemná pravda: Malé agentury a firmy nejsou cílem, protože jsou hloupé nebo lehkomyslné. Jsou cílem, protože se nacházejí v přesném průsečíku hodnotných dat, finančních transakcí a chatrných IT týmů.

Zamyslete se nad tím. Pojišťovací agentura zpracovává obrovské platby pojistného. Má detailní informace o klientech. Denně manipuluje s citlivými dokumenty. A často nemá žádný dedikovaný bezpečnostní tým, který by vše hlídal 24 hodin denně.

Ta kombinace je jako nechat klíčky v zapalování s běžícím motorem. Útočníci to vědí. Automatizují své útoky, házejí široké sítě a spoléhají na to, že většina lidí si ničeho nevšimne, dokud není pozdě.

Dobrá zpráva, kterou vám nikdo neřekne

Tady je to, co mi dává naději: Tyto útoky zanechávají stopy úplně všude. Problém není v tom, že jsou neviditelné. Problém je, že se na ně nikdo nedívá.

Moderní bezpečnostní nástroje dokážou detekovat nemožné cestování. Pokud jste se přihlásili do e-mailu v New Yorku v 9:00 a někdo se o 20 minut později pokusil o přístup z východní Evropy — to je fyzicky nemožné. Bezpečnostní software to zachytí okamžitě.

Pravidla pro přeposílání e-mailů se označí ihned po vytvoření. Jakékoli nové pravidlo, které směruje vaši poštu na externí adresu, by mělo spustit výstrahu.

Přihlášení z nerozpoznaných míst nebo zařízení by měla vyžadovat dodatečné ověření. Tomu se říká vícefaktorová autentizace a je to jedna z nejjednodušších věcí, jak se chránit.

Co můžete udělat hned teď

Tady je pár praktických kroků, které skutečně fungují:

Zapněte vícefaktorovou autentizaci všude. Jo, je to trochu otravné. Ale je to rozdíl mezi tím, jestli někdo ukradne vaše heslo a dostane se do účtu, nebo jestli bude zablokován.

** pravidelně kontrolujte pravidla přeposílání e-mailů.** Stačí 30 sekund na kontrolu, jestli tam není pravidlo, které jste nevytvořili. Když ano, smažte ho okamžitě a změňte heslo.

Buďte podezřívaví ohledně jakýchkoli změn platebních instrukcí. Když vás někdo žádá o převod na jiný účet, ověřte to telefonátem na číslo, o kterém víte, že je správné — ne na číslo uvedené v e-mailu.

** sledujte své bezpečnostní výstrahy.** Když váš e-mail nebo cloudové služby nahlásí podezřelé přihlášení, berte to vážně. Tyto systémy nejsou dokonalé, ale obvykle mají pravdu, když zachytí něco neobvyklého.

Závěrem

Phishingové útoky fungují, protože zneužívají důvěru. Počítají s tím, že nebudete zpochybňovat něco, co vypadá legitimně. Spoléhají na zaměstnané lidi, kteří nemají čas kontrolovat každý e-mail.

Ale tady je ta věc: Nemusíte být paranoidní. Stačí být ostražití. Pochopení toho, jak tyto útoky fungují, vám dává sílu. Až příště uvidíte e-mail, který vyvolává pocit naléhavosti — žádá vás o kliknutí na odkaz, ověření hesla nebo změnu platebních údajů — zastavte se na sekundu. Ta pauza může být přesně to, co je potřeba k zastavení útoku v jeho stopách.

Buďte opatrní. A důvěřujte, ale ověřujte.

Štítky: ['phishing attacks', 'email security', 'multi-factor authentication', 'online privacy', 'wire fraud prevention', 'small business security', 'microsoft 365 security']