Kyberbezpečnost / phishing
OK
Phishing a sociální inženýrství
Víte, jak zůstat o krok před útočníky? Zásady a správné reakce vás navíc dobře ochrání i v soukromém životě.
Deset varovných signálů
1
Nesedí adresa odesílatele
Jméno je správné, ale doména za zavináčem je podezřelá, má například koncovku @micros0ft-support.com.
2
Nátlak na rychlou reakci
Odesílatel vám píše slova jako „okamžitě“, „poslední výzva“ apod.
3
Požadavek na heslo nebo přihlášení
Nikdy se nepřihlašujte z odkazu v e-mailu.
4
Nečekaný finanční požadavek
Všímejte si v e-mailu změny čísla účtu nebo žádosti o platbu.
5
Podezřelé přílohy
Nikdy neotevírejte dokumenty s makry a přílohy s příponami .ZIP, .EXE a vše nahlaste IT Security v útvaru FIG/2.
6
Podivný jazyk
E-mail může být psán špatnou češtinou nebo má nepřirozený tón a slovosled.
7
Nesedí kontext
Jestliže jste žádáni o potvrzení objednávky, ačkoli jste si nic neobjednali, e-mail nejlépe nahlaste nebo ignorujte.
8
Neobvyklé odkazy
V e‑mailu se objevují zkracovače (bit.ly) nebo cizí domény. Skutečnou adresu zkontrolujete tak, že na odkaz najedete myší.
9
Nesoulad v brandingu
Logo v e-mailu je rozmazané nebo má jiný počet písmen či odlišné barvy.
10
Žádost o diskrétnost
V e-mailu se objevují spojení: „nikomu nic neříkejte“ nebo od „vedení“.
Deset varovných signálů
1
Nesedí adresa odesílatele
Jméno je správné, ale doména za zavináčem je podezřelá, má například koncovku @micros0ft-support.com.
2
Nátlak na rychlou reakci
Odesílatel vám píše slova jako „okamžitě“, „poslední výzva“ apod.
3
Požadavek na heslo nebo přihlášení
Nikdy se nepřihlašujte z odkazu v e-mailu.
4
Nečekaný finanční požadavek
Všímejte si v e-mailu změny čísla účtu nebo žádosti o platbu.
5
Podezřelé přílohy
Nikdy neotevírejte dokumenty s makry a přílohy s příponami .ZIP, .EXE a vše nahlaste IT Security v útvaru FIG/2.
6
Podivný jazyk
E-mail může být psán špatnou češtinou nebo má nepřirozený tón a slovosled.
7
Nesedí kontext
Jestliže jste žádáni o potvrzení objednávky, ačkoli jste si nic neobjednali, e-mail nejlépe nahlaste nebo ignorujte.
8
Neobvyklé odkazy
V e‑mailu se objevují zkracovače (bit.ly) nebo cizí domény. Skutečnou adresu zkontrolujete tak, že na odkaz najedete myší.
9
Nesoulad v brandingu
Logo v e-mailu je rozmazané nebo má jiný počet písmen či odlišné barvy.
10
Žádost o diskrétnost
V e-mailu se objevují spojení: „nikomu nic neříkejte“ nebo od „vedení“.
Phishing a další formy sociálního inženýrství patří mezi nejčastější útoky na firmy. Neútočí na technologie, ale na lidi – na jejich důvěru, spěch, strach nebo ochotu rychle pomoci kolegovi či nadřízenému. Dobrá zpráva je, že se dá většině útoků zabránit, když víte, na co si dát pozor a jak reagovat.
Proč jsou firmy cílem
Ve firemním prostředí lze získat peníze, přístupy do systémů i citlivá data. Typickým scénářem je zneužití firemního e-mailu: útočník se vydává za kolegu, vedení nebo dodavatele a žádá o platbu, změnu čísla účtu nebo zaslání informací. Když e-mail působí důvěryhodně, nemusíte si podvodu dlouho všimnout a škody pak jdou do milionů.
Příklad provedeného útoku
Útočník se dostane k e-mailu zaměstnance finančního oddělení dodavatele. Několik týdnů potichu sleduje komunikaci s velkou automobilkou. Potom z kompromitovaného účtu pošle normálně vypadající e-mail, ve kterém změní číslo účtu na faktuře za náhradní díly. Vše sedí: reference faktury, částka, styl komunikace i podpis. Nikdo si ničeho nevšimne. Firma několik měsíců posílá platby na účet útočníka a škoda jde do milionů. Podobným podvodem přišel významný dodavatel v automotive o desítky milionů dolarů.
Jak poznat phishingový e-mail
Dnešní podvodné e-maily už nebývají plné chyb. Díky AI mohou vypadat naprosto profesionálně a jsou psány srozumitelnou češtinou. O to důležitější je sledovat tato znamení – viz Deset varovných signálů. Hlavní pravidlo však zní: Jestliže si nejste jistí, ověřte požadavek jiným způsobem a především přes známý kontakt (telefonem nebo osobně), nikdy nepoužívejte kontakty uvedené v e-mailu.
Slovníček pojmů
Phishing
Podvodná zpráva (e-mail, SMS, MS Teams, WhatsApp), která se tváří být od banky, IT, dodavatele nebo kolegy. Jejím cílem je získat hesla, peníze nebo citlivá data a přimět vás kliknout na odkaz či přílohu se škodlivým softwarem.
Sociální inženýrství
Útok, který zneužívá lidské chování – důvěru, autoritu, strach nebo spěch. Typicky jde o telefonát, který se tváří jako od vašeho IT, podvodný e-mail od vedení nebo o LinkedIn zprávu s nenápadným dotazem.
Vishing
Hlas lze dnes pomocí AI věrohodně napodobit a útočník zní v telefonu jako kolega, vedení nebo Service Desk. Vše si vždy raději ověřte, protože policie, banka ani IT nikdy nežádají o převod peněz nebo hesla telefonicky.
QR kód
Představuje jen jinou formu odkazu a může také vést na podvodnou stránku. Pokud QR kód vyžaduje přihlášení, raději přejděte na službu ručně přes uloženou záložku nebo prostřednictvím oficiální URL adresy služby.
Tip
Správné nahlášení podezřelého e-mailu pomůže ušetřit miliony korun, proto vždy používejte tlačítko v MS Outlook „Nahlásit“. Takové e-maily denně kontroluje tým útvaru FIG/2. Jestliže potřebujete poradit, obraťte se na Service Desk.
Kyberbezpečnost