Ochrana důvěrných informací je naprosto zásadní pro každou organizaci - obzvlášť ale pro ty, které provozují velkou část svého byznysu online. Zabezpečení informací si vyžaduje technická řešení - brány firewall, antiviry a další bezpečnostní software. Opravdu dobrý plán zabezpečení zapájí také samotné zaměstnance.
Pokud mají zaměstnanci znalosti o bezpečnostních hrozbách a vědí jak je eliminovat, vytvoří jakýsi lidský firewall, který organizaci chrání před rostoucím počtem hrozeb v prostředí současného podnikání. Pokud firmy tento lidský firewall nevybudují, propásnou nejen příležitost ochránit svůj personál ale vystaví svou organizaci velkému počtu hrozeb.
Abychom vaší organizaci pomohli začít, sestavili jsme seznam šesti největších bezpečnostních hrozeb v e-mailové komunikaci, s pokyny, které vašim zaměstnancům pomohou jim čelit.
1. Řetězová pošta
Řetězová pošta (nebo řetězové dopisy) může mít mnoho různých podob. Většina z nás se asi již setkala s podivnými e-maily, které tvrdí, že budete mít sedmiletou smůlu, pokud je nepředáte všem, které znáte. Některé řetězové e-maily ale můžou opravdu přinést pohromu.
Například původní odesílatel e-mailu by se mohl vydávat za někoho ve vašem IT týmu a tvrdit, že vyřazuje nepoužívané softwarové licence. Pokud na e-mail neodpovíte a nepošlete jej všem aktivním členům organizace, bude vám hrozit ukončení vašeho e-mailového účtu nebo celé licence Office 365. Uživatelé budou předpokládat, že je lepší mít jistotu než pak litovat, a předají zprávu všem v jejich týmu. Než se nadějete, původní odesílatel e-mailu sesbírá všechny aktivní adresy ve vaší organizaci a také seznam potenciálně důvěřivých cílů pro budoucí útoky.
Tyto útoky mohou být ještě nebezpečnější. Například, vyzvou zaměstnance, aby přispěli penězi nemocnému kolegovi, který o žádné charitativní akci nemá zdání, a vytvoří schéma, jak vašim zaměstnancům ukrást stovky nebo tisíce korun. Rovněž mohou požádat zaměstnance, aby si stáhli soubor obsahující malware, který by mohl ohrozit zaměstnance v celé organizaci. Abyste těmto hrozbám zabránili, dejte zaměstnancům vědět, jak řetězová pošta obvykle vypadá, a ujistěte se, že vědí, že váš tým nikdy nebude prostřednictvím e-mailu sbírat jména, aby rozhodl, které licence se ponechají.
2. Phishing
Mnoho lidí si myslí, že se nemůžou stát obětí phishingu, ale tento falešný pocit bezpečí je přesně důvod, proč je phishing tak nebezpečný. Ve skutečnosti u třetiny všech útoků v roce 2019 se jednalo o phishing a až 78 procent všech špionážních kyberútoků souvisí právě s phishingem. Do phishingové pasti se chytili i státní úředníci! A vaši zaměstnanci jsou pravděpodobně stejně zranitelní jako všichni ostatní, ne-li více.
Příkladem phishingového útoku je e-mail od společnosti „Microsoft“, který žádá zaměstnance o potvrzení přihlašovacích údajů do Office 365 z důvodu nedávného narušení bezpečnosti. Tyto e-maily mohou na první pohled vypadat mimořádně přesvědčivě, ale pokud zaměstnanec zkontroluje informace o odesílateli, často se mu zobrazí podivný e-mail jako „support @ microsoftsupport.com“ - zjevně ne e-mail, který by společnost Microsoft používala pro oficiální korespondenci. Tým IT by měl zajistit, aby zaměstnanci vždy kontrolovali e-mail odesílatele a nikdy neuváděli své heslo v odpovědi na „potvrzovací“ e-mail bez výslovného souhlasu IT.
3. Cílený phishing
Cílený phising (spear phishing) je sofistikovanější forma phishingu. Hacker si prostuduje jednotlivce, kterého identifikoval jako velmi cenného nebo jako bezpečnostní riziko, a před odesláním phishingového e-mailu dané osobě přímo zavolá na téma související s prací a avizuje mu, že obdrží e-mail nebo pozvánku. Tímto trikem se pokusí přimět jednotlivce, aby mu sdělil důvěrné informace, poslal peníze nebo stáhnul malware. Tyto e-maily jsou ještě nebezpečnější než běžné phishingové útoky, protože počítají s důvěrou lidí, kteří věří, že odesílatele znají.
Prevence cíleného phishingu je podobná prevenci phishingu. Zajistěte, aby zaměstnanci kontrolovali informace o odesílateli, a nikdy nestahovali soubory ani nesledovali odkazy zaslané z neznámé „osobní“ adresy. Pokud si nejsou jistí, měli by se obrátit na údajného odesílatele pomocí svého oficiálního firemního e-mailu nebo přímo kontaktovat IT a požádat o další pokyny.
4. Spoofing
Spoofing, neboli falšování identity, se používá k oklamání uživatele telefonu, e-mailu nebo internetu, aby si myslel, že komunikuje se známým nebo důvěryhodným zdrojem. Mnoho podvodných hovorů například zfalšuje telefonní číslo někoho ve vaší organizaci (například nadřízeného nebo člena týmu IT) a využije jej na maskování svého skutečného čísla. Tento druh podvodu lze využít k získání důležitých informací o společnosti nebo dokonce peněz od zaměstnanců a často vede k většímu útoku, jako je vishing (viz níže).
Prvním krokem ke zmaření pokusu o spoofing je informování zaměstnanců, že tento postup je velmi běžný. Pokud přijmou podezřelý hovor od někoho, kdo používá známé číslo, měli by se pokusit hovor co nejdříve ukončit a předat informace o hovoru pracovníkům IT, aby mohli upozornit ostatní členy organizace. Pokud si zaměstnanci nejsou jisti, zda je volající legitimní nebo ne, měli by navrhnout, že mu zavolají zpět, protože spoofing funguje jen jednosměrně. Pokud na známé telefonní číslo zaměstnanec zavolá, neskončí s podvodníkem na jiné lince a může si potvrdit totožnost volajícího.
5. Vishing
Vishing je podobný phishingu, ale probíhá přes hlasové kanály, jako jsou telefony, hlasové schránky nebo dokonce videokonferenční platformy. Obvyklým cílem těchto hovorů ze zfalšovaných telefonních čísel je předstírat, že jde o hovor s nadřízeným nebo klientem a přesvědčit uživatele, aby věnoval své peníze nebo prozradil soukromé informace.
Můžete například obdržet falešný telefonát od poskytovatele služeb, který tvrdí, že váš účet byl ohrožen, a musíte si promluvit se zástupcem. Když budete mluvit se zástupcem ohledně vašeho účtu, požádá vás o přihlašovací údaje, číslo účtu, bankovní údaje a další - často se od vás pokusí získat co nejvíce informací nebo zdrojů.
Aby se týmy IT připravily na takový útok, měly by ujistit zaměstnance, že tyto hovory jsou často vedené tak, aby je zpanikařily, a že skutečný zástupce, který by tyto informace potřeboval, by byl pravděpodobně trpělivý a ochotný spolupracovat s členem týmu IT. Zaměstnanci by v takové situaci měli požádat o chvíli na rozmyšlení, aby se mohli zastavit a přemýšlet, zda se hovor nejeví jako podvod nebo jiná hrozba. Pokud zaměstnanec příjme podezřelý hovor, jako je tento, měl by informovat volajícího, že tyto hovory obvykle zpracovává oddělení IT, a předat hovor IT pro další vyhodnocení.
6. Škodlivé přílohy
Ačkoli mnoho e-mailových služeb nabízí vlastní funkce antivirového skenování, škodlivé přílohy jsou stále nebezpečné pro mnoho podniků. Podvodníci často pošlou vašim zaměstnancům neškodný e-mail s přílohou, možná jako součást pokusu o phishing, a vyzvou zaměstnance, aby si soubor stáhli. Spoléháním na strach nebo zvědavost jsou tito podvodníci schopni přesvědčit pracovníky, aby stahovali kompromitované soubory, které v případě stažení nebo otevření dokumentu uvolní malware.
Existují dva hlavní způsoby, jak chránit své zaměstnance před škodlivými přílohami: prevence a ochrana. Požádejte je, aby si nestahovali podivné dokumenty, i když jsou zvědaví nebo se cítí ohroženě. Připravte se ovšem i na to, že lidi někdy selžou, a zajistěte, aby všechna zařízení a servery byly vybaveny kvalitním antivirem, který dokáže označit a zničit malware ze škodlivých příloh.
Myšlenky na závěr
Podniky čelí různým hrozbám prostřednictvím e-mailů a podobných kanálů - a vaši zaměstnanci jsou první obrannou linií proti těmto útokům. Bohužel, ne každý zaměstnanec je dobře obeznámen s běžnými bezpečnostními hrozbami. I když jsou, jejich arogance je může učinit stejně zranitelnými jako někdo, kdo o kybernetických hrozbách vůbec neví.
IT týmy a organizace, které podporují, by měly nejen mluvit se zaměstnanci o nebezpečích phishingu a podobných útoků, ale také zajistit, aby měli bezpečnostní řešení, které je ochrání, pokud se útočníkovi podaří zaměstnance oklamat. Je jasné, že kybernetické útoky se v dohledné době nezastaví a mohou dokonce exponenciálně vzrůst kvůli popularitě vzdálené práce. Čím dříve váš tým zaškolí zaměstnance ohledně inherentních hrozeb práce online, tím více budete chráněni v případě útoku.