Phishing dnes nevypadá jako amatérský spam. Vypadá jako běžný pracovní e-mail ve špatný moment.
Phishing e-mail nebývá nebezpečný proto, že by byl technicky geniální, ale proto, že zapadá do provozu firmy. Útočník sází na spěch, důvěru a rutinu, ne na to, že si člověk v klidu sedne a rozebere zprávu po větách.
Největší síla phishingu není v technické složitosti, ale v tom, že útočník pracuje s lidskou pozorností a provozním tlakem.
Zprávy často zapadají do běžného rytmu firmy a právě proto se jim nevěnuje tolik pozornosti, kolik by si zasloužily.
Phishing nevyhrává tím, že vypadá dokonale. Vyhrává tím, že přichází ve chvíli, kdy člověk jen chce rychle pokračovat v práci.
Útok často nevypadá podezřele na první pohled. Podezřelý je až ve chvíli, kdy se podíváte, co po vás chce.
Původní HTML článek ukazoval realistické scénáře: falešnou bezpečnostní výzvu od Microsoftu, podvodnou fakturu s dvojitou příponou nebo e-mail od vedení mimo běžný proces.
Nejdůležitější není to, jak zpráva vypadá, ale co po vás chce: přihlášení, otevření přílohy, změnu platby nebo obejití běžného postupu.
Falešná výzva k přihlášení
Útočník napodobí Microsoft nebo jinou známou službu a tlačí na rychlé přihlášení přes odkaz. Cíl není e-mail, ale heslo a relace.
Faktura nebo příloha pod časovým tlakem
Zpráva vypadá provozně běžně, ale tlačí na otevření přílohy nebo rychlou reakci. Právě rutina a spěch z ní dělají účinný útok.
Požadavek od vedení mimo běžný proces
Naléhavý úkol, změna účtu nebo výjimka z pravidel působí důvěryhodně proto, že zapadá do firemního kontextu. To je na phishingu nejzrádnější.
Samotný jeden znak ještě nic nedokazuje. Kombinace více signálů už ano.
Samotný jeden příznak ještě nemusí nic znamenat. Kombinace více znaků už ano. Právě proto je dobré sledovat doménu, typ požadavku i neobvyklý kontext.
Ve firmě hodně pomáhá jednoduché pravidlo: když e-mail mění běžný rytmus práce, stojí za ověření.
Čtyři varovné signály, které stojí za ověření
Nejde o to hledat dokonalý důkaz. Jde o to včas zastavit neobvyklou situaci.
- Neobvyklý tlak na rychlost, utajení nebo obejití běžného postupu.
- Odkaz nebo doména, která vypadá skoro správně, ale nesedí úplně přesně.
- Žádost o přihlášení, otevření přílohy nebo změnu platby bez obvyklého ověření.
- Nečekaný kontext: bezpečnostní výzva, faktura nebo požadavek od vedení v netypický čas.
Kliknutí ještě nemusí znamenat kompromitaci. Důležité je rychle zjistit, co následovalo.
Kliknutí samo o sobě ještě nemusí znamenat kompromitaci. Zásadní je zjistit, co následovalo: zadání hesla, spuštění souboru nebo otevření přílohy.
Největší chybou bývá snažit se incident skrýt. Včasné přiznání je z pohledu bezpečnosti nejlepší možná reakce.
Co udělat hned
První minuty rozhodují víc než pozdější vysvětlování
Čemu se vyhnout
Nejčastější chyby po podezřelé zprávě nebo zadání hesla
Doufat, že samotné kliknutí nic neznamená, a nic neřešit.
Mazat e-mail bez nahlášení a nechat ostatní uživatele bez varování.
Snažit se incident vyřešit potichu bez zapojení správce nebo odpovědné osoby.
Dobrá obrana nestojí na jednom nástroji. Stojí na vrstvení techniky a zvyku.
MFA, ochrana e-mailu, anti-phishing politika a funkce typu Safe Links v Microsoft Defender for Office 365 nejsou izolované prvky. Největší smysl dávají dohromady.
Firma nemusí mít složitý SOC, ale potřebuje rozumně nastavené prostředí, jednoduchý způsob reportování podezřelých zpráv a zvyk neobvyklé požadavky ověřovat jiným kanálem.
MFA jako základ
Vícefaktorové ověření výrazně ztěžuje zneužití samotného hesla. Není všelék, ale bez něj je prostředí zbytečně otevřené.
Reportování podezřelých zpráv
Uživatel musí mít jednoduchý způsob, jak zprávu nahlásit. Bez toho se phishing ve firmě řeší pozdě a nahodile.
Ochrana odkazů a příloh
Funkce typu Safe Links v Microsoft Defender for Office 365 nebo anti-phishing ochrana pomáhají, ale záleží na konkrétní licenci a nastavení. Samy o sobě nestačí.
Ověření jiným kanálem
Neobvyklé platby, změny účtu nebo urgentní požadavky se mají ověřit mimo e-mail. Právě tady se láme, jestli phishing uspěje.
Rychlá kontrola připravenosti firmy
Čtyři otázky, které rychle ukážou, jestli je phishing ve firmě řešený systémově.
- Má každý účet s firemním e-mailem zapnuté MFA a je to opravdu vynucené?
- Mají lidé ve firmě jednoduchý způsob, jak phishing rychle nahlásit?
- Je jasné, co dělat po kliknutí, po zadání hesla nebo po otevření přílohy?
- Ověřují se citlivé požadavky jiným kanálem než e-mailem?
Poznáte phishing e-mail, když ho uvidíte?
Krátký test prověří, jestli jsou ve firmě dobře zažité základní reakce na podezřelé e-maily a co se má stát po kliknutí.
Chcete na to navázat i prakticky?
Pokud řešíte podobné téma ve firmě právě teď, navazuje na něj obvykle i konkrétní služba, další článek nebo krátká konzultace nad tím, co dává smysl jako první krok.
- 1
Jak vypadá moderní phishing
- 2
Na co se dívat v podezřelém e-mailu
- 3
Co udělat hned po kliknutí
Pokud to chcete převést do konkrétního kroku, tady obvykle navazuje praxe.
Vybral jsem další texty, které rozšiřují stejné téma z trochu jiného úhlu.
Ukradený firemní e-mail: jak funguje BEC útok
BEC útok nebývá hlučný ani nápadný. Podívejte se, jak útočníci pracují s kompromitovaným e-mailem a jaká opatření mají ve firmě největší smysl.
- Jak BEC útok probíhá krok za krokem
- Příznaky kompromitovaného e-mailu
IT správa malé firmy: zaměstnanec, nebo externista?
IT správa malé firmy nemusí být složitá. Podívejte se, kdy dává smysl interní správce, kdy IT outsourcing a co si ověřit před výběrem partnera.
- Kdy dává smysl interní IT správce
- Kdy je výhodnější externí partner
Jak poznat dobrého IT správce
Jak poznat, že IT správce odvádí dobrou práci? Podívejte se na konkrétní signály, které fungují u interního správce i externího partnera.
- Co dobrý správce řeší proaktivně
- Rozdíl mezi interním a externím modelem
Nejste si jistí, jak je vaše firma připravená na phishing?
Projdu s vámi nastavení e-mailu, MFA, reporting i to, co se dnes ve firmě skutečně stane po kliknutí. Prakticky a bez strašení.