Jak se bránit kybernetickým útokům? Firmy si najímají ‚etické hackery‘ na testování zaměstnanců
Hackerské útoky falešným e-mailem se zavirovanou přílohou patří mezi nejčastější, které musí specialisté na kybernetickou bezpečnost řešit. Podle Národního úřadu pro kybernetickou a informační bezpečnost jsou útočníci stále lepší v tom, aby falešný e-mail působil důvěryhodně. Firmy si proto objednávají samy takzvané etické hackery, kteří jim zaměstnance otestují a pak proškolí.
„Tady na monitoringu vidíme, že se z vašeho počítače nejspíš šíří nějaká nákaza,“ říká etický hacker Lukáš Antal ze společnosti AEC. Do telefonu se představil jako pracovník IT firmy, ve které oběť pracuje. „My to řešíme napříč několika lidmi, jste asi třetí, u koho se objevila. Právě jsme publikovali rychlou záplatu,“ tvrdí. Snaží se tak druhou stranu vystresovat, aby začala jednat bezmyšlenkovitě.
„Potřebujeme záplatu aplikovat na postižené počítače. Mohl bych vás navést?“ ptá se. Pak jen stačí, aby nadiktoval příslušnou stránku, která se tváří jako vnitřní web firmy, a oběť si sama do počítače pod dozorem hackera stáhne vir.
Etickému hackerovi Lukáši Antalovi na takový hovor s obětí stačily dvě a půl minuty. V tomto případě to ale skutečný útok nebyl. „Práce etického hackera spočívá v tom, že dělá totéž, co běžný hacker – prolamuje zabezpečení různých informačních systémů. Důležité je ale to slovo etický, které dává této práci legalitu. Vždy mám k činnosti svolení majitele systému. Klasickým zákazníkem je třeba banka, telekomunikační společnost nebo ministerstvo,“ vysvětluje.
Vir za zvědavost
Podle Lukáše Antala je pro hackera nejjednodušší zaútočit na nejslabší článek celého IT systému, tedy člověka. „Úspěšnost útoků se liší. Je různá u e-mailů, u flash pamětí. Bezkonkurenčně nejvyšší je právě u telefonického volání, kde se málokdy dostaneme pod úspěšnost 70 procent. Z vybraného vzorku lidí tak většina skutečně danou akci provede,“ říká Antal.
Sází přitom na to, že lidé jsou zvědaví a zavirované soubory stačí lákavě upravit. „Klasicky používáme třeba název ‚mzdy‘ a aktuální rok a měsíc, protože lidé ve firmách jsou samozřejmě zvědaví, kolik berou jejich kolegové. Pokud se to jeví například jako wordovský soubor a lidé ho otevřou, pustí si vir k sobě do počítače.“
Hackeři napadli web Evropské centrální banky, infikovali ho škodlivým softwarem
Číst článek
Aby se hacker dostal do vnitřních systémů společnosti, stačí přitom, aby na zavirovaný soubor klikl jediný člověk. Tyto typy útoků často řeší i národní kybernetický úřad. „Je to jeden z nejčastějších typů útoků a cílí na všechny typy systémů, včetně námi regulované kritické informační infrastruktury,“ říká náměstek ředitele úřadu Lukáš Kintr.
Podle Kintra už se stalo, že se útočník dostal i do nejdůležitějších systémů státu. „Jsou hlášeny desítky případů tohoto typu ročně. V jednotkách případů byl útočník úspěšný,“ připouští.
Konkrétní oběti útoků kybernetický úřad nezveřejňuje. Povinnost nahlásit útok mají jen ty instituce, které spadají pod kybernetický zákon, a útok na jejich systémy by proto mohl ohrozit chod státu. „Pokud je to na místě, tak na základě konkrétního útoku vznikne obecné upozornění pro ostatní subjekty, které varují před podobně laděnými maily a apelují na proškolení uživatelů,“ dodává Kintr. Upozornění pak Národní úřad pro kybernetickou bezpečnost zveřejňuje i na svých webových stránkách.