Stačí jeden e-mail, jeden klik jednoho zaměstnance – a útočník je uvnitř. Ne v seifu, ne za alarmem, ale v poštovní schránce, v účetním systému nebo rovnou na bankovním účtu firmy. Přesně takhle dnes vypadá naprostá většina útoků na malé a střední firmy: nezačínají sofistikovaným hackováním, ale obyčejným e-mailem, který vypadá jako od dodavatele, banky nebo přepravce. Říká se tomu phishing a je to nejlevnější a nejúčinnější zbraň, kterou dnes podvodníci proti firmám mají.

Co je phishing a proč funguje

Phishing je podvodný e-mail (případně SMS – tomu se říká smishing), který se vydává za někoho, komu byste přirozeně věřili: banku, poštu, dodavatele, kolegu nebo šéfa. Cílem je vylákat z vás přihlašovací údaje, přimět vás zaplatit fakturu na jiný účet, nebo vás donutit kliknout na odkaz, který do počítače nainstaluje škodlivý program.

Funguje to proto, že necílí na technologii, ale na člověka ve chvíli, kdy je zaneprázdněný, spěchá a nemá čas si zprávu pořádně přečíst. A ve firmě stačí, aby chybu udělal jediný z desítek zaměstnanců – to je matematika, která je pro útočníky velmi výhodná. Čím větší firma, tím víc lidí dostává denně desítky e-mailů a tím vyšší je šance, že se jeden podvodný ztratí mezi ostatními a někdo na něj bez rozmyslu zareaguje.

Reálná kauza: dvě firmy, miliony pryč za pár hodin

Policie ČR opakovaně varuje před skupinami, které cíleně útočí na firemní bankovnictví právě přes podvodné e-maily. V jednom z případů, který policie vyšetřovala, se pachatelé vydávali za Českou poštu a rozesílali firmám e-maily s odkazem na sledování zásilky. Zpráva vypadala nevinně – kdo by nechtěl vědět, kde je jeho balík? Po kliknutí se ale do počítače nainstaloval škodlivý program, který útočníkům umožnil zjistit přístupové údaje k internetovému bankovnictví firmy.

Výsledek: z účtu firmy na Českolipsku takto zmizelo 2 800 000 Kč a z účtu pražské firmy dokonce 3 320 000 Kč. V prvním případě se peníze díky rychlé blokaci účtů podařilo z velké části zachránit, protože zůstaly v Česku. Ve druhém případě to už kvůli zahraničním účtům nevyšlo a firma o peníze přišla natrvalo.

Podobně varuje i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), podle kterého je phishing dlouhodobě jedním z nejčastějších způsobů, jak se útočníci dostávají do firemních systémů – často jako první krok k mnohem větší škodě. Nejde tedy o okrajovou hrozbu pro pár nepozorných jednotlivců, ale o standardní nástroj, kterým se dnes útočí i na běžné malé firmy, ne jen na banky a velké korporace.

Co mají oba případy společné? Útočníci si nevybrali firmu proto, že by byla nějak výjimečně bohatá nebo zajímavá. Vybrali si ji proto, že se jim podařilo poslat věrohodně vyhlížející e-mail a někdo v ní na něj klikl. To je celý recept – a funguje i na firmy, které si myslí, že „u nich by se to nemohlo stát“.

Proč stačí jeden zaměstnanec

V malé firmě si majitel často myslí, že bezpečnost řeší tím, že má „slušný antivirus“ nebo že IT věci má na starosti šikovný kolega. Jenže phishing útočí přesně tam, kam antivirus nedosáhne – na rozhodování člověka. Zaměstnanec dostane e-mail, který vypadá jako od účetní, dodavatele nebo banky, je zrovna ve spěchu, a klikne. Stačí to jednou.

Jakmile má útočník přístup k jedné firemní schránce, může se tvářit jako kdokoliv z firmy – posílat faktury obchodním partnerům, žádat o změnu čísla účtu, nebo se dál šířit do dalších systémů. Čím větší tým, tím vyšší pravděpodobnost, že se najde ten jeden klik. Proto se dnes bezpečnostní experti shodují, že proškolení lidí je stejně důležité jako technická ochrana – ne-li důležitější.

Souvisí s tím i to, jak dobře je zabezpečená vaše vlastní doména. Pokud firemní e-mail nemá správně nastavené technické záznamy SPF, DKIM a DMARC, může kdokoliv na internetu odeslat zprávu, která navenek vypadá, že jde od vás – třeba vašim zákazníkům nebo partnerům. Vaše firma se pak nechtěně stane součástí cizího podvodu a poškodí to i vaši důvěryhodnost.

Na co si dát pozor

  • Tlak a spěch – „uhraďte ihned“, „jinak vám zablokujeme účet/službu“, „faktura po splatnosti“. Legitimní instituce vás zpravidla nenutí jednat během pár minut.
  • Adresa odesílatele nesedí – vypadá skoro jako ta pravá, ale s drobnou odchylkou (jiná doména, přesmyčka, číslo místo písmene). Vždy si adresu rozklikněte celou, ne jen zobrazované jméno.
  • Odkaz vede jinam, než tvrdí text – najeďte myší na odkaz (bez kliknutí) a zkontrolujte, kam skutečně směřuje. Falešná přihlašovací stránka bývá na jiné doméně.
  • Žádost o změnu čísla účtu nebo urgentní platbu – typicky u faktur od „dodavatele“, který si najednou „změnil bankovní účet“.
  • Obecné oslovení a jazykové nesrovnalosti – „vážený kliente“ místo jména, neobvyklá slovní zásoba nebo gramatické chyby, i když dnes už podvodníci často píší velmi kvalitně.
  • Neobvyklá příloha – faktura, „výpis“ nebo „sledování zásilky“ v souboru, který jste nečekali.

Co s tím

Dobrá zpráva: proti phishingu se dá bránit i bez velkého rozpočtu na IT bezpečnost.

  • Naučte zaměstnance základní ostražitost – stačí krátké, opakované školení a jasné pravidlo: podezřelý e-mail se neotvírá, ale nahlásí. Nejde o jednorázovou přednášku, ale o návyk, který se musí čas od času připomenout.
  • Zaveďte telefonní ověření plateb – každou změnu čísla účtu nebo neobvyklou platbu si ověřte telefonicky u známého kontaktu, ne odpovědí na stejný e-mail. Tenhle jeden krok dokáže zastavit naprostou většinu útoků na firemní finance.
  • Používejte dvoufaktorové ověření u e-mailu i důležitých systémů – i kdyby útočník získal heslo, bez druhého faktoru se dovnitř nedostane.
  • Zabezpečte vlastní firemní doménu – bez správně nastavených záznamů SPF, DKIM a DMARC může kdokoliv rozesílat e-maily, které vypadají, že jsou od vaší firmy. To usnadňuje phishing namířený na vaše zákazníky i partnery.
  • Mějte jasný postup pro nahlášení – zaměstnanec, který dostane podezřelý e-mail, by měl vědět, komu to okamžitě napsat, místo aby to řešil sám nebo to nechal být.

Žádné z těchto opatření nevyžaduje velký rozpočet ani vlastní IT oddělení. Stačí je jednou nastavit a pak jen udržovat – a riziko, že vaši firmu potká podobný scénář jako firmy z Prahy nebo Českolipska, výrazně klesne.

Projde váš web technickou kontrolou?

Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.

Chci revizi webu zdarma →

Zdroje: Policie ČR – Phishingové podvody pokračují, upozornění pro firmy, Česká spořitelna – Nenechte se chytit na udičku. Jak bojovat s phishingem?, NÚKIB – Spear-phishing a jak se před ním chránit.


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *