Nejzranitelnější článek v zajištění bezpečnosti bankovních účtů představujeme dlouhodobě my, samotní uživatelé. A útoků na uživatele, které využívají metod sociálního inženýrství, přitom rapidně přibývá. Podle dat České bankovní asociace (ČBA) již v červnu dorovnal počet phishingových útoků loňský rok, počet vishingových útoků se šestinásobně zvýšil.
Riziko se samozřejmě netýká jen finančního sektoru. Stejné metody používají útočníci i pro napadení firemních systémů, při spearphishingu a dalších útocích na firemní infrastrukturu.
V rámci snahy zvýšit povědomí připravil ESET spolu s Policií České republiky a ČBA test, ve kterém si účastníci mohou vyzkoušet, zda podvodné techniky poznají či nikoliv.
Test se skládá z nejčastějších triků, které útočníci zneužívají a se kterými se jako bezpečáci pravidelně setkáváme. Pro účely testu jsme si vymysleli fiktivní Rodinnou banku, jejíž dobré jméno útočníci zneužívají.
Testujeme, zda uživatel pozná podvodný odkaz, podvrženou adresu odesílatele e-mailu, problémové SSL šifrování nebo falešnou aplikaci, zda uděluje správně oprávnění aplikacím a podobně. Jde o naprosto běžné digitální aktivity, které ale často ve spěchu přehlížíme. Test je dostupný bezplatně pro širokou veřejnost na adrese www.kybertest.cz.
Nejčastějším rizikem je stále podvodný e-maily
I podle policie se kybernetický zločin postupně, ale jistě přesouvá do kyber prostoru. Jaké útoky aktuálně ohrožují české klienta bank a jaké údaje banky ve skutečně používají k ověření identity a jak se budou útoky vyvíjet? Tyto otázky řešili bezpečnostní experti v podcastu ČBA. Záznam si pusťte níže.
Pravidelné vzdělávání zvyšuje bezpečnost dat
Nejčastějším způsobem šíření nejen malware zůstává e-mail. Rizikem je, že útoky se vyvíjejí a pro uživatele je čím dál složitější poznat podvody. Naopak dobrou zprávou, že nejčastější postupy se stále opakují a lze se je naučit.
Ve firemním prostředí doporučujeme se zaměřit na kurzy. Pomoci vám mohou třeba ukázky v článku, jak poznat phishing. Podle našich dat z konce loňského roku, se pravidelně vzdělává jen třetina zaměstnanců. Znalosti pak doporučujeme pravidelně testovat, na což ale Kybertest nebude stačit.
Doporučujeme připravit cílené testování například spearphishingu přímo vytvořené pro potřeby vaší firmy. Jde o službu zvanou penetrační testování. Naši technici budou podle předchozí domluvy hledat zranitelná málo zabezpečená místa. Součástí testů často je také phishing nebo vishing.