Impersonace jako kybernetický postrach. O co se jedná?
Barbora Nováková
25. 08. 2023
Útoky, při nichž se podvodníci vydávají za někoho jiného, se stávají čím dál palčivějším problémem. Jak útočníci efektivně předstírají identitu jiné osoby, které taktiky používají a jak se mohou firmy chránit? Spousta otázek, na které vám níže odpovíme.
Na O2 Cybernews už jsme v minulosti psali o sociálním inženýrství. V tomto článku bychom se chtěli věnovat jedné z hackerských metod, kterou je impersonace neboli zosobnění. U impersonace největší trik spočívá v tom, že útočník převezme identitu důvěryhodných osob nebo subjektů, aby svou oběť oklamal. Hacker se třeba vydává za pracovníka technické podpory a žádá zaměstnance o přihlašovací údaje. Jde o typ cíleného phishingového (ale i vishingového nebo smishingového) útoku využívající různé taktiky sociálního inženýrství, kdy důvěřiví a nic netušící zaměstnanci ochotně a dobrovolně vykonají, co se po nich chce. Hackeři se snaží oběť oklamat a přimět ji k převodu peněz, předání citlivých informací nebo poskytnutí firemních přihlašovacích údajů, aby získali neoprávněný přístup do systémů a sítí.
Co je BEC alias zpronevěra obchodního e-mailu?
Příkladem takového útoku je situace, kdy zločinci použijí falešnou e-mailovou adresu vysoce postaveného vedoucího pracovníka nebo důležitého obchodního subjektu. Takový případ se nazývá zpronevěra obchodního e-mailu (business email compromise nebo zkráceně BEC), při níž útočník oklame svůj cíl a přiměje ho k provedení finančního převodu nebo k předání důležitých informací.
To se stalo například v roce 2016 rakouské společnosti FACC, dodavateli Airbusu a Boeingu. Ve falešném e-mailu se útočník vydával za tehdejšího CEO Waltera Stephana a požadoval po zaměstnanci převod peněz na účet pro falešný akviziční projekt. Firma přišla o 50 milionů eur.
Jeden z každých zhruba tří tisíc e-mailů, které obdrží vysoce postavený zaměstnanec (tedy zhruba jednou za měsíc), je ve skutečnosti právě takovým pokusem o vydávání se za někoho jiného.
Jaký je mechanismus impersonace?
Aby se útočníci mohli za někoho přesvědčivě vydávat, shromažďují informace z veřejně dostupných zdrojů, jako jsou LinkedIn, firemní webové stránky nebo účty na nejrůznějších sociálních sítích. Může se jednat například o názvy pracovních pozic, za co daný člověk ve firmě odpovídá, nebo dokonce i o individuální styl vyjadřování, který lze zneužít k vytvoření překvapivě přesvědčivé podvodné komunikace.
Specifickou a obzvláště zákeřnou formou BEC útoků je vydávání se přímo za generálního ředitele, takzvaný CEO podvod (CEO fraud). Při něm útočník obchází hierarchickou strukturu společnosti a komunikuje přímo se svým cílem, přičemž na něj často vyvíjí nátlak, aby rychle jednal v údajně naléhavé záležitosti. Oběť, která chce pod tlakem naléhavosti, již vytváří pocit přímé komunikace s autoritou, vyhovět požadavku domnělého ředitele, tak může nevědomky ohrozit bezpečnost nebo finanční zdroje firmy.
Jako příklad můžeme uvést nejmenovanou nadnárodní korporaci, která se stala obětí právě takového CEO podvodu. Útočník, který se vydával za generálního ředitele, zaslal finančnímu oddělení e-mail s žádostí o urgentní převod finančních prostředků jednomu z dodavatelů. E-mail byl velice dovedně formulovaný tak, aby napodoboval styl psaní generálního ředitele. Žádost navíc vypadala velice věrohodně i proto, že v tu dobu „jako naschvál“ probíhal jiný projekt s podobným dodavatelem. Finanční oddělení, které chtělo vyhovět požadavku generálního ředitele, proto peníze převedlo, aniž by požadavek ověřilo jiným kanálem. Nakonec byl sice podvod odhalen, společnost ale přišla o nemalou částku peněz.
Vishing: Když útočníci volají
Vishing je technika, kde útočníci využívají telefonní hovory k získání citlivých informací. Tlak na čas během hovoru může být efektivnější a pocit urgence psychologicky nebo emočně silnější. Přímý hovor od útočníka může vyvolat v oběti potřebu jednat okamžitě, omezit možnost klidného přemýšlení a vést k rychlejšímu jednání.
Co je behaviorální biometrika a k čemu slouží?
Zobrazit článek
Jak takové pokusy odhalit a jak se bránit?
Firmy i jednotlivci se před impersonačními a phishingovými podvody můžou chránit díky dobře nastaveným procesům odhalování podezřelého obsahu a vzdělávání lidí v kybernetické bezpečnosti. Přestože software s umělou inteligencí dokáže takové pokusy celkem dobře rozpoznat a odfiltrovat, klíčovým elementem je pořád člověk: proškolený a obezřetný zaměstnanec.
Kybernetická bezpečnost neznamená pouze chránit své systémy a sítě, je potřeba si dávat pozor i na elektronickou komunikaci mezi zaměstnanci firmy. Příkladem můžou být právě požadavky zdánlivě přicházející od důvěryhodného zdroje. Řešení nabízejí třeba různé systémy pro filtrování e-mailů, které podezřelé zprávy identifikují a dají je do „karantény“, nebo systémy založené na umělé inteligenci, které dokáží rozpoznat neobvyklé vzorce chování.
Přes O2 Next Generation Firewall neprojde kyberzločin za žádnou cenu. Vaše firemní připojení totiž spolehlivě ochráníme před různými typy nebezpečí.
Při těchto útocích ale zásadní roli hrají lidé. Je proto v zájmu managementu, aby manažeři svým podřízeným nabízeli komplexní školicí programy, které vzdělávají zaměstnance v oblasti kybernetických bezpečnostních hrozeb a osvědčených postupů, jak se jim bránit.
Co si z článku odnést:
- Kybernetický útok zvaný impersonace je stále častějším problémem. Útočníci se vydávají za důvěryhodné osoby nebo subjekty, aby oklamali zaměstnance a získali přístup do firemních systémů nebo získali citlivé informace.
- Útočníci shromažďují informace z veřejně dostupných zdrojů, jako jsou LinkedIn, firemní webové stránky nebo sociální média, aby lépe napodobili identitu pisatele, za kterého se vydávají.
- Jednou z taktik je CEO podvod, kdy útočník napodobí generálního ředitele a vyvíjí nátlak na zaměstnance, aby rychle jednali v údajně naléhavé záležitosti.
- Jak se bránit? Pokud máme podezření, měli bychom si ověřit totožnost odesílatele a legitimnost požadavku jiným kanálem, kontrolovat správnost e-mailových adres, snažit se vnímat kontext a syntaxi e-mailu.
- I přes pokročilé filtrační systémy a umělou inteligenci, které mohou detekovat pokusy o takové útoky, zůstává klíčem člověk. Proškolení a obezřetnost zaměstnanců jsou proto stěžejní.
Barbora Nováková
Marketingový specialista pro B2B
Byl pro vás článek užitečný?