Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Petra Javornická

Petra Javornická
18. 07. 2024

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Phishingové e-maily, podvodné telefonáty a další techniky sociálního inženýrství zůstávají největší kybernetickou hrozbou pro jedince i firmy. Internetovým podvodníkům v posledních letech nahrávají také pokroky v umělé inteligenci, která generuje čím dál přesvědčivější obsah. Princip těchto technik ale zůstává stejný: útočníci zneužívají lidskou důvěřivost, zvědavost nebo strach. Jaký typ lidí je nejnáchylnější k tomu, aby těmto nekalým praktikám uvěřil?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Sociální inženýrství představuje pro firmy velký problém: nejslabším článkem v organizaci je totiž stále a vždycky člověk. Internetoví zločinci a podvodníci využívají řadu manipulativních technik k získání důvěrných firemních informací, přístupů do nejrůznějších systémů nebo i finančních prostředků od nic netušících obětí.

Zneužívají přitom přirozené lidské tendence, jako je důvěřivost, zvědavost nebo touha pomáhat. Prostřednictvím různých metod, včetně phishingových e-mailů, přesvědčování přes telefon (vishing) nebo podvržených webových stránek útočí na jednotlivce a často se snaží proniknout i do firemního prostředí.

AI posunuje sociální inženýrství na další úroveň

Významným bezpečnostním rizikem se v posledních letech stává i zneužití umělé inteligence. Ta útočníkům nabízí pomocnou ruku při vytváření falešných identit a klonování hlasu, což může vést k novým, výrazně sofistikovanějším formám sociálního inženýrství.

Umělá inteligence umožňuje generovat realistická videa a zvukové nahrávky, které už nyní vypadají a zní jako skutečné osoby. Tím se otevírá cesta k těžko rozpoznatelné manipulaci a podvodům na bázi deepfakes, což bude mít za následek zdánlivě autentickou komunikaci s důvěryhodnou osobou nebo institucí.

Na rostoucí využití AI a deepfakes se organizace musí adaptovat a vyvíjet nové bezpečnostní strategie tak, aby zahrnovaly obranu proti těmto sofistikovaným hrozbám.

Na koho ve firmě cílí hackeři?

Strategičtí zaměstnanci

Ať už podvodníci využívají AI, nebo ne, přizpůsobují typ útoku důkladným výběrem potenciálních obětí. Útočníci preferují cíle s vysokou strategickou hodnotou, což obvykle zahrnuje osoby s klíčovými pozicemi a funkcemi v organizaci.

Častým terčem jsou tak lidé ve vedení společností, vzhledem k jejich přístupu k citlivým informacím, bankovním účtům a nadřazeným oprávněním v rámci interních systémů, které přesahují běžné možnosti zaměstnanců na nižších pozicích.

Zaměstnanci z finančního oddělení

Další skupinou, na niž se podvodníci zaměřují, jsou zaměstnanci finančního oddělení, kteří mají odpovědnost za správu finančních zdrojů společnosti. A neméně významný cíl pro hackery představuje oddělení informačních technologií, jelikož jeho pracovníci disponují privilegovanými přístupy k informačním systémům, datům a IT infrastruktuře organizace.

Ti, kteří nejčastěji spolknou kybernávnadu

Ale nejde jen o pracovní pozici. Vědci z Human Factors and Ergonomics Society vytvořili velkou metastudii, která syntetizovala výsledky z více než padesáti výzkumů na téma sklony uvěřit phishingu. Podle jejich závěrů v náchylnosti hraje roli mnoho faktorů – ať už to jsou osobnostní rysy, demografické aspekty, úroveň vzdělání nebo digitální gramotnost. Pochopení těchto „zranitelných míst“ je klíčové jak pro firmy, tak i jednotlivce, kteří chtějí posílit svou obranyschopnost v oblasti kybernetické bezpečnosti.

Ze zmiňované metastudie vyplývá, že významnou roli při určování tendence kliknout na phishing hrají osobnostní rysy. Častými indikátory tak jsou například extroverze, impulzivnost, senzacechtivost, zvědavost, důvěřivost nebo submisivnost. Kromě toho jsou více ohroženy osoby s nižší úrovní emoční stability. Proč? Výzkumy ukazují, že tyto jedince charakterizuje zvýšená predispozice k prožívání pocitů viny, kterou často podvodníci zneužívají v rámci taktik sociálního inženýrství.

Dále mohou zranitelnost jedinců ovlivnit sociodemografické faktory, jako je věk, pohlaví nebo úroveň vzdělání. Studie mimo jiné ukázaly, že oběťmi sociálního inženýrství se častěji stávají mladší osoby, zejména ve věku 18 až 25 let. To potvrzuje i nedávný výzkum americké Federální obchodní komise: 40 % dvacátníků se stalo obětí online podvodu, zatímco u osob starších 70 let to bylo pouze 18 %. Některé výzkumy naznačují, že ženy mohou být náchylnější než muži, i když výsledky nejsou jednoznačné.

Nelze podceňovat ani význam počítačové gramotnosti a způsob využívání technologií. Studie ukazují, že jedinci s vyšší úrovní počítačové gramotnosti, kteří jsou zároveň obeznámeni s konkrétními platformami a pohodlně se na nich pohybují, jsou méně náchylní k útokům sociálního inženýrství. Naopak k vyšší náchylnosti vede závislost na internetu.

Podle zmiňované metastudie hrají ale zásadní roli ve schopnosti odhalit podvod znalosti a zkušenosti jednotlivce v oblasti kybernetické bezpečnosti. Lidé s vyšší úrovní povědomí o počítačové bezpečnosti, kteří jsou obeznámeni s taktikami phishingu a jsou pravidelně školeni, se méně často stávají oběťmi. Naopak vyšší riziko hrozí těm, kteří v poslední době školení neabsolvovali nebo mají menší obavy o soukromí na internetu.

Základem je prevence ve formě vzdělávání a školení

Je důležité si ale uvědomit, že i když tyto faktory mohou pomoci identifikovat osoby, které jsou zranitelnější vůči sociálnímu inženýrství, nezaručují, že se někdo nestane obětí útoku.

Informovanost, vzdělávání a ostražitost jsou klíčové pro všechny bez ohledu na jejich „skóre“ z výše zmíněné studie. Organizace by měly usilovat o vytvoření kultury povědomí o kybernetické bezpečnosti a poskytovat pravidelná školení, která zaměstnancům pomohou rozpoznat pokusy o sociální inženýrství a vhodně na ně reagovat.

5 tipů, jak školit zaměstnance 

  • Analyzujte rizika specifická pro vaši firmu: Před výběrem školení pečlivě zanalyzujte potenciální rizika, která ohrožují právě vaši firmu, abyste mohli zvolit relevantní témata.
  • Přizpůsobte školení různým pracovním pozicím: Školení by mělo být uzpůsobeno specifickým potřebám jednotlivých pracovníků, například IT oddělení by mělo absolvovat jiný typ školení než obchodní oddělení.
  • Organizujte pravidelná menší školení: Častější a kratší školení v průběhu roku jsou efektivnější než jedno velké školení ročně, protože zaměstnanci lépe udrží pozornost a zapamatují si klíčové informace.
  • Udržujte školení aktuální a zábavná: Školení by měla reagovat na nejnovější trendy a hrozby a měla by umět zaujmout, například pomocí herních prvků, aby si zaměstnanci lépe osvojili potřebné dovednosti.
  • Vnímejte školení jako zaměstnanecký benefit: Správně zorganizované školení může být atraktivním benefitem, protože zaměstnanci získají užitečné dovednosti, které mohou využít i mimo pracovní prostředí.

Vedle vícevrstvé technologické ochrany, pravidelných aktualizací softwaru a nepřetržitého monitoringu hrozeb hraje v obraně proti sociálnímu inženýrství a kybernetickým hrozbám obecně zásadní roli vzdělávání zaměstnanců. Pravidelná školení a osvětové programy jim přinesou neocenitelné znalosti a dovednosti potřebné k rozpoznání a odvrácení potenciálních útoků.

Co si z článku odnést?

  • Nejčastější obětí hackerů jsou podle výzkumů mladí, extrovertní lidé, kteří tráví na internetu hodně času. Jejich zvědavost, impulzivnost a důvěřivost z nich může dělat snadné cíle pro kybernetické útoky, které využívají techniky sociálního inženýrství.
  • Hackeři stále více využívají umělou inteligenci k vytváření realistických deepfake videí a zvukových nahrávek, což vede k sofistikovanějším formám podvodů.
  • Pravidelná a aktuální školení zaměstnanců jsou klíčovým prvkem v boji proti kybernetickým hrozbám. Základem je personalizovaný přístup ke vzdělávání vycházející z identifikace nejohroženějších pracovních pozic.


Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data
Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?
Získali jsme specializaci Fortinet Security Operations

Získali jsme specializaci Fortinet Security Operations

Získali jsme specializaci Fortinet Security Operations
AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning

AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning

AI v kybernetické bezpečnosti, 1. díl: od Turinga po deep learning
O2 Security Report za první pololetí 2024: více než 2,1 miliardy odvrácených hrozeb

O2 Security Report za první pololetí 2024: více než 2,1 miliardy odvrácených hrozeb

O2 Security Report za první pololetí 2024: více než 2,1 miliardy odvrácených hrozeb
Ransomware je v roce 2024 ještě zákeřnější než kdy dřív. Co o něm dnes musíte vědět?

Ransomware je v roce 2024 ještě zákeřnější než kdy dřív. Co o něm dnes musíte vědět?

Ransomware je v roce 2024 ještě zákeřnější než kdy dřív. Co o něm dnes musíte vědět?
asd