Zažijte simulovaný hackerský útok na vlastní kůži

Foto: Útočník dokáže oběti podvrhnout telefonní číslo z jeho seznamu
ZLÍNSKÝ KRAJ - Víte, že pro úspěšný průnik do vaší sítě stačí jediná oběť, která útočníkovi podlehne? Nechat se nachytat v simulovaném testu nemá žádný vliv na fungování firmy, ale má vysoký edukativní účinek pro všechny.

Všichni víme, že odolnost každého systému je tak silná jako jeho nejslabší článek, a tím bývá zpravidla uživatel. Jak vypadají následky takového útoku, jsme se všichni mohli přesvědčit v medializovaných případech, kdy byly postižené organizace nuceny zastavit nebo omezit provoz až na několik dní.

Zkušený útočník pracuje s emocemi. Dobře ví, že pokud informace zpracováváme pod vlivem emocí, zapomínáme kriticky myslet a jsme snáze zranitelní. Pro zahájení útoku využije zpravidla oslovení e-mailem. Použije perfektní češtinu. Dokonce věrohodně napodobí i styl firemní komunikace. Vydává se třeba za personalistu a žádá od svých kolegů, aby si prostřednictvím odkazu zkontrolovali výplatní pásku. Uživatel se tak rázem ocitne ve stresové situaci. Aby nepřišel o část výplaty, na odkaz klikne a zadá své přihlašovací údaje do podvodné stránky. Útočník tak získal heslo, které zaměstnanec možná používá i pro přístup do dalších interních systémů. A pokud je obětí administrátor, útočník získal cenný úlovek a může si směle vytvořit tzv. backdoor – zadní vrátka pro trvalý přístup do vnitřní sítě.

Mezi oblíbené a vysoce účinné prostředky patří také reverzní proxy, která funguje jako podvržený prostředník pro spojení s legitimním portálem nebo často zneužívaná makra. Malé pomocné programy uložené standardně ve Wordu nebo Excelu, které mohou být jak užitečné, tak i zneužitelné. Pozor také na telefony a USB! Stačí, když takových pár Flash disků útočník zanechá ve veřejně dostupných kancelářích. Je vysoce pravděpodobné, že někdo disk najde a vloží do svého počítače. Disk může být naprogramovaný jako klávesnice, začít chrlit stovky znaků, a otevřít za pár sekund zadní vrátka útočníkovi. V případě telefonátu pak dokáže útočník simulovat například služební hovor a vystupovat v roli nadřízeného. Podvržené číslo si telefon přiřadí ke shodnému číslu ve svém uloženém seznamu a telefonát zobrazí, jako běžný příchozí hovor ze známého čísla! Pak už stačí vymluvit se na okolní hluk, horší signál nebo nachlazení a následky hovoru si nemusíme vysvětlovat.

Jednou z možností, jak snížit šance útočníka, je vyzkoušet si takový útok na vlastní kůži. Zjistíte tak, jak se vaši uživatelé skutečně zachovají. V průběhu testu pak sledujeme jejich reakce a chování. Zda otevřeli e-mail, stáhli přílohu, klikli na odkaz, případně poskytli i přihlašovací údaje. Můžeme tak vyhodnotit skutečnou míru odolnosti vůči reálné hrozbě a přijmout včas nápravná opatření. Školicí efekt můžeme navíc posílit edukativní stránkou nebo aplikací, která bude uživatele názorně informovat o metodách a důsledcích útoků a poskytne jim rady, jak podobným hrozbám čelit.

Autor článku působí ve společnosti Trusted Network Solutions, kde vede tým etických hackerů, řídí projekty penetračních testů a podílí se na zavádění procesní bezpečnosti.

Autor: Peter Šinaľ