Phishingové útoky patří dlouhodobě mezi největší kybernetické hrozby pro organizace. Stále platí, že i dokonale zabezpečenou síť může ohrozit lidský faktor – jediný neopatrný klik zaměstnance na podvodný odkaz může útočníkům otevřít dveře do firemního systému.
Phishingové útoky patří dlouhodobě mezi největší kybernetické hrozby pro organizace všech velikostí. I dokonale zabezpečenou síť může ohrozit lidský faktor – jediný neopatrný klik zaměstnance na podvodný odkaz může útočníkům otevřít dveře do firemního systému.
Phishing – podvodné e-maily vydávající se za legitimní komunikaci – stojí za významnou částí bezpečnostních incidentů:
71 % narušení bezpečnosti ve finančním sektoru bylo provázeno zneužitím phishingového e-mailu
71 % organizací celosvětově zažilo alespoň jeden úspěšný phishingový útok v roce 2023
„Již pouhé jedno otevření phishingového e-mailu důvěřivým uživatelem může mít za následek infekci firemního počítače"
Udělejte první krok, my se postaráme o zbytek
Phishing označuje podvodnou techniku, při níž útočník rozesílá falešné zprávy (typicky e-maily), které se tváří jako legitimní komunikace od známých institucí, partnerů či kolegů. Cílem je přimět oběť k:
Kliknutí na odkaz vedoucí na podvrženou přihlašovací stránku
Vyzrazení přihlašovacích údajů
Stažení škodlivé přílohy
Odeslání peněz na účet podvodníka
Phishingové zprávy často zneužívají známé značky (banky, poštovní služby, Microsoft/Google) a manipulují člověka pomocí sociálního inženýrství – vyvolávají naléhavost, strach nebo naopak nabízejí lákavé příležitosti.
Útočníkům umožňuje obejít drahá technická opatření tím, že zneužijí důvěřivost lidí. Stačí, aby zaměstnanec neúmyslně prozradil své heslo či otevřel infikovanou přílohu, a útočníci mohou získat přístup do firemní sítě.
Phishing je navíc extrémně rozšířený – každý den jsou globálně rozesílány miliardy podvodných e-mailů. V České republice řadí NÚKIB phishing dlouhodobě mezi nejčastější kybernetické útoky.
Útočníci neustále inovují své techniky – využívají QR kódy, falešné webové stránky (pharming) a dokonce i umělou inteligenci k vytváření věrohodných podvodů. To vše komplikuje obranu. Lidský faktor zůstává nejslabším článkem zabezpečení – a právě na jeho posílení míří simulované phishingové kampaně.
Simulovaná phishingová kampaň je předem naplánovaný test, při kterém bezpečnostní tým firmy (případně najatý poskytovatel služeb) rozešle zaměstnancům podvržené e-maily, jež napodobují reálné phishingové útoky.
Jde o kontrolovaný experiment v bezpečných podmínkách – e-maily neobsahují skutečný malware a získaná data jsou uložena bezpečně u organizátora testu. Cílem je zjistit, jak by zaměstnanci reagovali při opravdovém útoku, a následně je naučit správné reakci.
Nasazení pravidelných simulovaných phishingových kampaní přináší firmám řadu konkrétních výhod:
Zvýšení povědomí a praktický trénink
Teoretické školení o kyberhrozbách často nestačí; zaměstnanci si rizika nejlépe uvědomí, když je sami zažijí nanečisto. Simulované útoky drží lidi v pozoru a neustále posilují jejich bdělost.
Zaměstnanci si vytvoří návyk kontrolovat adresy odesílatelů, neklikat bezmyšlenkovitě na odkazy a všímat si varovných znaků. Ti, kteří se nechají nachytat, dostanou neškodnou lekci a příště budou opatrnější. Úroveň kybernetické gramotnosti ve firmě tak postupně roste.
Snížení rizika reálného útoku
Největším benefitem je prevence skutečných incidentů. Data společnosti KnowBe4 ukazují, že bez jakéhokoli tréninku je průměrně kolem 30–35 % zaměstnanců náchylných stát se obětí phishingu, zatímco po roce pravidelného školení a testování klesá toto číslo zhruba na 5 %.
To představuje více než 80% pokles rizika úspěšného útoku. Organizace, které testují častěji, vykazují lepší výsledky než ty, které školí jen občas.
Udělejte první krok, my se postaráme o zbytek