• pavlachvalkovska

3 cesty k vašim datům

Člověk nemusí být ani programátor, aby se získal vaše data. Stačí si levně koupit

na darknetu či po delším hledání na Googlu stáhnout software pro krádež dat a dostat

jej do vaší sítě. Jak to udělat? Je to celkem jednoduché.

Email a lehká manipulace

Představte si, že se chcete dostat k datům, které shromažďuje libovolná městská část či úřad v menším městě. Stačí si zjistit jméno, telefon a email libovolného pracovníka úřadu. Nejlépe takového, u kterého předpokládáte minimální znalost IT problematiky.

Ještě v lepším případě, když jej znáte a víte, co na něj platí. Pak stačí danému pracovníkovi poslat email, který bude vypadat jako zprávy poslané dodavatelem softwaru či vedoucím IT. V příloze emailu bude škodlivý software (např. spyware či ransomware). Případně do emailu umístíte odkaz, po jehož rozkliknutí dojde ke stažení softwaru. Následně danému člověku zavoláte s tím, že jste objevili bezpečnostní slabinu a že je nutné, aby ihned stáhl soubor

v příloze či klikl na odkaz. Co myslíte, kolik lidí si takovou informaci ověří?

Flashka jako dárek

Konference, soutěže, návštěvy z firem - to je jen pár zdrojů, kde můžete snadno a levně přijít k flash diskům. Pokud se do budovy vaší organizace lze dostat kdokoliv bez kontroly

a ověření záměru, pak také může jakákoliv osoba položit na libovolné místo (či místa)

v budově flash disk se škodlivým kódem. Co myslíte, že udělají zaměstnanci, kteří tuto flashku najdou? Kolik z nich se zkusí podívat na její obsah? A kdyby na flashce byla nálepka “platy vedení”, kdo odolá volání temné strany?

Milá návštěva

“Dobrý den, jsme z Microsoftu a jdeme k Vám na IT oddělení za panem Novákem pomoci mu s Azurem. Jsme s ním domluvení. Víme, kde jej najít. Pustíte nás prosím?” Říkají dva slušně vypadající a sebevědomě vystupující pánové repeční či vrátnému. Co myslíte, že se

v tu chvíli stane? Ověří si vrátný jejich identitu a zavolá panu Novákovi? Z vlastní zkušenosti vím, že do spousty organizací se stačí dostat pouze tak, že řeknete za kým jdete a nahlásíte jméno. Případně si opíší údaje z vaší občanky. Příliš se nekontroluje, zda s daným člověkem máte skutečně domluvenou schůzku. Jméno vedoucího IT oddělení najdete na webových stránkách skoro všech úřadů. Pak už můžete po budově chodit, jak chcete, a zkusit najít nezabezpečený vstup do sítě a něco do ní vypustit. Nebo můžete zkusit scénář s flashkami

či si jen obhlídnout terén.


Aby se někdo dostal k vašim datům nemusí to být hacker, programátor, tester či mít nějaké extra znalosti a schopnosti v IT. Stačí mu si koupit na darknetu (případně najít a stáhnout pomocí Google) software, co bude potřebovat, a pak jej jednoduše dostat do vaší sítě.

Jak to jde, už víte. Jeden ze způsobů účinné obrany představují školení zaměstnanců.

Vybrat si, které vám sedí, nejlépe můžete mezi našimi kurzy.

17 zobrazení

Nejnovější příspěvky

Zobrazit vše