Člověk nemusí být ani programátor, aby se získal vaše data. Stačí si levně koupit
na darknetu či po delším hledání na Googlu stáhnout software pro krádež dat a dostat
jej do vaší sítě. Jak to udělat? Je to celkem jednoduché.
Email a lehká manipulace
Představte si, že se chcete dostat k datům, které shromažďuje libovolná městská část či úřad v menším městě. Stačí si zjistit jméno, telefon a email libovolného pracovníka úřadu. Nejlépe takového, u kterého předpokládáte minimální znalost IT problematiky.
Ještě v lepším případě, když jej znáte a víte, co na něj platí. Pak stačí danému pracovníkovi poslat email, který bude vypadat jako zprávy poslané dodavatelem softwaru či vedoucím IT. V příloze emailu bude škodlivý software (např. spyware či ransomware). Případně do emailu umístíte odkaz, po jehož rozkliknutí dojde ke stažení softwaru. Následně danému člověku zavoláte s tím, že jste objevili bezpečnostní slabinu a že je nutné, aby ihned stáhl soubor
v příloze či klikl na odkaz. Co myslíte, kolik lidí si takovou informaci ověří?
Flashka jako dárek
Konference, soutěže, návštěvy z firem - to je jen pár zdrojů, kde můžete snadno a levně přijít k flash diskům. Pokud se do budovy vaší organizace lze dostat kdokoliv bez kontroly
a ověření záměru, pak také může jakákoliv osoba položit na libovolné místo (či místa)
v budově flash disk se škodlivým kódem. Co myslíte, že udělají zaměstnanci, kteří tuto flashku najdou? Kolik z nich se zkusí podívat na její obsah? A kdyby na flashce byla nálepka “platy vedení”, kdo odolá volání temné strany?
Milá návštěva
“Dobrý den, jsme z Microsoftu a jdeme k Vám na IT oddělení za panem Novákem pomoci mu s Azurem. Jsme s ním domluvení. Víme, kde jej najít. Pustíte nás prosím?” Říkají dva slušně vypadající a sebevědomě vystupující pánové repeční či vrátnému. Co myslíte, že se
v tu chvíli stane? Ověří si vrátný jejich identitu a zavolá panu Novákovi? Z vlastní zkušenosti vím, že do spousty organizací se stačí dostat pouze tak, že řeknete za kým jdete a nahlásíte jméno. Případně si opíší údaje z vaší občanky. Příliš se nekontroluje, zda s daným člověkem máte skutečně domluvenou schůzku. Jméno vedoucího IT oddělení najdete na webových stránkách skoro všech úřadů. Pak už můžete po budově chodit, jak chcete, a zkusit najít nezabezpečený vstup do sítě a něco do ní vypustit. Nebo můžete zkusit scénář s flashkami
či si jen obhlídnout terén.
Aby se někdo dostal k vašim datům nemusí to být hacker, programátor, tester či mít nějaké extra znalosti a schopnosti v IT. Stačí mu si koupit na darknetu (případně najít a stáhnout pomocí Google) software, co bude potřebovat, a pak jej jednoduše dostat do vaší sítě.
Jak to jde, už víte. Jeden ze způsobů účinné obrany představují školení zaměstnanců.
Vybrat si, které vám sedí, nejlépe můžete mezi našimi kurzy.