Útočníci lákají na svou stranu zaměstnance telekomunikačních společností

20. 9. 2016 v sekci Článek

Zaměstnanci telekomunikačních providerů se často stávají aktivní součástí kybernetických zločinů. Není teď řeč o phishingu nebo šíření malwaru kvůli lajdáckému přístupu k bezpečnostním zásadám, ale jde o vědomou spolupráci (dobrovolnou i vynucenou) s kybernetickými zločinci. Podle studie Kaspersky Lab se touto cestou kybernetickým zločincům daří získávat přístupy k celým podnikovým sítím nebo k databázím s citlivými údaji o zákaznících.

Nejde přitom o náhodné útoky. Data providerů telekomunikačních služeb jsou nesmírně cenná, obzvláště v případě globálních hráčů – proto jsou oblíbeným terčem útočníků, přičemž není nic neobvyklého, že konají přímo na objednávku konkurence.

Často tak dochází k tomu, že útočníci získají díky „spolupráci“ zaměstnanců přístupy do sítě společnosti. Ze studie Kaspersky Lab vyplouvají na povrch i další metody, jak se mohou zaměstnanci zaplést s kybernetickými zločinci.

Asi vás nepřekvapí (a možná to znáte z vlastní zkušenosti), že občas použijete stejné heslo pro více služeb, nehledě na to, zda jde o pracovní CRM nebo soukromé sociální sítě. A stává se celkem pravidelně, že unikají databáze s hesly uživatelů (jako se to stalo Last.fm nebo Dropboxu, LinkedInu a dalším službám). Kyberútočník, který získá vaše přihlašovací údaje a dostane se k soukromým účtům, sociálním sítím či e-mailům, má okamžitě přesvědčivé „argumenty“, jak dotyčného donutit spolupracovat. Ostatně vzpomeňte na kauzu úniku dat ze seznamky Ashley Madison, to už je skutečně účinný materiál pro vydíraní. Slabší jedinci poté velice snadno vynášejí informace nebo se dokonce podílejí na dalších útocích.

Stává se však také, že zaměstnanci jednají zcela dobrovolně, respektive jsou motivováni finanční odměnou. Nemusí jít přitom vyloženě o útok, ale takový tip na potenciální oběť: Co třeba kolega, který moc nedodržuje nastavená bezpečnostní opatření, posílá si domů práci na soukromý e-mail nebo si důležitá data zálohuje na veřejná cloudová úložiště? Taková informace může mít pro útočníky, kteří hledají slabé místo, také slušnou cenu.

Ostatně, někdy se stává, že některý zaměstnanec je natolik iniciativní, že tyto informace vynáší i zadarmo a bez vyzvání. Nedávná kauza českého T-Mobilu hovoří za vše.

Jak se shodují bezpečnostní experti, největším rizikem a nejslabším článkem i té nejrobustněji zabezpečené infrastruktury, je vždycky člověk. Proto by zaměstnavatelé neměli zanedbávat osvětu zaměstnanců, pravidelné compliance audity, revize bezpečnostních politik a důsledné dodržování nastavených opatření.

Vaše SOCA

 






Tento web používá cookies. Více informací ROZUMÍM