„Já bych nikdy nenaletěl!“: Jak snadno lidé podléhají phishingu – příklad z praxe

Naše nedávné testování jedné banky, kde jsme simulovali phishingový útok, přineslo překvapivá zjištění – a poukázalo na to, jak snadno lidé podlehnou.

Jak test probíhal?

Test jsme provedli mezi zaměstnanci banky, kteří by měli být na podobné pokusy dobře připraveni. E-mail se tvářil jako interní zpráva od personálního oddělení a byl odeslán z falešné domény, která vypadala velmi podobně jako oficiální. Obsahoval atraktivní nabídku: možnost získat zdarma vstupenky do divadla. Stačilo kliknout na odkaz a „rezervovat si své místo“. Na první pohled nic podezřelého, žádné hrozby ani výhružky – jen neškodná a lákavá nabídka. Jak test dopadl?

• 120 e-mailů bylo odesláno (100 %).
  Simulace byla navržena tak, aby odpovídala reálným phishingovým útokům – profesionální vzhled, logo banky, důvěryhodný text.
• 72 e-mailů bylo otevřeno (60 %).
  Téměř dvě třetiny příjemců si e-mail přečetly. To ukazuje, že důvěryhodně vypadající obsah přitahuje pozornost.
• 48 lidí kliklo na odkaz (40 %).
  Skoro polovina příjemců klikla na odkaz, který vedl na podvodnou stránku, a tím udělala klíčový krok, který útočníci potřebují.
• 10 lidí zadalo své přihlašovací údaje (8 %).
  Přibližně každý dvanáctý člověk zadal své přihlašovací údaje na podvodné stránce. V reálném útoku by to znamenalo, že jejich účty byly kompromitovány.

Proč lidé naletí?

Phishingové útoky nejsou vždy založené na strachu nebo naléhavosti. Mnohdy naopak spoléhají na naši zvědavost, touhu získat něco zdarma nebo důvěru ve známou značku. V tomto případě lákala zaměstnance na vstupenky do divadla. Zdánlivě neškodná nabídka je přiměla překonat obezřetnost.

1. Důvěra ve známé prostředí:
   E-mail působil, jako by pocházel z interní komunikace banky, což odstranilo první vlnu podezření.
2. Zajímavá nabídka:
   Lidé často reagují na příležitosti, které vypadají příliš dobře na to, aby je ignorovali. Vstupenky do divadla zdarma působily atraktivně.
3. Nedostatek školení:
   Test ukázal, že i zaměstnanci banky, kde je bezpečnost klíčová, nejsou vždy dostatečně vyškoleni, aby podobné útoky rozpoznali.

Co si z toho vzít?

1. Phishing není vždy zjevný:
   Mnoho lidí očekává, že podvodné e-maily budou obsahovat gramatické chyby nebo podezřelé odkazy. Moderní phishing je však sofistikovaný a těžko odhalitelný.
2. Kybernetická bezpečnost je o tréninku:
   Zaměstnanci i běžní uživatelé potřebují pravidelná školení a testy, aby se naučili rozpoznávat útoky a správně reagovat.
3. Buďte skeptičtí:
   I když e-mail vypadá jako od důvěryhodného zdroje, vždy si ověřte jeho legitimitu. Pokud něco vypadá příliš dobře, aby to byla pravda, pravděpodobně jde o podvod.

Jak se bránit phishingu?

1. Neotevírejte neznámé odkazy:
   Pokud dostanete e-mail s odkazem, zvažte, zda je důvěryhodný. Raději se přihlaste do služby ručně přes její oficiální stránku.
2. Zaměřte se na detaily:
   Zkontrolujte adresu odesílatele, pravopis a odkazy. Pokud cokoliv působí podezřele, je lepší být opatrný.
3. Zavolejte nebo napište:
   Máte pochybnosti o e-mailu? Kontaktujte přímo odesílatele přes oficiální kanál, abyste si ověřili pravost zprávy.
4. Nahlaste podezřelé e-maily:
   Pokud se jedná o firemní e-mail, vždy podezřelou zprávu přepošlete IT oddělení. U soukromých účtů můžete phishing nahlásit poskytovateli e-mailové služby.

„Já bych nikdy nenaletěl!“ – Opravdu?

Tento test ukázal, že i ti, kteří by měli být na phishing připraveni, se mohou stát obětí. Není to otázka inteligence nebo zkušeností, ale našeho přirozeného chování, které útočníci umí skvěle zneužít. Klíčem k ochraně není jen technologie, ale také naše schopnost rozpoznat hrozby a reagovat na ně správně.

A co vy? Myslíte si, že byste phishingový e-mail odhalili? Nebo by vás přesvědčila nabídka, která vypadá až příliš lákavě? Statistiky ukazují, že realita je často jiná, než si myslíme. Buďte obezřetní a myslete na to, že i malá nepozornost může mít velké následky.