| |
| it:sec:phishing [2026/06/06 14:52] – vytvořeno admin | it:sec:phishing [2026/06/06 14:55] (aktuální) – upraveny odstavce admin |
|---|
| ==== Běžné techniky sociálního inženýrství ==== | ==== Běžné techniky sociálního inženýrství ==== |
| |
| Pretexting: Útočník si vytvoří falešnou identitu a promyšlený scénář. Může se vydávat například za technickou podporu, auditora nebo policii, aby získal citlivé údaje. | Pretexting: Útočník si vytvoří falešnou identitu a promyšlený scénář. Může se vydávat například za technickou podporu, auditora nebo policii, aby získal citlivé údaje. |
| |
| Baiting: Využití lidské zvědavosti nebo chamtivosti. Klasickým příkladem je záměrně zanechaný infikovaný flash disk s chytlavým názvem (např. ''Mzdy_2026.xlsx'') na parkovišti před firmou. | Baiting: Využití lidské zvědavosti nebo chamtivosti. Klasickým příkladem je záměrně zanechaný infikovaný flash disk s chytlavým názvem (např. ''Mzdy_2026.xlsx'') na parkovišti před firmou. |
| |
| Quid pro quo: Nabídka služby nebo výhody výměnou za informace. Například falešný IT technik obvolává zaměstnance s tím, že jim "opraví" pomalý počítač, pokud mu obratem sdělí své přístupové heslo. | Quid pro quo: Nabídka služby nebo výhody výměnou za informace. Například falešný IT technik obvolává zaměstnance s tím, že jim "opraví" pomalý počítač, pokud mu obratem sdělí své přístupové heslo. |
| |
| Tailgating (Piggybacking): Fyzický průnik do zabezpečeného prostoru. Útočník těsně následuje oprávněnou osobu do budovy, například tím, že předstírá, že nese těžké krabice a požádá o podržení dveří. | Tailgating (Piggybacking): Fyzický průnik do zabezpečeného prostoru. Útočník těsně následuje oprávněnou osobu do budovy, například tím, že předstírá, že nese těžké krabice a požádá o podržení dveří. |
| |
| ===== Phishing ===== | ===== Phishing ===== |
| ==== Typy phishingu ==== | ==== Typy phishingu ==== |
| |
| Spear phishing: Cílený útok na konkrétního jednotlivce nebo organizaci. Zpráva je vysoce personalizovaná a často obsahuje informace, které útočník předem shromáždil z veřejných zdrojů, sociálních sítí nebo OSINT (//Open-Source Intelligence//). | Spear phishing: Cílený útok na konkrétního jednotlivce nebo organizaci. Zpráva je vysoce personalizovaná a často obsahuje informace, které útočník předem shromáždil z veřejných zdrojů, sociálních sítí nebo OSINT (//Open-Source Intelligence//). |
| |
| Whaling: Specifický druh spear phishingu zaměřený na takzvané "velké ryby" – vysoce postavené manažery (CEO, CFO). Cílem bývá často kompromitace e-mailu za účelem autorizace velkých finančních transakcí (známé také jako //CEO fraud//). | Whaling: Specifický druh spear phishingu zaměřený na takzvané "velké ryby" – vysoce postavené manažery (CEO, CFO). Cílem bývá často kompromitace e-mailu za účelem autorizace velkých finančních transakcí (známé také jako //CEO fraud//). |
| |
| Vishing (Voice Phishing): Phishing prováděný telefonicky. Útočník se snaží vyvolat pocit naléhavosti, například volá jménem banky a tvrdí, že došlo k "napadení účtu" a je nutné okamžitě přesunout prostředky. | Vishing (Voice Phishing): Phishing prováděný telefonicky. Útočník se snaží vyvolat pocit naléhavosti, například volá jménem banky a tvrdí, že došlo k "napadení účtu" a je nutné okamžitě přesunout prostředky. |
| |
| Smishing (SMS Phishing): Podvodné zprávy šířené prostřednictvím SMS nebo komunikačních aplikací typu WhatsApp. Často obsahují zkrácené URL adresy a zprávy o zablokovaných balíčcích nebo nezaplacených pokutách. | Smishing (SMS Phishing): Podvodné zprávy šířené prostřednictvím SMS nebo komunikačních aplikací typu WhatsApp. Často obsahují zkrácené URL adresy a zprávy o zablokovaných balíčcích nebo nezaplacených pokutách. |
| |
| ===== Obrana a mitigace ===== | ===== Obrana a mitigace ===== |
| ==== Technická opatření ==== | ==== Technická opatření ==== |
| |
| MFA (Multi-Factor Authentication): Vícefázové ověřování je absolutně kritickým prvkem. Pokud uživatel nevědomky odevzdá své heslo útočníkovi, bez druhého faktoru (např. TOTP kódu nebo hardwarového tokenu) se útočník k účtu nepřihlásí. | MFA (Multi-Factor Authentication): Vícefázové ověřování je absolutně kritickým prvkem. Pokud uživatel nevědomky odevzdá své heslo útočníkovi, bez druhého faktoru (např. TOTP kódu nebo hardwarového tokenu) se útočník k účtu nepřihlásí. |
| |
| Zabezpečení e-mailové infrastruktury: Nasazení a striktní konfigurace protokolů pro ověření e-mailů – SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) a DMARC (Domain-based Message Authentication, Reporting, and Conformance). Tyto nástroje dramaticky ztěžují podvržení odesílatele (//Email Spoofing//). | Zabezpečení e-mailové infrastruktury: Nasazení a striktní konfigurace protokolů pro ověření e-mailů – SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) a DMARC (Domain-based Message Authentication, Reporting, and Conformance). Tyto nástroje dramaticky ztěžují podvržení odesílatele (//Email Spoofing//). |
| |
| Filtrování a Sandboxing: Pokročilé e-mailové brány s antispamem a izolovaným prostředím pro testování podezřelých příloh (sandbox) a analýzu URL adres v reálném čase. | Filtrování a Sandboxing: Pokročilé e-mailové brány s antispamem a izolovaným prostředím pro testování podezřelých příloh (sandbox) a analýzu URL adres v reálném čase. |
| |
| ==== Organizační opatření ==== | ==== Organizační opatření ==== |
| |
| Edukace a školení: Pravidelná, interaktivní školení zaměstnanců spojená s náhodnými simulacemi phishingových kampaní. Zaměstnanci musí umět rozpoznat znaky manipulace (časový nátlak, hrozby, neobvyklé požadavky). | Edukace a školení: Pravidelná, interaktivní školení zaměstnanců spojená s náhodnými simulacemi phishingových kampaní. Zaměstnanci musí umět rozpoznat znaky manipulace (časový nátlak, hrozby, neobvyklé požadavky). |
| |
| Zero Trust: Přijetí principu "nikdy nedůvěřuj, vždy prověřuj". | Zero Trust: Přijetí principu "nikdy nedůvěřuj, vždy prověřuj". |
| |
| Ověřovací procesy: Zavedení procesů mimo digitální komunikaci. Například požadavek na změnu bankovního účtu dodavatele zaslaný e-mailem musí být vždy ověřen telefonicky kontaktní osobě přes číslo, které již má firma v interním systému. | Ověřovací procesy: Zavedení procesů mimo digitální komunikaci. Například požadavek na změnu bankovního účtu dodavatele zaslaný e-mailem musí být vždy ověřen telefonicky kontaktní osobě přes číslo, které již má firma v interním systému. |
