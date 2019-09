Brno - Dostat škodlivý kód do interní počítačové sítě firmy nebo veřejné instituce je snadné. Byť má instituce třeba tisíce zaměstnanců, stačí jediný, který útočníkovi podlehne. Na konferenci CyberCon v Brně to dnes řekl Lukáš Antal, který se zabývá metodami takzvaného hackingu a školením zaměstnanců. Popisoval dnes způsoby, jak se do vnitřní počítačové sítě dostat osobně, pomocí e-mailu i telefonicky. První den dvoudenní akce vysílá živě ČTK v servisu PROTEXT VIDEO.

Konferenci pořádá Národní úřad pro kybernetickou a informační bezpečnost, její pátý ročník dnes a ve čtvrtek hostí kino Scala. Antal popsal, jakými jednoduchými způsoby interní síť například banky prolomit.

Útočník může soubor se spustitelným škodlivým kódem nahrát na USB disk, který nechá po pohovoru přímo v bance, či jich několik rozhodí na parkovišti, které zaměstnanci banky používají

"Předpokládá se, že zaměstnanec flash disk najde a co udělá? Je zvědavý, zastrčí ho do počítače a dívá se, co na něm je. Útočník ho ale musí také motivovat, aby obsah otevřel. Nejjednodušší je spustitelný soubor nazvaný třeba mzdy nebo odměny," uvedl Antal. Zaměstnanec tím nevědomky útočníkovi zpřístupní interní síť organizace.

Dalším způsobem jsou e-maily a přílohy v nich, přičemž i zde může jít o přílohy ze zajímavým názvem. Cílem je donutit zaměstnance přílohu otevřít. To jde snáz, pokud se e-mail tváří, jako by ho poslala osoba z blízkého okruhu pracovníka. Lze to také provést jednoduše, protože i adresy odesílatelů jdou podle Antala zfalšovat. Nebo alespoň vyhotovit podobnou adresu té, ze které by obdobný e-mail mohl přijít.

Zaútočit lze i telefonicky. "Stačí, když se útočník bude vydávat třeba za někoho z IT oddělení," uvedl Antal. Hacker vyrukuje s historkou, že zaměstnancův počítač šíří viry, takže má pracovník zadat do prohlížeče určitou doménu a stáhnout z ní záplatu.

Antal se tematikou hackingu v podobě sociálního inženýrství a školením zabývá dlouhodobě. Na konferenci tak zazněl i reálný telefonát, kterým zaměstnance banky Antal takto jednoduše navedl, aby škodlivý kód spustil. Odborník popsal, jak v jiném případě zase asistentka ředitele aktivně záplatu stáhla jak do svého počítače, tak i do počítače ředitele. Jiná pracovnice zase nerozuměla, co po ní přes telefon chce, a tak mu poskytla své přístupové údaje, aby jí pomohl vzdáleně.

"Útočníkovi stačí jeden zaměstnanec z těch stovek a tisíců, který takto šlápne na minu a tím ho pustí do interní sítě. Obrana je přitom proti těmto typům útokům obrovsky složitá," uvedl Antal. Nejefektivnější metodou obrany je podle něj pravidelně opakované školení.

