DORA je tady: Co to znamená pro IT dodavatele bank a pojišťoven
Evropské nařízení DORA mění způsob, jakým finanční instituce vybírají a řídí IT dodavatele. Pokud vyvíjíte software pro banky nebo pojišťovny, tohle musíte vědět.
Na parkovišti v Bratislavě se objevily nálepky s QR kódy. Vypadají jako pokuta od města. Nejsou.
Když je řidič naskenuje telefonem, otevře se stránka, která vypadá přesně jako slovensko.sk. Formulář žádá jméno, rodné číslo a údaje z občanského průkazu. Řidič je ve stresu, myslí si, že dostal pokutu, a chce to vyřešit hned. A právě v tu chvíli útočník získá všechno, co potřeboval.
Slovenský CSIRT tuto kampaň zachytil začátkem dubna a vydal varování. Ale QR nálepky jsou jen jedna část většího problému.
CSIRT identifikoval doménu platby-mvsr.sk, která předstírá platební portál Ministerstva vnitra. A pak sk-slovensko.web.app, kopii státního portálu slovensko.sk, hostovanou na Firebase.
Firebase hosting je zdarma. HTTPS certifikát dostanete automaticky. Za hodinu máte funkční falešný portál slovensko.sk. Zámek v prohlížeči svítí zeleně, protože HTTPS neznamená „bezpečná stránka". Znamená jen „šifrované připojení". I k podvodníkovi.
Oba weby obsahují ministerská loga, správné barvy, formuláře. Některé varianty žádají přímo platbu, prý za administrativní úkon.
A kampaň nezůstává jen u QR kódů. Chodí i SMS zprávy, které tvrdí, že vám do 24 hodin vypnou přístup k slovensko.sk, pokud se neověříte přes odkaz. Lidé se bojí, že přijdou o elektronickou schránku, a kliknou.
Většina lidí čeká phishing přes e-mail. Na to jsou aspoň trochu připravení. Ale fyzická nálepka na čelním skle? Někdo ji musel vytisknout, přijít osobně a nalepit na vaše auto. To působí oficiálně. Jako úřední akt.
Na telefonu pak nemáte nic z toho, co by vás chránilo na pracovním počítači. Žádný firemní firewall. Žádný e-mailový filtr. Jen prohlížeč a falešná stránka.
Pokud jste dnes ráno naskenovali nějaký QR kód na autě, čtěte dál.
Zaměstnanec, který naskenuje podvodný QR kód osobním telefonem, na kterém má i firemní e-mail. To je cesta do firemní infrastruktury. Stačí jedno kompromitované heslo. BYOD politiky to ještě zhoršují, protože osobní a pracovní se na jednom zařízení prolínají.
Pokud útočníci napodobují ministerstva, stejně snadno napodobí váš fakturační systém nebo klientský portál. Doména fakturacia-vasafirma.sk stojí pár eur a za hodinu je na ní funkční kopie Vaší přihlašovací stránky. Když na ni zákazník naletí, nedůvěřuje pak útočníkovi. Nedůvěřuje vám. Zapamatuje si, že „na stránce té firmy" mu ukradli údaje.
Firemní telefonní čísla jsou dostupná z veřejných rejstříků, webů, LinkedIn profilů. SMS phishing tedy necílí jen na soukromá čísla. Pokud vaši obchodníci mají číslo na vizitce, jsou v dosahu.
ENISA udává průměr kybernetické připravenosti EU na 62,65 ze 100. Individuální skóre jednotlivých zemí nezveřejnili, ale phishingové kampaně s falešnými státními weby hlásí CERT týmy v Česku, Polsku i Rakousku. Liší se jen jazyk na stránce.
DMARC byste měli mít nastavený od včerejška. Pokud ho nemáte v režimu reject, útočníci můžou posílat e-maily, které vypadají, jako by přišly z Vaší domény. A vy se o tom nedozvíte. SPF + DKIM + DMARC se nastavuje v řádech hodin, ne dní.
Ochrana na úrovni DNS (Cloudflare Gateway, Cisco Umbrella) zablokuje známé phishingové domény ještě předtím, než se stránka začne načítat. Pro firmy do 100 lidí existují bezplatné plány.
A QR kódy? Zavedení pravidla „žádný QR z neověřeného zdroje na firemním zařízení" zní jednoduše, ale většina firemních bezpečnostních politik na to ještě nemyslí. Stejná logika platí pro QR kódy v e-mailech. QR kód v e-mailu je téměř vždy podezřelý.
Pošlete zaměstnancům oznámení s konkrétními doménami a screenshoty falešných webů. Obecné „buďte opatrní" nefunguje. Lidé si ho přečtou a zapomenou. Konkrétní příklad falešného formuláře, který žádá rodné číslo, si zapamatují.
Slovenské státní portály běží na .gov.sk nebo slovensko.sk. Cokoli na .web.app, .site, .online nebo s pomlčkami v názvu ministerstva je podezřelé. Pokud web žádá rodné číslo přes formulář bez přihlášení přes eID, není legitimní. A pokud přišla SMS s urgentním termínem, vězte, že žádná reálná státní služba vám nezruší přístup za 24 hodin bez předchozího upozornění poštou.
Děláme školení o rozpoznávání phishingu pro firemní týmy. 90 minut, praktické ukázky s reálnými příklady, včetně těch slovenských, které CSIRT zachytil tento měsíc. Děláme je proto, že jsme sami viděli, jak na ně lidé reagují. Když vidí reálný slovenský phishing na obrazovce, zapamatují si to. Pokud vás to zajímá, ozvěte se nám.
Související články:
Vedoucí marketingu a obsahu v Rise.sk. Věnuje se B2B obsahové strategii a srozumitelné komunikaci technických tém pro rozhodující a realizační týmy.
Evropské nařízení DORA mění způsob, jakým finanční instituce vybírají a řídí IT dodavatele. Pokud vyvíjíte software pro banky nebo pojišťovny, tohle musíte vědět.
Čínské modely zaostávají za americkou špičkou už jen měsíce, ne roky, a za zlomek ceny. Pro evropskou firmu není otázka, kdo vyhraje závod, ale jestli a jak je používat.
Firemní klienti vám začnou posílat NIS2 dotazníky. Softwarové firmy potřebují znát bezpečnostní základ, řešení incidentů a rizika dodavatelského řetězce.
Váš kontext rozhoduje