Phishingový podvod ukázal na jednu významnou slabost dodavatelského řetězce

Systém MailChimp je světovým synonymem pro rozesílání newsletterů. Hack tohoto systému udělal vrásky nejednomu marketingovému manažerovi. „Hackerům se v MailChimpu podařilo získat přístup k více jak 100 zákaznickým účtům. Jedním z postižených e-mailových seznamů byla databáze společnosti Trezor, která vyrábí krypto-peněženky. Útočníci se následně snažili získat přihlašovací údaje ke kryptoměnovým peněženkám tím způsobem, že jejich majitelům jménem Trezoru rozeslali informační e-mail přímo z MailChimpu,“ uvádí Martin Lohnert, specialista pro oblast kyberbezpečnosti ve společnosti Soitron. V e-mailu klienti Trezoru obdrželi tvrzení, že jejich účty byly kompromitovány v důsledku úniku dat. E-mail obsahoval odkaz na údajnou aktualizovanou verzi aplikace Trezor Suite spolu s pokyny k nastavení nového přístupového PINu – přičemž se však jednalo o podvržený phishingový web určený k získání jejich přihlašovacích údajů.

Tento případ jasně ukazuje na to, jak složité je zabezpečení všemožných služeb či aplikací, které se dají v dnešní době naprosto běžně pronajímat nebo jsou k dispozici zdarma. „IT oddělení firmy může mít sebelepší ochranu vnitřního prostředí, ale pokud nebude řešit, jak jsou na tom jejich dodavatelé, nebo za jakých podmínek společnost využívá externí systémy, nebude jim to stačit. I jedna kompromitovaná služba či aplikace, může ohrozit celý byznys či reputaci firmy,“ dodává M. Lohnert.

V případě finančních institucí jako jsou banky, pojišťovny apod., se z důvodu přísných pravidel nemůže zaměstnanec rozhodnout a začít v práci nějakou novou aplikaci používat, i když je zdarma. Mnoho jiných organizací je ale daleko benevolentnějších. Přitom, pokud se již firma rozhodne využít nějaké řešení třetí strany, vždy by se měla zabývat i jejím zabezpečením, uvádí tisková zpráva společnosti Soitron.

Exit mobile version