Phishing to próba wyłudzenia lub wprost kradzieży od ofiary poufnych informacji, np. loginów, numerów kart kredytowych i rachunków bankowych czy wrażliwych informacji. Podczas ataku może też dojść do zainfekowania komputera złośliwym oprogramowaniem. Pomimo powszechności zjawiska, jedynie 66 proc. pracowników polskich firm deklaruje, że wie, czym jest phishing.
Wersja wyrafinowana
Phishing może mieć różne oblicza, ale w przypadku ataków na firmy, cyberprzestępcy coraz częściej wykorzystują tzw. spear phishing, czyli bardziej celne i spersonalizowane działanie.
- Stosujący tę metodę cyberprzestępcy zbierają wszelkie dostępne informacje na temat struktury wewnętrznej organizacji, imion, nazwisk, powiązań służbowych, aby uprawdopodobnić treści fałszywych wiadomości. Tego typu działania są znacznie trudniejsze do wykrycia i spędzają sen z powiek szefom nawet dobrze zabezpieczonych organizacji. Takie ataki, choć znacznie rzadsze i kosztowne w przygotowaniu, są szczególnie groźne, jeśli zostaną zastosowane wobec wyższej kadry zarządzającej – mówi Paweł Jurek, Business Development Director w DAGMA Bezpieczeństwo IT.
Nadużywanie służbowego sprzętu zwiększa ryzyko
Jak pokazuje praktyka, polskie firmy są narażone nie tylko na ataki wycelowane bezpośrednio w biznes. Według danych ESET i DAGMA Bezpieczeństwo IT, aż 55 proc. pracowników używa firmowego sprzętu do celów prywatnych, co oznacza dla przedsiębiorstw podwójną podatność.
- Powszechna dostępność laptopów służbowych sprawia, że w wielu przypadkach pracownicy nie inwestują we własne niezależne urządzenia, tylko wykorzystują otrzymany od firm sprzęt do prywatnych celów. Niepokojące są dane, że jednym z najczęstszych sposobów użytkowania sprzętu firmowego do celów prywatnych jest korzystanie przez pracowników z prywatnych mediów społecznościowych, a jednocześnie co piąty pracownik klika na służbowym urządzeniu w linki z nieznanych źródeł. – wyjaśnia Kamil Sadkowski, Analityk cyberzagrożeń, ESET.
Obrona konieczna
Na szczęście są sposoby na neutralizację cyberoszustw. Jak się przed nimi chronić? Przede wszystkim warto starannie sprawdzać adres nadawcy podejrzanego emaila (czy to na pewno oficjalny adres?) i adres domeny (np. firma-pomoc.com zamiast firma.pl), a także zbadać, czy nie ma w adresach literówek, które są częstym znakiem oszustwa Jednak wraz z rozwojem sztucznej inteligencji ludzkie możliwości wykrycia próby oszustwa stają się coraz słabsze. Koniecznym wsparciem będzie oprogramowanie zabezpieczające, które m.in. wykryje i zablokuje niebezpieczne pliki czy poinformuje o fałszywych stronach wyłudzających dane.
Nie można ulegać presji! Jeśli email wymusza natychmiastowe działanie, należy tym ostrożniej analizować jego prawdziwość. Jak? Przez weryfikację informacji w innym kanale, np. przez ręczne zalogowanie się do panelu obsługi klienta u swojego dostawcy, a nie przez kliknięcie w link z podejrzanego emaila.
Bez wiedzy nie ma prewencji
Należy też pamiętać o zgłaszaniu każdego incydentu, nawet wtedy, gdy dzięki ostrożności uda się uniknąć skutków ataku. To obszar, który wciąż wymaga budowania świadomości. Według danych ESET i DAGMA Bezpieczeństwo IT, aż 17 proc. pracowników, którzy zetknęli się z próbą cyberataku, nie przekazało tej informacji nikomu w firmie.
- Z perspektywy zarządzania ryzykiem oznacza to poważne ograniczenie możliwości reakcji oraz zapobiegania kolejnym zagrożeniom. Warto zastanowić się nie tylko nad tym, czy procedury zgłaszania są znane, ale również, czy pracownicy mają do nich zaufanie i czy wiedzą, kiedy należy z nich skorzystać - tłumaczy Beniamin Szczepankiewicz, Analityk cyberzagrożeń, ESET.
Partnerem publikacji jest ESET i DAGMA Bezpieczeństwo IT