Phishing to jedna z najbardziej popularnych metod ataków na firmy. Na całym świecie w ostatnim roku wzrost liczby ataków phishingowych odnotowało 70 proc. podmiotów zatrudniających co najmniej 100 pracowników – wynika z badania spółki Sophos. Przestępcy szybko wykorzystali możliwości, które stworzyła pandemia: wzrost liczby osób pracujących z domu i popularności zakupów online oraz powszechny wśród pracowników niepokój. Znaczny wzrost liczby ataków odnotowali przedsiębiorcy działający we wszystkich branżach. To pokazuje, że cyberprzestępcy starają się przede wszystkim dotrzeć do jak największej liczby pracowników.
– Phishing od wielu lat pozostaje skuteczną metodą cyberataków. Przestępcy za jego pomocą grają na ludzkich emocjach i zaufaniu, wyłudzając dane oraz nakłaniając do kliknięcia w złośliwe linki lub załączniki, dzięki podszywaniu się pod znane firmy i instytucje – ostrzega Monika Sierocinski, kierownik w firmie Sophos.
Dodaje, że przedsiębiorcy często uważają phishing za niewielkie zagrożenie. Zwykle jest on jednak pierwszym etapem bardziej złożonego ataku. E-mail od rzekomego współpracownika i kliknięcie w złośliwy link może skutkować wielomilionowymi stratami. Przestępcy zyskują wtedy dostęp do komputera ofiary oraz firmowej sieci, z której mogą pobierać informacje, blokować je, a nawet kraść pieniądze.
Przy tym phising jest różnie rozumiany. W Polsce specjaliści IT najczęściej definiują go jako e-maile ze złośliwym załącznikiem (69 proc.), albo takie, które są wysyłane w ramach specjalnych kampanii, poprzedzonych wywiadem środowiskowym (63 proc.). Dla 63 proc. badanych jest to kradzież danych uwierzytelniających poprzez pocztę elektroniczną, a 62 proc. twierdzi, że to e-maile ze złośliwymi linkami. Natomiast 41 proc. uważa, że phising to wiadomości SMS nakłaniające do podania informacji.
Wiele firm próbuje radzić sobie z phisingiem, prowadząc działania edukacyjne. Głównie są to szkolenia i symulacje ataków. Aż 75 proc. przedsiębiorców miało taki program edukacyjny jeszcze przed wybuchem pandemii. Wciąż jednak tylko połowa przedsiębiorstw śledzi współczynnik kliknięć w wiadomości phishingowe, a nieco ponad trzy piąte – liczbę zgłaszanych podejrzanych e-maili.
– Takie informacje mogłyby pomóc zespołom IT w dopasowywaniu szkoleń do potrzeb pracowników oraz poprawianiu poziomu ochrony – mówi Monika Sierocinski.
Jej zdaniem najlepiej uniemożliwiać docieranie złośliwych wiadomości do adresatów poprzez odpowiednie zabezpieczenia poczty elektronicznej. Trzeba je jednak uzupełniać, zwiększając świadomość dotyczącą zagrożeń wśród pracowników.
– Aby szkolenia, zwłaszcza kadry nietechnicznej, były skuteczne, ważne jest wyjaśnienie definicji ataków i kanałów, którymi są podejmowane, oraz upewnienie się, że wszyscy rozumieją je podobnie. Równie istotne jest sprawdzanie, czy pracownicy zgłaszają podejrzane wiadomości i czy wiedzą, w co nie powinni klikać – radzi Monika Sierocinski.