Povedomie o phishingu: Ako sa to deje a ako tomu predchádzať
Prečo zločinci používajú phishingový útok?
Aká je najväčšia bezpečnostná chyba v organizácii?
Ľudia!
Kedykoľvek chcú infikovať počítač alebo získať prístup k dôležitým veciam informácie ako čísla účtov, heslá alebo čísla PIN, všetko, čo musíte urobiť, je požiadať.
phishing Útoky sú bežné, pretože sú:
- Jednoduché – 6-ročné dieťa by mohlo vykonať phishingový útok.
- Škálovateľné – Od útokov typu spear-phishing, ktoré zasiahnu jednu osobu, až po útoky na celú organizáciu.
- Veľmi efektívne - 74% organizácií zažili úspešný phishingový útok.
- Prihlasovacie údaje účtu Gmail – $80
- PIN kreditnej karty – $20
- Online bankové poverenia pre účty s najmenej 100 dolárov v nich - $40
- Bankové účty s najmenej 2,000 dolárov - $120
Pravdepodobne si pomyslíte: "Páni, moje účty idú na dno dolára!"
A toto je pravda.
Existujú aj iné typy účtov, ktoré majú oveľa vyššiu cenu, pretože je jednoduchšie udržiavať prevody peňazí v anonymite.
Účty, ktoré obsahujú krypto, predstavujú jackpot pre phishingových podvodníkov.
Bežné sadzby pre kryptoúčty sú:
- Coinbase- $610
- Blockchain.com – $310
- Binance - $410
Pre phishingové útoky existujú aj iné nefinančné dôvody.
Phishingové útoky môžu národné štáty použiť na preniknutie do iných krajín a ťažbu ich údajov.
Útoky môžu byť za účelom osobnej pomsty alebo dokonca zničenia reputácie korporácií alebo politických nepriateľov.
Dôvody phishingových útokov sú nekonečné...
Ako začína phishingový útok?
Phishingový útok sa zvyčajne začína tým, že zločinec príde priamo von a pošle vám správu.
Môžu vám zavolať, poslať e-mail, rýchlu správu alebo SMS.
Mohli by tvrdiť, že sú niekým, kto pracuje pre banku, inú spoločnosť, s ktorou obchodujete, vládnu agentúru alebo dokonca predstierajú, že sú niekým vo vašej vlastnej organizácii.
Phishingový e-mail vás môže požiadať, aby ste klikli na odkaz alebo si stiahli a spustili súbor.
Môžete si myslieť, že ide o legitímnu správu, kliknite na odkaz v ich správe a prihláste sa na webovú stránku organizácie, ktorej dôverujete.
V tomto bode je phishingový podvod dokončený.
Útočníkovi ste odovzdali svoje súkromné informácie.
Ako zabrániť phishingovému útoku
Hlavnou stratégiou, ako sa vyhnúť phishingovým útokom, je školiť zamestnancov a budovať povedomie organizácie.
Mnohé phishingové útoky vyzerajú ako legitímne e-maily a môžu prejsť cez spamový filter alebo podobné bezpečnostné filtre.
Na prvý pohľad môže správa alebo webová stránka vyzerať ako skutočná s použitím známeho rozloženia loga atď.
Našťastie odhalenie phishingových útokov nie je také ťažké.
Prvá vec, na ktorú si treba dať pozor, je adresa odosielateľa.
Ak je adresa odosielateľa variáciou domény webovej lokality, na ktorú ste zvyknutí, možno budete chcieť postupovať opatrne a neklikať na nič v tele e-mailu.
Môžete sa tiež pozrieť na adresu webovej stránky, na ktorú ste presmerovaní, ak existujú nejaké odkazy.
Pre istotu by ste mali do prehliadača zadať adresu organizácie, ktorú chcete navštíviť, alebo použiť obľúbené položky prehliadača.
Dávajte si pozor na odkazy, ktoré pri umiestnení kurzora myši ukazujú doménu, ktorá nie je rovnaká ako spoločnosť, ktorá odosiela e-mail.
Pozorne si prečítajte obsah správy a buďte skeptický voči všetkým správam, ktoré vás žiadajú o zaslanie vašich súkromných údajov alebo overenie informácií, vyplnenie formulárov alebo stiahnutie a spustenie súborov.
Tiež sa nenechajte zmiasť obsahom správy.
Útočníci sa vás často snažia vystrašiť, aby vás prinútili kliknúť na odkaz, alebo vás odmeniť za získanie vašich osobných údajov.
Počas pandémie alebo celoštátnej núdzovej situácie phishingoví podvodníci využijú obavy ľudí a použijú obsah predmetu alebo tela správy, aby vás vystrašili, aby ste podnikli kroky a klikli na odkaz.
Tiež skontrolujte pravopisné alebo gramatické chyby v e-mailovej správe alebo webovej stránke.
Ďalšia vec, ktorú treba mať na pamäti, je, že väčšina dôveryhodných spoločností vás zvyčajne nebude žiadať o odosielanie citlivých údajov prostredníctvom webu alebo pošty.
Preto by ste nikdy nemali klikať na podozrivé odkazy ani poskytovať akékoľvek citlivé údaje.
Čo mám robiť, ak dostanem phishingový e-mail?
Ak dostanete správu, ktorá vyzerá ako phishingový útok, máte tri možnosti.
- Vymaž to.
- Overte obsah správy kontaktovaním organizácie prostredníctvom jej tradičného komunikačného kanála.
- Správu môžete poslať svojmu oddeleniu IT bezpečnosti na ďalšiu analýzu.
Vaša spoločnosť by už mala kontrolovať a filtrovať väčšinu podozrivých e-mailov, ale obeťou sa môže stať každý.
Nanešťastie, phishingové podvody sú na internete čoraz väčšou hrozbou a zlí chlapci neustále vyvíjajú nové taktiky, ako sa dostať do vašej doručenej pošty.
Majte na pamäti, že nakoniec ste poslednou a najdôležitejšou vrstvou obrany proti phishingovým pokusom.
Ako zastaviť phishingový útok skôr, ako k nemu dôjde
Keďže phishingové útoky sa spoliehajú na ľudskú chybu, aby boli účinné, najlepšou možnosťou je vyškoliť ľudí vo vašej firme, ako sa vyhnúť návnadám.
To neznamená, že musíte mať veľké stretnutie alebo seminár o tom, ako sa vyhnúť phishingovému útoku.
Existujú lepšie spôsoby, ako nájsť medzery vo vašej bezpečnosti a zlepšiť ľudskú reakciu na phishing.
2 kroky, ktoré môžete podniknúť, aby ste zabránili podvodom typu phishing
A simulátor phishingu je softvér, ktorý vám umožňuje simulovať phishingový útok na všetkých členov vašej organizácie.
Simulátory phishingu sa zvyčajne dodávajú so šablónami, ktoré pomáhajú zamaskovať e-mail ako dôveryhodného dodávateľa alebo napodobňovať interné formáty e-mailov.
Simulátory phishingu nielenže vytvárajú e-mail, ale pomáhajú nastaviť falošnú webovú stránku, do ktorej príjemcovia nakoniec zadajú svoje poverenia, ak neprejdú testom.
Namiesto toho, aby ste im vyčítali, že spadli do pasce, najlepším spôsobom, ako situáciu vyriešiť, je poskytnúť informácie o tom, ako v budúcnosti hodnotiť phishingové e-maily.
Ak niekto neuspeje v teste phishingu, je najlepšie mu poslať zoznam tipov, ako odhaliť phishingové e-maily.
Tento článok môžete dokonca použiť ako referenciu pre svojich zamestnancov.
Ďalšou veľkou výhodou používania dobrého simulátora phishingu je, že môžete merať ľudskú hrozbu vo vašej organizácii, ktorú je často ťažké predvídať.
Vyškolenie zamestnancov na bezpečnú úroveň zmierňovania môže trvať až rok a pol.
Je dôležité vybrať správnu infraštruktúru simulácie phishingu pre vaše potreby.
Ak robíte simulácie phishingu v rámci jednej firmy, vaša úloha bude jednoduchšia
Ak ste MSP alebo MSPP, možno budete musieť spustiť testy phishingu vo viacerých firmách a lokalitách.
Výber cloudového riešenia by bol najlepšou voľbou pre používateľov s viacerými kampaňami.
V Hailbytes sme nakonfigurovali GoPhish, jeden z najpopulárnejších rámcov na phishing s otvoreným zdrojovým kódom ľahko použiteľná inštancia na AWS.
Mnoho simulátorov phishingu prichádza v tradičnom modeli Saas a sú s nimi spojené prísne zmluvy, ale GoPhish na AWS je cloudová služba, v ktorej platíte podľa meranej sadzby, a nie na základe zmluvy na 1 alebo 2 roky.
Krok 2. Školenie v oblasti povedomia o bezpečnosti
Kľúčová výhoda poskytovania zamestnancov bezpečnostné povedomie školenie ich chráni pred krádežou identity, bankovou krádežou a odcudzenými obchodnými údajmi.
Školenie na zvýšenie povedomia o bezpečnosti je nevyhnutné na zlepšenie schopnosti zamestnancov rozpoznať pokusy o phishing.
Kurzy môžu pomôcť vyškoliť zamestnancov na odhaľovanie pokusov o phishing, ale len niektoré sa zameriavajú na malé podniky.
Pre vás ako vlastníka malej firmy môže byť lákavé znížiť náklady na kurz odoslaním niekoľkých videí na Youtube o povedomí o bezpečnosti…
ale personál málokedy si pamätá tento typ tréningu na viac ako niekoľko dní.
Hailbytes má kurz, ktorý obsahuje kombináciu rýchlych videí a kvízov, takže môžete sledovať pokrok svojich zamestnancov, dokázať, že sú zavedené bezpečnostné opatrenia, a výrazne znížiť svoje šance na phishingový podvod.
Náš kurz na Udemy si môžete pozrieť tu alebo kliknite na kurz nižšie:
Ak máte záujem spustiť bezplatnú simuláciu phishingu na školenie svojich zamestnancov, zamierte na AWS a vyskúšajte GoPhish!
Začať je jednoduché a vždy sa na nás môžete obrátiť, ak potrebujete pomoc s nastavením.
