Úvod: Povedomie o phishingu na pracovisku
Tento článok objasňuje čo Phishing je a ako tomu možno predchádzať pomocou vhodných nástrojov a školení. Text bol prepísaný z rozhovoru medzi Johnom Sheddom a Davidom McHaleom z HailBytes.
Čo je phishing?
Phishing je forma sociálneho inžinierstva, zvyčajne prostredníctvom e-mailu, SMS alebo telefónu, kde sa zločinci snažia získať informácie ktoré môžu použiť na prístup k veciam, ku ktorým by nemali mať prístup.
Pre ľudí, ktorí o tom nevedeli, existuje niekoľko rôznych typov phishingových útokov.
Aký je rozdiel medzi všeobecným phishingom a spearphishingom?
Všeobecné phishing je zvyčajne super hromadné rozosielanie e-mailov, ktoré majú rovnaký formát, aby ste sa pokúsili prinútiť niekoho, aby naň klikol bez veľkého úsilia.
Všeobecný phishing je v skutočnosti hra s číslami, zatiaľ čo spearphishing zločinci pôjdu a preskúmajú cieľ.
So spearphishingom je potrebná o niečo väčšia príprava a miera úspešnosti býva oveľa vyššia.
Výsledkom je, že ľudia, ktorí používajú spearphishing, sa zvyčajne zameriavajú na hodnotnejšie ciele. Niektoré príklady zahŕňajú účtovníkov alebo CFO, ktorí majú schopnosť skutočne im dať niečo hodnotné.
Na záver: Všeobecné phishing je do značnej miery samozrejmý s pojmom všeobecný a spearphishing je špecifickejší pre jednotlivé ciele.
Ako identifikujete phishingový útok?
Pri všeobecnom phishingu sa zvyčajne zobrazí názov domény, ktorý sa nezhoduje, alebo meno odosielateľa, ktoré nepoznáte. Ďalšia vec, ktorú si treba uvedomiť, je zlý pravopis alebo slabá gramatika.
Môžete vidieť prílohy, ktoré nedávajú veľký zmysel, alebo prílohy, ktoré sú typmi súborov, ku ktorým by ste za normálnych okolností nemali prístup.
Možno vás žiadajú, aby ste urobili niečo, čo je mimo bežného procesu vašej spoločnosti.
Aké sú niektoré osvedčené postupy na predchádzanie phishingovým útokom?
Dôležité je mať sa dobre bezpečnostné politiky v mieste.
Mali by ste rozumieť procesom, ktoré sú bežnými vysoko rizikovými činnosťami, ako je odosielanie miezd alebo posielanie bankových prevodov. Toto sú niektoré z najbežnejších vektorov, ktoré vidíme u zločincov, ktorí v podstate využívajú túto dôveru a potom poškodzujú spoločnosť.
Mali by ste pochopiť, že ak je niečo podozrivé, mali by to nahlásiť a mať zavedený nejaký proces, ktorý používateľom uľahčí požiadať o pomoc.
Mali by ste vedieť základné veci, ktoré je potrebné skontrolovať v každom e-maile, pretože veľa používateľov nevie, čo hľadať, alebo o tom jednoducho nevedia.
Ako Hailbytes pomáha s povedomím o phishingu a školením?
Ponúkame simulácie phishingu, pri ktorých budeme spoločnostiam posielať phishingové e-maily, na ktoré používatelia kliknú, a môžeme pochopiť, ako vyzerá ich stav zabezpečenia. Nakoniec sme schopní zistiť, ktorí používatelia sú v ich organizácii zraniteľní.
Naše nástroje im umožňujú preposielať e-maily a získať hlásenie, aby pochopili, čo o rizikových faktoroch v tomto e-maile, a potom interne dostaneme aj bezpečnostný tím.
Máme tiež základné a pokročilé bezpečnostné školenia, ktoré týmto používateľom ukážu veľa bežných taktík, ktoré sa používajú, a veľa bežných vecí, na ktoré si musia dávať pozor, keď majú podozrenie, že e-mail môže obsahovať phishingový útok.
Body záveru:
- Phishing je forma sociálneho inžinierstva.
- Všeobecné phishing je rozšírená forma útoku.
- Spearphishing zahŕňa výskum phishingového cieľa a je úspešnejší pre podvodníka.
- S bezpečnostnej politiky na mieste je prvým krokom k zmierneniu kyber ochrana hrozby.
- Phishingu možno predchádzať školením a simulátormi phishingu.
