Povědomí o phishingu: Jak se to děje a jak tomu zabránit
Proč zločinci používají phishingový útok?
Jaká je největší bezpečnostní chyba v organizaci?
Lidé!
Kdykoli chtějí infikovat počítač nebo získat přístup k důležitému informace jako čísla účtů, hesla nebo čísla PIN, stačí se zeptat.
Phishing Útoky jsou běžné, protože jsou:
- Snadné dělat – 6leté dítě by mohlo provést phishingový útok.
- Škálovatelné – Od útoků spear-phishing, které zasáhnou jednu osobu, až po útoky na celou organizaci.
- Velmi účinný - 74% organizací zažili úspěšný phishingový útok.
- Přihlašovací údaje k účtu Gmail – $80
- PIN ke kreditní kartě – $20
- Online bankovní přihlašovací údaje pro účty s nejméně 100 $ v nich - $40
- Bankovní účty s nejméně 2,000 $ - $120
Pravděpodobně si říkáte: "Páni, moje účty jdou na nejnižší dolar!"
A to je pravda.
Existují další typy účtů, které mají mnohem vyšší cenu, protože je snazší udržet převody peněz v anonymitě.
Účty, které obsahují kryptoměny, jsou jackpotem pro phishingové podvodníky.
Běžné sazby pro kryptoúčty jsou:
- Coinbase - $610
- Blockchain.com - $310
- Binance - $410
Existují také další nefinanční důvody pro phishingové útoky.
Phishingové útoky mohou využívat národní státy k pronikání do jiných zemí a těžbě jejich dat.
Útoky mohou vést k osobní pomstě nebo dokonce ke zničení pověsti korporací nebo politických nepřátel.
Důvody pro phishingové útoky jsou nekonečné…
Jak začíná phishingový útok?
Phishingový útok obvykle začíná tím, že zločinec přímo vystoupí a pošle vám zprávu.
Mohou vám zavolat, poslat e-mail, rychlou zprávu nebo SMS.
Mohli by tvrdit, že jsou někým, kdo pracuje pro banku, jinou společnost, se kterou obchodujete, vládní agenturu, nebo dokonce předstírají, že jsou někým ve vaší vlastní organizaci.
Phishingový e-mail vás může požádat, abyste klikli na odkaz nebo stáhli a spustili soubor.
Můžete si myslet, že jde o legitimní zprávu, klikněte na odkaz v jejich zprávě a přihlaste se na zdánlivě web organizace, které důvěřujete.
V tomto okamžiku je phishingový podvod dokončen.
Útočníkovi jste předali své soukromé informace.
Jak zabránit phishingovému útoku
Hlavní strategií, jak se vyhnout phishingovým útokům, je školení zaměstnanců a budování povědomí o organizaci.
Mnoho phishingových útoků vypadá jako legitimní e-maily a může projít přes spamový filtr nebo podobné bezpečnostní filtry.
Na první pohled může zpráva nebo webová stránka vypadat jako skutečné s použitím známého rozložení loga atd.
Odhalení phishingových útoků naštěstí není tak obtížné.
První věc, na kterou si dejte pozor, je adresa odesílatele.
Pokud je adresa odesílatele variantou domény webu, na kterou jste možná zvyklí, možná budete chtít postupovat opatrně a neklikat na nic v těle e-mailu.
Pokud existují nějaké odkazy, můžete se také podívat na adresu webu, na kterou jste přesměrováni.
Pro jistotu byste měli do prohlížeče zadat adresu organizace, kterou chcete navštívit, nebo použít oblíbené položky prohlížeče.
Dejte si pozor na odkazy, na které se při najetí myší zobrazí doména, která není stejná jako společnost odesílající e-mail.
Pečlivě si přečtěte obsah zprávy a buďte skeptičtí ke všem zprávám, které vás žádají o odeslání vašich soukromých dat nebo ověření informací, vyplnění formulářů nebo stažení a spuštění souborů.
Také se nenechte zmást obsahem zprávy.
Útočníci se vás často snaží vyděsit, aby vás přiměli kliknout na odkaz, nebo vás odměnit za získání vašich osobních údajů.
Během pandemie nebo národní nouze využijí phishingoví podvodníci obavy lidí a použijí obsah předmětu nebo těla zprávy, aby vás vyděsili, abyste podnikli akci a klikli na odkaz.
Zkontrolujte také pravopisné nebo gramatické chyby v e-mailové zprávě nebo na webu.
Další věc, kterou je třeba mít na paměti, je, že většina důvěryhodných společností vás obvykle nebude žádat o zasílání citlivých dat prostřednictvím webu nebo pošty.
Proto byste nikdy neměli klikat na podezřelé odkazy nebo poskytovat jakékoli citlivé údaje.
Co mám dělat, když dostanu phishingový e-mail?
Pokud obdržíte zprávu, která vypadá jako phishingový útok, máte tři možnosti.
- Smazat to.
- Ověřte obsah zprávy kontaktováním organizace prostřednictvím jejího tradičního komunikačního kanálu.
- Zprávu můžete přeposlat svému oddělení bezpečnosti IT k další analýze.
Vaše společnost by již měla prověřovat a filtrovat většinu podezřelých e-mailů, ale obětí se může stát kdokoli.
Bohužel, phishingové podvody jsou na internetu stále větší hrozbou a padouši stále vyvíjejí nové taktiky, jak se dostat do vaší schránky.
Mějte na paměti, že nakonec jste poslední a nejdůležitější vrstvou obrany proti pokusům o phishing.
Jak zastavit phishingový útok dříve, než k němu dojde
Vzhledem k tomu, že phishingové útoky spoléhají na lidskou chybu, aby byly účinné, nejlepší možností je vyškolit lidi ve vaší firmě, jak se vyhnout návnadě.
To neznamená, že musíte mít velkou schůzku nebo seminář o tom, jak se vyhnout phishingovému útoku.
Existují lepší způsoby, jak najít mezery ve vaší bezpečnosti a zlepšit vaši lidskou reakci na phishing.
2 kroky, které můžete podniknout, abyste zabránili phishingovému podvodu
A phishingový simulátor je software, který vám umožňuje simulovat phishingový útok na všechny členy vaší organizace.
Simulátory phishingu se obvykle dodávají se šablonami, které pomáhají maskovat e-mail jako důvěryhodného dodavatele nebo napodobovat interní formáty e-mailů.
Simulátory phishingu nevytvářejí pouze e-mail, ale pomáhají nastavit falešné webové stránky, na které příjemci nakonec zadají své přihlašovací údaje, pokud testem neprojdou.
Spíše než nadávat jim, že spadli do pasti, je nejlepším způsobem, jak situaci vyřešit, poskytnout informace o tom, jak v budoucnu vyhodnocovat phishingové e-maily.
Pokud někdo neprojde testem phishingu, je nejlepší mu poslat seznam tipů, jak odhalit phishingové e-maily.
Tento článek můžete dokonce použít jako referenci pro své zaměstnance.
Další velkou výhodou použití dobrého simulátoru phishingu je, že můžete měřit lidskou hrozbu ve vaší organizaci, kterou je často těžké předvídat.
Školení zaměstnanců na bezpečnou úroveň zmírňování může trvat až rok a půl.
Je důležité vybrat správnou infrastrukturu pro simulaci phishingu pro vaše potřeby.
Pokud provádíte simulace phishingu v jedné firmě, bude váš úkol jednodušší
Pokud jste MSP nebo MSPP, možná budete muset provést testy phishingu ve více firmách a lokalitách.
Volba cloudového řešení by byla nejlepší volbou pro uživatele provozující více kampaní.
V Hailbytes jsme nakonfigurovali GoPhish, jeden z nejpopulárnějších open-source phishingových rámců jako an snadno použitelná instance na AWS.
Mnoho simulátorů phishingu přichází v tradičním modelu Saas a jsou s nimi spojeny těsné smlouvy, ale GoPhish na AWS je cloudová služba, kde platíte měřenou sazbou, nikoli 1 nebo 2 roky smlouvy.
Krok 2. Školení povědomí o bezpečnosti
Klíčová výhoda poskytování zaměstnanců bezpečnostní povědomí školení je chrání před krádeží identity, bankovní krádeží a odcizenými obchodními doklady.
Školení o povědomí o bezpečnosti je nezbytné pro zlepšení schopnosti zaměstnanců rozpoznat pokusy o phishing.
Kurzy mohou pomoci vyškolit zaměstnance, aby odhalovali pokusy o phishing, ale jen některé se zaměřují na malé podniky.
Pro vás jako majitele malé firmy může být lákavé snížit náklady na kurz zasláním videí na Youtube o povědomí o bezpečnosti…
ale personál málokdy vzpomíná tento typ tréninku déle než několik dní.
Hailbytes má kurz, který obsahuje kombinaci rychlých videí a kvízů, takže můžete sledovat pokrok svých zaměstnanců, dokázat, že jsou zavedena bezpečnostní opatření, a výrazně snížit své šance na phishingový podvod.
Zde se můžete podívat na náš kurz na Udemy nebo klikněte na kurz níže:
Pokud máte zájem spustit bezplatnou simulaci phishingu pro školení svých zaměstnanců, zamiřte na AWS a vyzkoušejte GoPhish!
Začít je snadné a kdykoli budete potřebovat pomoc s nastavením, můžete se na nás obrátit.
