E-mail, który może kosztować miliony. Jak chronić firmę przed phishingiem?
Prowadzący phishingowy atak cyberprzestępca przyjmuje fałszywą tożsamość, aby oszukać ofiarę i wyłudzić od niej wrażliwe informacje, zazwyczaj za pośrednictwem poczty elektronicznej. Wiadomości te często zawierają złośliwe linki lub załączniki. Phishing stanowi duże zagrożenie dla wszystkich użytkowników sieci, gdyż przestępcy posiłkują się różnymi scenariuszami i przyjmują wiele tożsamości, celem zwiększenia swoich szans na sukces. Jest to też bardzo powszechne zjawisko. Wg raportu Phishers’ Favorites firmy Vade, w 2023 roku na całym świecie rozesłano blisko 2 miliardy wiadomości e-mail ze złośliwą zawartością – o 51 proc. więcej niż w 2022 r. Użytkownicy sieci muszą więc mieć się na baczności.
Prośba od współpracownika o udostępnienie potrzebnych mu zasobów czy wiadomość od jednego z dostawców firmy z zapytaniem o dodatkowe informacje – oba scenariusze mogą być zwykłą częścią dnia lub stanowić poważne zagrożenie. Przestępcy stosujący phishing bazują na inżynierii społecznej – technice manipulacyjnej wykorzystującej przewidywalność ludzkich zachowań w konkretnych sytuacjach. W środowisku firmowym bazują m.in. na rutynie. Atakujący mogą podszywać się pod osoby, z którymi ich ofiara ma kontakt na co dzień, a ich stanowiska uzasadniają prośbę o udostępnienie im konkretnych zasobów. Chwila nieuwagi lub nieświadomość pracownika dotycząca zagrożeń może wiązać się z poważnymi, długofalowymi konsekwencjami dla firmy.
Jakich danych szukają przestępcy?
Kluczem do zrozumienia które z firmowych danych znajdują się w niebezpieczeństwie jest posiadanie wiedzy na temat celów cyberprzestępców.
– Hakerzy poszukują tych zasobów, które mogą przynieść im korzyści finansowe. Są to m.in. informacje, które pozwalają na kradzież środków bezpośrednio z kont ofiary. Zdarza się także, że sprzedają oni w darkwebie skradzione zasoby, np. numery kart kredytowych. Cyberprzestępcy, atakując przedsiębiorstwo, nie pogardzą również należącymi do niego poufnymi informacjami biznesowymi. Te mogą zostać wykorzystane do szantażu lub odsprzedane konkurencyjnym firmom – wyjaśnia Robert Dąbrowski szef zespołu inżynierów Fortinet w Polsce.
Wśród danych, które szczególnie interesują cyberprzestępców, są numery kart kredytowych, numery PESEL, dane logowania, dane o finansach przedsiębiorstwa oraz poufne informacje na temat firmy (np. plany projektowe).
Praca zdalna zwiększa ryzyko?
Około 80 proc. przedsiębiorstw na świecie pozwala pracownikom na wykonywanie przynajmniej części obowiązków z domu1 Popularność pracy zdalnej stawia przed firmami nowe wyzwania, również w kontekście cyberbezpieczeństwa.
– W tradycyjnym, stacjonarnym środowisku pracy, udaremnienie ataku phishingowego z reguły bywa łatwiejsze. Wynika to z faktu, że pracownik ma możliwość skonsultowania otrzymanej wiadomości z pozostałymi członkami zespołu, a nawet z rzekomym nadawcą e-maila, jeżeli cyberprzestępca próbował podszyć się pod osobę zatrudnioną w firmie. W przypadku pracy z domu cała komunikacja pracownika z przedsiębiorstwem odbywa się zdalnie. Impuls do skontrolowania prawdziwości tego typu wiadomości nie jest tak silny, jak w sytuacji, gdy pracownik przebywa obok zespołu i może szybko, bezpośrednio skonsultować z nim swoje działania – wyjaśnia Robert Dąbrowski.
Niebezpieczne są także sytuacje, w których pracownicy zdalni wykonują swoje zadania za pośrednictwem prywatnych urządzeń. Rzadko spełniają one firmowe standardy bezpieczeństwa – na przykład mogą nie posiadać systemów uwierzytelniania wieloskładnikowego (MFA) dla kont, które zawierają dane osobowe pracownika. Cyberprzestępcy mogą wtedy w łatwy sposób uzyskać dostęp np. do profilu pracownika w mediach społecznościowych, a następnie podszyć się pod niego w ataku phishingowym na współpracowników.
5 oznak phishingu
W dobie częstych i coraz bardziej zaawansowanych ataków phishingowych, zaleca się firmom wprowadzenie do swoich dokumentów polityki bezpieczeństwa analizy wiadomości e-mail pod kątem potencjalnych oszustw. Pracownicy przed otworzeniem załącznika lub wysłaniem odpowiedzi powinni zwrócić uwagę na kilka aspektów.
1. Adres e-mail nadawcy
Cyberprzestępcy przeważnie tworzą fałszywe skrzynki internetowe, których nazwy są łudząco podobne do adresów prawdziwych członków personelu. Jeżeli rzeczywisty e-mail pracownika to JanKowalski@firma.com, haker może wysłać wiadomość z konta KowalskiJan@firma.com. Zawsze warto więc zwracać uwagę na dokładny adres nadawcy wiadomości – jeżeli wygląda inaczej niż zwykle, może to świadczyć o próbie wyłudzenia danych.
2. Ton wiadomości
Przestępcy nierzadko usiłują wyłudzić wrażliwe dane od ofiary strasząc ją lub wywierając presję. Atakujący może np. alarmować, że adresat pobrał na służbowy komputer złośliwe oprogramowanie i teraz jak najszybciej musi podać swoje dane działowi IT (którego „przedstawicielem” jest nadawca) aby usunąć zagrożenie.
3. Błędy gramatyczne i ortograficzne
Atakujący często pochodzą z innego kraju niż ich ofiary i nie posługują się tym samym językiem. Błędy składniowe, gramatyczne, literówki (w imieniu adresata, nazwie firmy, a nawet nazwisku samego nadawcy) w otrzymanym e-mailu zawsze powinny wzbudzać czujność.
4. Załączniki
Nadawcy prawdziwych, bezpiecznych wiadomości zazwyczaj wspominają w nich o przesyłanych załącznikach. Ponadto nazwy tych plików zwykle pokrywą się z tematem wiadomości oraz ich treścią. W przypadku e-maili phishingowych dołączona dodatkowa zawartość może nie mieć nic wspólnego z samym komunikatem zawartym w wiadomości.
5. Prośby o udostępnienie danych dostępowych lub informacji finansowych
Każda wiadomość e-mail zawierająca prośbę o podanie danych (osobowych, finansowych lub dostępowych) powinna być traktowana jako podejrzana.
Kluczem do bezpieczeństwa firmy jest pamięć o tym, że to pracownicy są jej pierwszą linią obrony. W związku z tym przedsiębiorstwa muszą zadbać o szkolenie personelu w zakresie rozpoznawania zagrożeń w sieci. Warto rozważyć przeprowadzenie sesji treningowych poświęconych tematyce phishingu – wywiadów z pracownikami w celu ustalenia czy zauważają oni podejrzane wiadomości na swoich skrzynkach oraz symulacji prób wyłudzenia informacji przez cyberprzestępcę.
foto,źródło. Fortinet