Każda osoba korzystająca z sieci w swoim życiu codziennym i zawodowym jest potencjalnie zagrożona. Cyberprzestępcy czyhają na każdym rogu i nie ma w tym określeniu grama przesady. Oczywiście możemy się przed nimi chronić, ale żeby było to możliwe najważniejsze wydaje się poznać wroga i narzędzia z jakich korzysta. Jednym z nich jest phishing, czyli złośliwa praktyka mająca na celu wyłudzenie poufnych informacji, takich jak dane logowania, informacje finansowe itp. W dzisiejszym artykule chcemy opowiedzieć Wam na temat nieco więcej, podsumować najważniejsze informacje i podpowiedzieć jak można walczyć z phishingiem. Zapraszamy.
Czym jest i jak działa phishing?
Tak jak już nadmieniliśmy we wstępnie, phishing to złośliwa praktyka, u podstaw której leży przede wszystkim socjotechnika, czyli wymuszanie ujawnienia poufnych informacji. Cyberprzestępcy zbierają dane osobowe ze źródeł ogólnodostępnych (np. mediów społecznościowych) i tworzą pozornie autentyczne wiadomości podszywając sie pod znane kontakty, albo instytucje, firmy. Najczęstszą formą wyłudzania informacji są wiadomości e-mail ze złośliwymi linkami lub załącznikami. Kliknięcie tych linków może prowadzić do instalacji złośliwego oprogramowania na urządzeniu użytkownika lub przekierowania go na fałszywe strony internetowe, które służą do kradzieży danych osobowo-finansowych. Tak to mniej więcej działa w praktyce.
Być może trafiliście już na takie próby. Jedne były zapewne bardziej, a inne mniej udane. Nie da się jednak ukryć, że wraz z rozwojem technologicznym przestępcy zyskują coraz lepsze narzędzia, nowe możliwości i stają się coraz sprytniejsi. To zdecydowanie utrudnia użytkownikom odróżnienie wiadomości autentycznych od fałszywych. A warto pamiętać, że w przypadku phishingu celem ataków jest człowiek, nie komputer. Dlatego też najważniejsza linia obrony powinna opierać się na odpowiednim przeszkoleniu z zakresu cyberbezpieczeństwa. Nie da się niestety (albo na szczęście) wyczerpać tego tematu w jednym wpisie blogowym, można natomiast spojrzeć na ten problem z różnych perspektyw i wskazać pewne podstawowe techniki obronne. To też postaramy się zrobić.
Co jeszcze warto wiedzieć?
Gdy mówimy o phishingu w firmowym środowisku, warto pamiętać o wątku RODO. Obowiązkiem wynikającym z ogólnego rozporządzenia o ochronie danych dla organizacji (administratorów), które przetwarzają dane osobowe, jest zapewnienie odpowiedniego stopnia bezpieczeństwa danych osobowych, w tym ochrony przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem. Wliczając w to kradzież, zniszczenie, uszkodzenie ale też ujawnienie. Phishing jest jednym z głównych źródeł ryzyka dla bezpieczeństwa przetwarzania danych osobowych. Co to oznacza w praktyce? Że Waszych administratorów i Inspektorów Ochrony Danych znajdziecie raczej czytający ten wpis 🙂 Zapewne dobrze znają ten temat już od dłuższego czasu, wiedzą też, że pshishing to też bardziej złożone pojęcie, które może przybierać różne formy.
Jedną z nich jest spoofing, czyli podszywanie się pod nadawcę wiadomości, gdzie używane są sklonowane lub podobnie wyglądające adresy e-mail lub nazwy kojarzone ze znanym nadawcą. Jest to możliwe, ponieważ podstawowe protokoły techniczne poczty e-mail nie mają mechanizmu uwierzytelniania, co atakujący często wykorzystują, aby wprowadzić odbiorcę w błąd co do tożsamości nadawcy wiadomości. Systemy do szyfrowania wiadomości e-mail, takie jak SSL/TLS, mogą pomóc w uniknięciu tego ryzyka, jednak w wielu organizacjach nie są one dostępne lub wykorzystywane do tego celu. Jest też spear phishing, czyli ukierunkowana forma phishingu, w której atakujący stara się dostosować atak do konkretnej ofiary. W ten sposób stając się jeszcze bardziej wiarygodnym. Posługuje się bowiem często poprawnymi danymi jak imię, nazwisko, stanowisko, adres e-mail. Co jeszcze?
- Pharming – atakujący zatruwa rekord DNS, co w praktyce oznacza przekierowywanie odwiedzających z prawdziwej strony internetowej na fałszywą, którą wcześniej utworzył.
- Whaling, czyli forma ukierunkowanego phishingu, której celem są osoby zamożne i ważne, np. dyrektorzy generalni i urzędnicy państwowi.
- Przekierowania, które odsyłają użytkowników do adresów URL innych niż te, które użytkownik zamierzał odwiedzić.
- Typosquatting, czyli kierowanie ruchu do fałszywych witryn, których domena ma pisownię w języku obcym, z typowym błędem ortograficznym lub subtelną odmianą domeny najwyższego poziomu. Wyłudzający przy użyciu domen naśladują prawdziwe interfejsy stron internetowych, wykorzystując to, że użytkownicy błędnie wpisują lub błędnie odczytują adres URL.
- Podszywanie się pod prawdziwe i często znane osoby w mediach społecznościowych.
- SMS, czyli forma phishingu związana z wiadomościami, w ramach których użytkowników zachęca się do podania danych osobowych.
Jak walczyć z phishingiem?
Sposobów na walkę jest wiele. Do tych podstawowych i zarazem pierwszych jakie warto wziąć pod uwagę jest przeprowadzenie audytu bezpieczeństwa, czyli szczegółowej analizy ryzyka w firmie. Warto przyjrzeć się komunikacji wewnętrznej, politykom, sprawdzić na jakim poziomie jest wiedza pracowników. To ważne, aby zespół miał aktualną wiedzę na temat środków technicznych i organizacyjnych jeśli chodzi o obronę przed phishingiem i innymi zagrożeniami.
Nie tylko wewnętrzne środowisko ale też usługi, z których korzystają organizacje, wymagają analizy i sprawdzenia podatności na zagrożenia. Duże znaczenie ma w tym codzienny monitoring IT. To jeden z tych sposobów na walkę, który nie jest dużym obciążeniem finansowym i organizacyjnym, a z drugiej strony pozwala sprawnie, niemal w czasie rzeczywistym reagować na różnego rodzaju zagrożenia. Więcej na ten temat znajdziecie w TYM WPISIE. Ogólnie można powiedzieć, że wszystkie firmy powinny wdrożyć odpowiednie środki zaradcze, które chronią przed zagrożeniami, takimi jak nieupoważniony dostęp do danych osobowych, przejęcie konta, kradzież tożsamości, oszustwo cybernetyczne lub włamanie. Jak się okazuje w praktyce, jednym z najskuteczniejszych sposobów jest przeszkolenie personelu. Często to człowiek jest w tym mechanizmie najsłabszym ogniwem. Szkolenie powinny odbyć zwłaszcza osoby, które przetwarzają dane osobowe w organizacji i są odpowiedzialne za wrażliwe obszary. To kluczowe, aby byli świadomi ryzyka ukierunkowanych ataków phishingowych i zwracali uwagę na wszelką korespondencję elektroniczną i podejrzane zdarzenia. Mieli większą świadomość znaczenia i wagi pewnych ustawień i zabezpieczeń, jak choćby weryfikacja wieloskładnikowa.
Jak jeszcze można walczyć z phishingiem? Można wdrożyć odpowiednie reguły filtrowania i identyfikowania podejrzanych lub niepożądanych wiadomości, można upewnić się, że uprawnienia są przydzielone odpowiednio w zespole, zgodnie ze stanowiskami i funkcjami. Można. też zastosować środki uniemożliwiające użytkownikom automatyczne przekazywanie wiadomości e-mail na zewnętrzne adresy e-mail. Istotne będzie też opracowanie polityki zapobiegania utracie danych oraz plan reagowania na incydenty, aby stworzyć ramy zarządzania wszelkimi incydentami bezpieczeństwa.
To oczywiście nie wszystkie sposoby na walkę i nie wszystkie informacje, które warto mieć na uwadze. Jeśli zastanawiacie się jak skutecznie chronić firmę i pracowników przez phishingiem, szukacie specjalistów, którzy pomogą Wam zadbać o bezpieczeństwo danych i procesów IT – zachęcamy do kontaktu.