Cum pot deveni angajații cea bună mai linie de apărare în fața atacurilor de phishing

phishing

În urmă cu câteva săptămâni, echipa noastră a efectuat un scurt sondaj despre phishing pe pagina oficială de LinkedIn. Mai exact, am vrut să aflăm ce procent din bugetul alocat pentru zona de securitate cibernetică investesc organizațiile în sesiuni de training și conștientizare pentru angajați. 70% dintre respondenți au indicat un procent mai mic de 5%, iar restul de 30% au indicat între 5 și 10%.

Ar trebui să investim mai mult în resursa umană?

Cu siguranță.

De regulă, în strategia lor, organizațiile se vor concentra într-o mai mare măsură pe cele mai avansate – și, de cele mai multe ori, costisitoare – soluții și tehnologii menite să asigure securitatea cibernetică. Infractorii cibernetici, însă, lansează atacuri extrem de eficiente fără a utiliza resurse tehnice complexe. Iar tacticile lor au succes pentru că se bazează pe eroarea umană cauzată de presiunea emoțiilor puternice. 

Atacurile de tip phishing sunt cele mai bune exemple în acest sens. Popularitatea lor a crescut rapid în ultimii ani. Raportul IBM Security X-Force Threat Intelligence Index 2023 arată că, pentru al doilea an consecutiv, phishing-ul a fost principalul vector de infecție, fiind identificat în 41% din incidente. De cealaltă parte, instrumentele bazate pe inteligența artificială care pot genera conținut devin din ce în ce mai accesibile. Pericolul ca astfel de soluții să fie folosite pentru a scrie emailuri de phishing mai corecte, realiste și convingătoare crește.

Încă 5 motive pentru care phishing-ul este în continuare o amenințare pentru organizații

Pe lângă faptul că atacurile de phishing sunt foarte ușor de lansat (existând chiar resurse publice despre cum se poate face acest lucru), numărul și gradul lor de asemănare cu realitatea este în creștere. Mai mult, este recomandat ca organizațiile să le acorde o atenție sporită și din următoarele motive:

1. Tacticile de inginerie socială folosite în lansarea atacurilor de phishing se bazează strict pe eroarea umană 

Într-un atac de phishing, atacatorul își asumă identitatea unui apropiat al victimei, a unei instituții sau persoane cu o anumită autoritate sau a unei organizații cu care victima poate avea o legătură comercială, profesională sau chiar personală. Solicitările din materialele prin care se propagă atacul induc o stare de urgență sau impun un ultimatum în timp ce fac referire la transmiterea unor date sau efectuarea unor operațiuni confidențiale. În acest fel, atacatorul profită de momentul psihologic slab al victimei. Sub o astfel de presiune, victima va fi mult mai predispusă să acceseze materialele malițioase transmise de atacator, riscând siguranța datelor, dispozitivelor sau sistemelor personale sau profesionale.

2. Infractorii cibernetici pot transmite vectorul de atac specific phishing-ului pe o varietate foarte mare de canale

În forma lui de bază, atacul de phishing este lansat către victime printr-un e-mail malițios. Însă infractorii cibernetici au la dispoziție nenumărate canale prin care să ajungă la victimele lor. Acest lucru pune o presiune suplimentară pe utilizatori să acorde atenție sporită instrumentelor și tehnologiilor pe care le folosesc în activitatea de zi cu zi.

Vectorul de atac poate fi transmis și printr-un mesaj text, SMS – de aici și termenul de smishing. Vishing-ul, sau voice phishing-ul, are loc prin intermediul apelurilor telefonice. Atacuri similare mai sunt:

  • Dropbox phishing
  • Google Docs phishing
  • Sharepoint phishing
  • Social media phishing
  • Phishing prin facturi false
  • Phishing prin OP-uri false
  • Phishing prin livrari de colete false
  • Phishing prin intermediul motoarelor de căutare
3. Infractorii cibernetici pot personaliza și mai mult atacul în funcție de specificul unor persoane importante dintr-o organizație

De exemplu, printr-un atac de tip spear phishing, un atacator va încerca să sustragă informații sau să obțină beneficii financiare dintr-o companie prin transmiterea unor mesaje personalizate către un grup restrâns de persoane angajate în acea companie. Poate fi vorba de toți angajații sau de unul sau mai multe departamente. Infractorii pot viza, prin whaling, persoane cu autoritate și influență din cadrul organizațiilor.

Acest grad ridicat de personalizare face ca atacurile să fie credibile și convinge ușor victimele să cadă în capcană. Pagubele financiare produse și impactul asupra organizației pot fi infinit mai grave.

4. Phishing-ul rămâne principala metodă prin care infractorii cibernetici infectează un dispozitiv cu ransomware

Conform unui raport IBM, în 2021 phishing-ul a reprezentat principalul mod de transmitere a atacurilor de tip ransomware în 45% din cazuri. De asemenea, date recente oferite de Barracuda arată că 69% din atacurile ransomware au început cu un simplu e-mail.

Iar impactul unui atac cu ransomware este de mare amploare. Printre consecințe putem aminti criptarea datelor, exfiltrarea de informații sensibile, întreruperi operaționale. În plus, plata răscumpărării poate duce la pierderi financiare și la perpetuarea ecosistemului ransomware. Pe scurt …

5. Phishing-ul duce întotdeauna la pierderi financiare, de date și reputaționale

În 2022, pierderile cauzate de atacurile de phishing au crescut cu 76%, aproape o treime dintre companii pierzând bani din cauza cauza campaniilor reușite. Un alt raport din 2022 menționa că 40% dintre angajați au trimis un e-mail unei persoane nepotrivite. Aproape 29% dintre aceștia au declarat că afacerea lor a pierdut un client din această cauză. Același raport arată că unul din patru angajați și-a pierdut locul de muncă în ultimele 12 luni după ce a făcut o greșeală care a compromis securitatea companiei în care lucrează.

phishing

Phishing-ul este o formă de atac cibernetic care există în peisajul amenințărilor de câteva decenii. A luat naștere în anii ‘90 și continuă să evolueze, adaptându-se constant la noile tehnologii și platforme de comunicare pe care le folosim. Organizațiile au devenit din ce în ce mai conștiente de impactul devastator al unui atac de phishing. Multe dintre ele deja iau măsuri tehnice și organizează pentru angajații lor sesiuni de training pentru conștientizarea pericolelor. Și totuși, phishing-ul rămâne o amenințare prevalentă în domeniul securității cibernetice.

Un alt sondaj recent lansat pe pagina noastră de LinkedIn ne arată că 60% dintre respondenți sunt oarecum încrezători spre neîncrezători în abilitatea angajaților de a identifica un atac de phishing.

7 sfaturi esențiale pentru angajați ca să prevină impactul amenințărilor de tip phishing

Într-un astfel de context, iată un set de sfaturi fundamentale pe care angajații organizației dvs. să îl parcurgă regulat și de care să țină cont pentru a reacționa corect în fața unui atac de phishing:

  1. Acordați o atenție sporită e-mailurilor pe care le primiți, de la expeditori necunoscuți și nu numai. Pentru extra protecție, utilizați filtrul de „Spam” din serviciul de mail pe care îl folosiți pentru a înlătura instant mesajele cu origini suspecte.
  2. Analizați textul și orice alt material transmis. Verificați dacă există greșeli de exprimare, de ortografie și gramatică sau dacă sunt utilizate caractere sau fonturi speciale. De asemenea, verificați extensia fișierelor primite în mail. Nu deschideți niciodată documente cu extensia „.pif”, „.exe”, „.bat”, „.vbs” sau alte extensii pe care nu le cunoașteți. Nu dați click pe link-uri suspecte. Există riscul de a fi redirecționați către site-uri web care vor descărca pe dispozitivele dvs. programe malițioase. Pentru a contracara acest lucru, modificați setările motorului de căutare pentru a permite deschiderea doar a site-urilor web de încredere. De asemenea, se recomandă să accesați doar pagini web care încep cu „https”. Prin utilizarea acestor adrese, traficul este criptat, ceea ce reduce riscul de atacuri cibernetice.
  3. Fiți atenți la exprimările urgente sau la mesajele amenințătoare. Nu răspundeți la solicitări de a divulga date confidențiale sau de a transfera bani. Este în regulă să fiți suspicioși: verificați orice solicitare, mesaj, eveniment direct cu entitatea legitimă care ar putea fi implicată.
  4. Nu folosiți rețelele Wi-Fi publice și nu efectuați tranzacții financiare atunci când sunteți conectați la puncte Wi-Fi publice. Acestea sunt, de regulă, nesecurizate.
  5. Utilizați parole puternice și diferite pentru fiecare cont în parte și nu uitați să le schimbați regulat. 
  6. Instalați un program antivirus și asigurați-vă că îl utilizați în versiunea actualizată. 
  7. Raportați orice activitate suspectă și orice potențial atac. Vă puteți adresa departamentului de IT sau de securitate al organizației din care faceți parte sau unei autoritatăți competente.

Simulările completează cunoștințele teoretice despre phishing

Tehnologia va evolua constant. Așa că ne așteptăm ca și tacticile de phishing să devină din ce în ce mai sofisticate și să pună în dificultate activitatea profesională a angajaților și chiar întregile operațiuni ale unei organizații. Regulile de mai sus reprezintă, până la urmă, doar bune practici de igienă cibernetică de bază. Pentru rezultate mai bune, organizațiile trebuie să ofere angajaților condiții și resurse complete pentru formare continuă și testare a cunoștințelor.

Conform datelor Bit Sentinel, educarea și antrenarea angajaților în probleme de securitate cibernetică pot reduce cu 90% probabilitatea ca un angajat să cadă în capcana unui e-mail de phishing. Simulările și testarea periodică pot crește și mai mult nivelul de înțelegere atât a tipologiei, cât și a impactului unui atac cibernetic. Astfel, orice investiție în această zonă va întări cel mai important pilon al strategiei de securitate cibernetică al oricărei organizații: resursa umană.

Trebuie să avem în vedere că un proces eficient de educare și conștientizare în securitate cibernetică este de lungă durată. El presupune un efort constant și implicarea activă din partea angajaților.

Transformați-vă angajații în cea mai bună linie de apărare cibernetică utilizând Phish Enterprise!

phishing

Phish Enterprise este o platformă care poate stimula o astfel de implicare. Pe lângă accesul la cursuri de conștientizare în securitate cibernetică, platforma vine în completare cu simulări și scenarii din viața reală. Phish Enterprise se concentrează în mod special pe antrenarea angajaților pentru ca ei să identifice atacurile de phishing.

phishing

Resursele teoretice explică diverse concepte de bază despre phishing și tactici de inginerie socială. Exercițiile practice simulează astfel de tactici. Împreună, acestea creează un fundament puternic pentru ca angajații să facă față testărilor regulate ulterioare și, în final, potențialelor atacuri de phishing care i-ar putea viza. 

Phish Enterprise are un sistem motivant de recompensare pentru angajații care semnalează amenințările reale primite de companie. De cealaltă parte, angajații care sunt victime ale simulărilor de inginerie socială din platformă vor primi feedback contextualizat. Acesta va include mai multe detalii despre cum s-a petrecut atacul și cum l-ar fi putut evita. Pentru a monitoriza progresul, performanța și nivelul de reziliență cibernetică atins, platforma generează rapoarte periodice cu rezultatele înregistrate.

Nu în ultimul rând, cursurile de conștientizare de pe Phish Enterprise asigură și conformitatea cu reglementările legale în vigoare. Pentru anumite sectoare de activitate, toate țările din Europa, inclusiv Romania sunt obligate, prin Directiva NIS, să respecte reglementări care fac obligatorie conștientizarea în domeniul securității cibernetice. 

Pentru mai multe detalii despre Phish Enterprise, ne puteți contacta aici.

Securitatea cibernetică este în egală măsură despre oameni și tehnologie. Poate că factorul uman reprezintă principalul motiv al breșelor de securitate. Dar, cu o pregătire corectă și completă, factorul uman devine cea mai bună linie de apărare din strategia de răspuns la incidente în care orice companie ar trebui să investească.


[email protected]

get in touch