Piastujesz odpowiedzialne stanowisko?
Zarządzasz firmą lub kierujesz dużym zespołem?
Czy wiesz co to phishing, whaling i jak się przed nimi zabezpieczyć?
Czy jesteś bezpieczny przed cyberprzestępcami?
Nie daj się złowić – przeczytaj ten artykuł.
Co ma wędkarstwo do bezpieczeństwa w sieci?
W dzisiejszej cyfrowej rzeczywistości w naszą stronę zarzucanych jest coraz więcej przynęt – wstrzymana paczka, niezapłacony rachunek, mail z niesamowitą i niepowtarzalną “okazją”.
Najpowszechniejszym oszustwem w Internecie jest tzw. “phishing”. Nazwa nieprzypadkowo nawiązuje do łowienia ryb (z ang. “fishing”). Oszustwo polega bowiem na zarzuceniu przynęty (linka do strony, która udaje inną stronę) i następnie oczekiwaniu, aż przypadkowa ofiara złapie haczyk (zaloguje się używając swoich danych, a więc ujawni je oszustom).
Skutek złapania haczyka?
Utrata pieniędzy, nerwy i ogromny stres.
Dobrze znane przykłady poniżej.
Twoja paczka została wstrzymana z tytułu niedopłaty 1,99 PLN. Przepraszamy za utrudnienia. Prosimy uregulować należność klikając w link…
Twoja paczka została wstrzymana z powodu braku numeru ulicy na paczce. Zaktualizuj informacje o wysyłce klikając w link…
Na dzień 18.03 zaplanowano odłączenie energii elektrycznej! Prosimy o uregulowanie należności klikając w link…
Problem jednak polega na tym, że przywołane przykłady to tylko wierzchołek góry lodowej, a “przynęt” w dzisiejszym Internecie jest o wiele więcej i często nie są one tak oczywiste.
Phishing – na czym polega?
Phishing ma na celu pozostawienie przynęty i czekanie na przypadkowe ofiary. Działania mające na celowniku określone precyzyjnie ofiary piastujące stanowiska kierownicze, nazywane jest whalingiem.
Whaling, czym jest?
Whaling to phishing, ale nastawiony na “grube ryby”.
| Szczególnie atrakcyjnymi celami są prezesi firm, członkowie zarządów, kadr zarządzających, osoby kierujące pracami wieloosobowych zespołów. Takie osoby z reguły posiadają dostęp do większej ilości informacji, także tych bardziej poufnych. Dostępy do kont administracyjnych, szerokie zakresy dostępu w systemach i bazach danych. Ataki te z reguły są już lepiej przygotowane. Trudniej jest je rozpoznać i w gąszczu pracy łatwiej jest stracić czujność. |
Dane poszczególnych naszych współpracowników, w tym adresy mailowe i numery telefonów są często dostępne na samych stronach firmowych lub w mediach społecznościowych, np. na LinkedIn-ie. Ułatwia to prace oszustom, którzy wykorzystują te informacje.
Przykładem próby oszustwa może być wysłanie wiadomości z adresu mailowego łudząco przypominającego adres naszego współpracownika z prośbą o podjęcie nagłej akcji, np. pilne dokonanie przelewu, zalogowanie się do systemu i wprowadzenie danych.
[email protected] zamiast [email protected]
[email protected] zamiast [email protected]
[email protected] zamiast [email protected]
Ciemne strony sztucznej inteligencji
Za sprawą rozwoju sztucznej inteligencji metody są coraz bardziej wyrafinowane.Spoofing, czyli podszywanie się pod numer telefonu, to metoda znana chociażby z oszustw “na wnuczka”, policjanta”, “na przedstawiciela banku”.
Co w sytuacji, gdy osoba, która się z nami kontaktuje mówi faktycznie głosem osoby, za którą się podszywa? Jest to już możliwe za sprawą sztucznej inteligencji, wystarczy próbka nagrania i jesteśmy w stanie podrobić głos dowolnej osoby, przykłady w sieci:
https://www.youtube.com/watch?v=AtgSpT86m7I
https://www.youtube.com/watch?v=Tx_nltXJwJo
Jak nie zostać ofiarą phishingu?
Oszuści liczą na podatność “czynnika ludzkiego” – działanie w emocjach, pod wpływem pośpiechu, na chęć złapania “okazji”. Z tych powodów ważne jest, aby potrafić rozpoznawać próby oszustwa, posiadać odpowiednie zabezpieczenia, m.in. dwuskładnikowe uwierzytelnianie oraz menedżery haseł.
- Świadomość
Nic nie zastąpi świadomości – udział w szkoleniach, warsztatach, rozmowy ze specjalistami na pewno podniosą szanse zapobiegnięcie skutecznemu atakowi.
- Dwuskładnikowe uwierzytelnianie (2FA)
Uwierzytelnianie dwuskładnikowe (2FA), czyli coś, co znamy chociażby z aplikacji bankowych. Dwuskładnikowe uwierzytelnianie zabezpiecza nasze konto w przypadku uzyskania do niego hasła przez osoby trzecie. Samo hasło w tym przypadku jest bezużyteczne bez drugiego składnika uwierzytelniania logowania, jak na przykład kod wysłany na nasz numer telefonu, na adres e-mail lub jednorazowy kod generowany przez aplikacje takie jak Google Authenticator, Microsoft Authenticator itp.
- Menedżery haseł
Dobrą praktyką jest też stosowanie menadżerów haseł (np. 1Password, menedżer haseł Google). Pozwalają one na stosowanie silnych haseł, a także pamiętają je za nas. Rozwiązuje to tym samym problem zapamiętywania haseł, zapisywania ich na kartkach, stosowania jednego hasła w wielu miejscach (bardzo zła praktyka). - Komunikaty na stronie CERT.PL
Warto sprawdzać komunikaty na stronie CERT.PL, zawierają one m.in. informacje o najnowszych metodach wykorzystywanych przez oszustów. Na samej stronie jest także dostępna potężna baza wiedzy na wszelkie tematy związane ze zwiększaniem bezpieczeństwa w sieci. - Testy socjotechniczne
Łańcuch jest tak silny, jak jego najsłabsze ogniwo. “Kontrolowane” ataki pozwolą wyłapać nad czym musimy jeszcze popracować. Przeprowadzanie regularnych, kontrolowanych ataków przez zewnętrzną firmę pozwoli przygotować się na “prawdziwy” atak i lepiej przed nim zabezpieczyć.
Nie daj się złapać
| Bądźmy czujni, edukujmy się, zwiększajmy świadomośc, śledźmy najnowsze zagrożenia, rozmawiajmy – w ten sposób ograniczymy ryzyko zostania ofiarą oszustów, uchronimy swój biznes, czas, pieniądze i przede wszystkim – spokój. |
