Što je “Phishing” i kako se od njega zaštititi

Jedan klik. Za uspješnu krađu identiteta dovoljan je jedan klik. Samo jedna osoba treba kliknuti na kompromitiranu poveznicu koja vodi na lažne web stranice ili otvoriti zloćudni privitak elektroničke pošte kako bi se pokrenuo napad. Neke elektroničke poruke sadrže zlonamjerni softver koji pokreće ransomware napade, druge koriste te podatke kako bi lažnim predstavljanjem dužnosnicima kompanije pribavile osjetljive informacije ili ih navele da uplate novac na lažne račune. Bez obzira na rezultat, phishing ili krađa identiteta učinkovita je metoda da kriminalci pribave informacije koje žele. I zato ja važno da vi i vaši zaposlenici razumijete kako to rade.

Što je phishing ili krađa identiteta?

Phishing je pokušaj prikupljanja osjetljivih informacija kao što su korisnička imena, brojevi kreditnih kartica ili zaporke kako bi se te informacije zlonamjerno koristile. Krađa identiteta u pravilu se provodi putem elektroničke pošte i oslanja se na zastrašivanje ili “poznavanje” korisnika (poruka izgleda kao da ju je poslao prijatelj ili kolega) kako bi ga se navelo da otvori privitak, klikne na poveznicu i posjeti web stranicu sa zlonamjernim softverom. Tako potiču zaposlenike da nesvjesno pokrenu zlonamjerne datoteke na svojim računalima, omoguće napad na cijelu mrežu ili dobiju pristup osjetljivim korporativnim informacijama bez znanja korisnika. Posebno su ranjivi zaposlenici koji imaju pristup osjetljivim podacima i predstavljaju ulaznu točku u korporativni informacijski sustav.

Spearfishing

Spearfishing elektroničkom poštom ili komunikacijom cilja na određenog pojedinca kako bi dobio pristup mreži ili ukrao osjetljive podatke. Elektronička pošta koristi pametnu taktiku kako bi pridobila pozornost žrtve. Na primjer, poruka je sastavljena tako da izgleda kao da dolazi iz pouzdanog izvora ili usmjerava korisnika na (lažne) stranice koje često posjećuje. Kao i prilikom phishinga, žrtva se navodi da otvori privitak ili klikne na poveznicu.

Kada je napad usmjeren na visoko pozicionirane menadžere, poznata je i kao whaling (lov na kitove) jer je cilj napada pristup datotekama visokopozicioniranih dužnosnika tvrtke. Mnogi zaposlenici, pa i menadžeri, uopće nisu svjesni napada koji je usmjeren izravno na njih. Zato ih treba podučiti na što trebaju obratiti pozornost i što trebaju izbjegavati.

Društveni inženjering

Svi pokušaji krađe identiteta su društveni inženjering osmišljen kako bi privukao korisnike koji nisu svjesni da time otkrivaju osjetljive podatke. Neki napadi oslanjaju se na komunikaciju sa žrtvom na temelju njenog straha, zbunjenosti ili nesigurnosti kako bi dobili pristup mreži odnosno podacima.

Za društveni inženjering osim elektroničke pošte koriste si i drugi kanali komunikacije: društvene mreže, forumi, servisi za izravnu komunikaciju…

Oslanjajući se na emocije ljudi, navode žrtvu da misli kako je napravila strašnu pogrešku ili da mora riješiti ozbiljan problem. Često se iskorištava nedostatak znanja korisnika o problemu kako bi ga se navelo da ne odbije zahtjev, nego da učini pogrešan korak.

Što možete učiniti kako biste zaštitili svoju tvrtku?

Ključna je edukacija. Mnogi zaposlenici ne shvaćaju koliko je važna njihova uloga u zaštiti tvrtke. Bez obzira je li riječ o phishingu ili društvenom inženjeringu, kriminalci trebaju osnovne podatke, poput imena, datuma rođenja ili adrese, kako bi dobili pristup mrežama. Ako to uspiju, potrebno je samo nekoliko jednostavnih koraka do resetiranja lozinke i dobivanja neograničenog pristupa. Uz veću opreznost vaših zaposlenika, možete zaštititi svoju tvrtku i podatke od samog unosa podataka u sustav.

Na udaru su poduzeća svih veličina

Na udaru kriminalaca možete se naći bez obzira imate li tvrtku s desetak, stotinu ili nekoliko tisuća zaposlenika. Sve dok mogu dobiti vrijedne informacije ili novac, kriminalci ne prezaju od napada. Oni znaju ono što većina poduzeća ne shvaća: tvrtke svih veličina mogu biti izvor vrlo osjetljivih podataka.

Na primjer, možda vaša mala tvrtka surađuje s velikom kompanijom. Dovoljno je da kriminalci pošalju fakturu sa zlonamjernom skriptom kako bi uvjerili ljude u računovodstvu da otvore dokument. Čim je dokument otvoren, zloćudni softver je instaliran. Može početi potraga za vjerodajnicama vašeg klijenta ili dopisivanje s klijentom kako bi se utvrdile vaše navike, što bi se kasnije iskoristilo za prevaru. Najveća prepreka im je uvjeriti zaposlenika da otvori privitak. A to je iznenađujuće lako s dobro sastavljenom porukom.

Početkom 2017., kada počinje razdoblje za predaju poreznih prijava, američka porezna agencija – Internal Revenue Service – upozorila je na W-2 prevare usmjerene na tvrtke svih veličina, pa čak i na neke obrazovne institucije (W-2 je ekvivalent našoj poreznoj kartici).

Kiberkriminalci su na odjele računovodstva i ljudskih resursa poslali elektroničke poruke, koje su izgledale kao da ih je poslao menadžment kompanije, u kojima su tražili popis svih zaposlenika i njihove porezne (W-2) kartice. Zatim je uslijedila poruka “izvršnog menadžmenta“ kojom su tražili da se plaće isplate na određene račune. Mnoge tvrtke izgubile su u prevari i porezne kartice i novac. Primjer pokazuje da su na udaru svi, i mali i veliki.

Phishing je treći najčešći model napada na poslovne subjekte. To sve tvrtke trebaju imati na umu i moraju biti spremne obraniti se, a to u prvom redu uključuje edukaciju zaposlenika.

Phishing otvara vrata ransomwareu

Ako vas brine ransomware, onda morate brinuti i zbog onoga čime ransomwarenapadi počinju, a to su phishing poruke. Takav je slučaj bio s trojanskim virusom Locky, otkrivenim u veljači 2016., koji je vrlo postao jedan od najuspješnijih softvera za širenje ransomwarea.

Kiberkriminalci šalju masovne poruke sa zlonamjernim softverom ugrađenim u spam poruke. U početku su poruke sadržavale priloženi dokument koji je sadržavao naredbu za preuzimanje Lockyja s udaljenog servera i njegovo pokretanje. Kiberkriminalci su tražili isplatu u bitcoinima. Čak su davali i korisne savjete kako doći do kriptovalute. Za razliku od ostalih oblika ransomwarea, tvorci Lockyja namjeravali su prikupiti statistiku svake interakcije, vjerojatno kako bi na temelju tih podataka usavršili svoj proizvod. Zbog rasprostranjenosti i učinkovitosti Lockyja, analitičari i stručnjaci vjeruju da će to biti model koji će kriminalci nastaviti slijediti.

U Verizonovu izvješću o informacijskim prevarama za 2017. (Verizon 2017 data Breach Investigations Report) navodi se da je jedan od 14 korisnika prevaren navođenjem da otvori poveznicu ili privitak, a 95 posto napada dovelo je do prevare na temelju instaliranja zloćudnog softvera. Iako to predstavlja široku prijetnju mnogi tvrtkama, dobra vijest je da zaustavljanjem phishinga možete zaštiti svoju tvrtku od ransomwarea. Ova dva tipa napada često idu zajedno pa educiranje zaposlenika o tome kako izgledaju phishing poruke i primjena sigurnosnih rješenja za zaštitu protiv phishinga mogu biti vrlo efikasna obrana od takvih napada.

Kako možete zaštiti svoju tvrtku?

Nakon što ste shvatili kako phishing funkcionira, trebali biste poduzeti konkretne korake kako biste zaštitili svoju tvrtku.

• Nemojte objaviti popis svih zaposlenika na web stranici tvrtke. Kiberkriminalci istražuju i na temelju pretpostavki o protokolima za formiranje adresa elektroničke pošte u vašoj tvrtki formiraju napade za krađu identiteta.

• Redovito pregledavajte internet tražeći izložene adrese e-pošte i / ili vjerodajnice. Napravite domaću zadaću i utvrdite kako izgleda digitalni otisak vaše tvrtke.

• Podučite korisnike o opasnostima objavljivanja prevelike količine informacija na društvenim mrežama. Mnogi ljudi nemaju dovoljno dobro postavljene postavke privatnosti, a to je još jedan način kako kriminalci mogu dobiti informacije o vašoj tvrtki.

• Prakticirajte simulirane napade na zaposlenike kako biste ih osvijestili o opasnosti. Ugledajte se na dobre sportske timove, uvježbavajte svoj tim kako bi što bolje reagirao u slučaju pravog napada.

• Redovito ažurirajte svoj sustav i programe. Softverske tvrtke rutinski šalju zakrpe i ažuriranja. Važno je to raditi redovito jer kiberkriminalci često iskorištavaju i kažnjavaju takvu ranjivost.

• Instalirajte pouzdano sigurnosno rješenje. Aktivirajte sve značajke, uključujući skeniranje ranjivosti, upravljanje zakrpama i napredno otkrivanje zlonamjernog softvera.

• Korisnici bi trebali biti oprezni i paziti kojim web stranicama pristupaju i koje datoteke otvaraju na korporacijskim računalima i uređajima. Određene web stranice mogu djelovati kao paravan preko kojeg se instalira zlonamjerni softver iako izgledaju kao legitimne web neke tvrtke.

• Ključno je biti svjestan mogućnosti napada i posljedica. Svi zaposlenici trebaju shvatiti da su podaci i informacije tvrtke dragocjena roba na crnom tržištu.

• Pripremite se da budete meta. Vjerojatno će se svatko suočiti s ciljanim napadom barem jednom u svojoj karijeri, a napadači općenito vole menadžment, ljudske resurse i pravnu službu. Pokušat će napasti svakoga.

Ključno je istrenirati zaposlenike

• Redovito osvještavanje zaposlenika o mogućim kibernetičkim napadima može znatno pridonijeti obrani.

• Obuka pomaže. Ako educirate zaposlenike, vjerojatnost da će primijeniti ono što ih podučavate iznosi 93 posto.

• Vjeruj, ali provjeri. Zlonamjerne poveznice mogu biti poslane od prijatelja ili kolega čiji su računi hakirani. Ako zaposlenici prime neuobičajenu poruku od prijatelja, trebali bi izravno nazvati tu osobu kako bi potvrdili da je riječ o pravoj poruci.

• Korisnici bi uvijek trebali biti oprezni. Najbolja obrana protiv phishinga je imati zaposlenike koji su svjesni rizika, koji razmišljaju kako izgledaju sumnjive poruke i spremni su o tome izvijestiti IT administratore.

(www.tockanai.hr)

Komentiraj: