Phishing, smishing, vishing w natarciu. Jak nie być podatnym na ataki socjotechniczne?

Firmy i instytucje są na celowniku cyberprzestępców. Czy w ich obronie pomogą pracownicy?

  • Mikołaj Frączak
  • /
  • 26 lipca 2022

Z badań wynika, że blisko 70 proc. polskich firm w branży przemysłowej doświadczyło w 2021 roku cyberataku. Nic nie wskazuje na to, by w tym roku- niezależnie od branży, liczba podobnych zdarzeń miała być mniejsza.

Dlatego organizacje coraz częściej szkolą swoich pracowników w zakresie cyberbezpieczeństwa, dzięki czemu mogą oni odeprzeć ataki z wykorzystaniem tzw. inżynierii społecznej, która jest jedną z ulubionych form wyłudzania danych i pieniędzy. W jaki sposób nie dać się zaskoczyć atakom socjotechnicznym w codziennej pracy?

Pomimo rosnących nakładów firm i instytucji na systemy bezpieczeństwa IT, człowiek jest najsłabszym ogniwem wykorzystywanym przez internetowych przestępców. Praca zdalna uwidoczniła wiele luk w systemach bezpieczeństwa firm, a pracownicy stali się bardziej narażeni na ataki z wykorzystaniem socjotechniki.

Cyberprzestępcy wywołują pożądaną reakcję, uderzając w ludzkie emocje. Im bardziej świadomi potencjalnych zagrożeń są pracownicy, tym bezpieczniejsza organizacja i oni sami.

Inżynieria społeczna bronią XXI wieku

Atakujący wykorzystują niewiedzę lub łatwowierność pracowników, aby łatwiej i szybciej ominąć oprogramowanie lub sprzęt odporny na różnego rodzaju formy ataku. Dzieje się tak, ponieważ najsłabszym punktem systemu bezpieczeństwa najczęściej jest człowiek. Internetowi przestępcy, stosując techniki manipulacyjne wzbudzają zaufanie ofiary, w efekcie czego pracownik jest skłonny ujawnić informacje, które będą wykorzystane do kontynuacji ataku – mówi Justyna Puchała z Autoryzowanego Centrum Szkoleniowego DAGMA.

Cyberprzestępcy osiągają pożądane reakcje wykorzystując ludzkie emocje, a wśród najpopularniejszych metod ataków socjotechnicznych są schlebianie, współczucie, podszywanie się, wywieranie presji czy szantażowanie. Inżynieria społeczna stała się nowoczesną i wyrafinowaną formą zdobywania informacji przez internetowych przestępców. W takiej konfrontacji sprzęt, oprogramowanie i działy IT nie wystarczą, aby odeprzeć ataki.

- W interesie pracodawców jest wyposażenie pracowników w wiedzę, która pozwoli ochronić ich samych, ale i organizację przed atakami cyberprzestępców. W wiedzę, która uświadomi jak sprawdzić, czy link do wyników finansowych spółki rzeczywiście został wysłany przez dyrektora czy zbiórka na urodziny jednego z pracowników jest prawdziwa albo czy telefon z działu IT, proszący o dostęp do komputera jest rzeczywiście prawdziwy – dodaje Justyna Puchała.

Ataki ransomware mogą uderzać w kluby piłkarskieAtaki ransomware mogą uderzać w kluby piłkarskieMichał Górecki

Jak bronić się przed inżynierią społeczną?

Phishing, smishing, vishing już na stałe zagościły w słowniku pojęć obrazujących działania cyberprzestępców, ale katalog metod ataków z ich strony jest zdecydowanie większy. Pracownik, aby potrafił odpowiednio zareagować na ataki socjotechniczne, powinien być świadomy ich występowania. Powinien wiedzieć jaką mogą mieć formę oraz gdzie może się z nimi spotkać.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

- Rozwijanie u pracowników umiejętności radzenia sobie z nimi, będzie jednym z największych wyzwań dla biznesu w nadchodzących latach. Tym bardziej przy rosnącym trendzie pracy zdalnej i hybrydowej, który internetowi przestępcy wykorzystują ze zdwojoną siłą. Pracownicy mający dostęp do firmowych zasobów powinni wiedzieć jakimi metodami próbują oni dostać się do systemów organizacji oraz w jaki sposób podczas rozmowy osobistej, telefonicznej czy mailowej oszuści potrafią wyłudzić informacje od nieświadomego pracownika – tłumaczy Justyna Puchała z ACS DAGMA.

7 punktów, na które warto zwracać uwagę, aby nie dać się atakom socjotechnicznym:

- korzystaj z zaufanych źródeł (linki, strony, informacje);

- w przypadku kontaktu telefonicznego, jeżeli nie jesteś pewny rozmówcy, nie przekazuj żadnych informacji. Najlepiej w pierwszej kolejności zweryfikuj tożsamość rozmówcy;

- sprawdzaj strony/linki na które wchodzisz, czy aby na pewno nie są spreparowane i czy np. jeden znak w domenie nie jest zmieniony;

- szczególną uwagę zwracaj na wszystkie treści, gdzie wymagane jest logowanie lub konieczne jest wykonanie jakiegokolwiek przelewu;- weryfikuj nadawcę wiadomości, zwracając uwagę nie tylko na osobę, ale również na domenę;

- zwracaj uwagę na niecodzienne/ atrakcyjne wiadomości, w pierwszej kolejności weryfikując ich autentyczność;

- nie dawaj dostępu do swojego komputera nieznajomym osobom, np. podającym się za firmowych administratorów, czy firmę IT wykonującą zlecenie;

Coroczne straty firm i instytucji w wyniku działań cyberprzestępców liczone są w milionach złotych. Świadomi pracownicy mogą stanąć na drodze internetowych przestępców i stać się jednym z najskuteczniejszych elementów bezpieczeństwa cyfrowego, sprawiając, że straty będą zdecydowanie mniejsze.

Źródło: Dagma

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!