Phishing, smishing, vishing w natarciu. Jak nie być podatnym na ataki socjotechniczne?
Firmy i instytucje są na celowniku cyberprzestępców. Czy w ich obronie pomogą pracownicy?
- Mikołaj Frączak
- /
- 26 lipca 2022
Z badań wynika, że blisko 70 proc. polskich firm w branży przemysłowej doświadczyło w 2021 roku cyberataku. Nic nie wskazuje na to, by w tym roku- niezależnie od branży, liczba podobnych zdarzeń miała być mniejsza.
Dlatego organizacje coraz częściej szkolą swoich pracowników w zakresie cyberbezpieczeństwa, dzięki czemu mogą oni odeprzeć ataki z wykorzystaniem tzw. inżynierii społecznej, która jest jedną z ulubionych form wyłudzania danych i pieniędzy. W jaki sposób nie dać się zaskoczyć atakom socjotechnicznym w codziennej pracy?
Pomimo rosnących nakładów firm i instytucji na systemy bezpieczeństwa IT, człowiek jest najsłabszym ogniwem wykorzystywanym przez internetowych przestępców. Praca zdalna uwidoczniła wiele luk w systemach bezpieczeństwa firm, a pracownicy stali się bardziej narażeni na ataki z wykorzystaniem socjotechniki.
Cyberprzestępcy wywołują pożądaną reakcję, uderzając w ludzkie emocje. Im bardziej świadomi potencjalnych zagrożeń są pracownicy, tym bezpieczniejsza organizacja i oni sami.
Inżynieria społeczna bronią XXI wieku
Atakujący wykorzystują niewiedzę lub łatwowierność pracowników, aby łatwiej i szybciej ominąć oprogramowanie lub sprzęt odporny na różnego rodzaju formy ataku. Dzieje się tak, ponieważ najsłabszym punktem systemu bezpieczeństwa najczęściej jest człowiek. Internetowi przestępcy, stosując techniki manipulacyjne wzbudzają zaufanie ofiary, w efekcie czego pracownik jest skłonny ujawnić informacje, które będą wykorzystane do kontynuacji ataku – mówi Justyna Puchała z Autoryzowanego Centrum Szkoleniowego DAGMA.
Cyberprzestępcy osiągają pożądane reakcje wykorzystując ludzkie emocje, a wśród najpopularniejszych metod ataków socjotechnicznych są schlebianie, współczucie, podszywanie się, wywieranie presji czy szantażowanie. Inżynieria społeczna stała się nowoczesną i wyrafinowaną formą zdobywania informacji przez internetowych przestępców. W takiej konfrontacji sprzęt, oprogramowanie i działy IT nie wystarczą, aby odeprzeć ataki.
- W interesie pracodawców jest wyposażenie pracowników w wiedzę, która pozwoli ochronić ich samych, ale i organizację przed atakami cyberprzestępców. W wiedzę, która uświadomi jak sprawdzić, czy link do wyników finansowych spółki rzeczywiście został wysłany przez dyrektora czy zbiórka na urodziny jednego z pracowników jest prawdziwa albo czy telefon z działu IT, proszący o dostęp do komputera jest rzeczywiście prawdziwy – dodaje Justyna Puchała.
Ataki ransomware mogą uderzać w kluby piłkarskieMichał Górecki
Jak bronić się przed inżynierią społeczną?
Phishing, smishing, vishing już na stałe zagościły w słowniku pojęć obrazujących działania cyberprzestępców, ale katalog metod ataków z ich strony jest zdecydowanie większy. Pracownik, aby potrafił odpowiednio zareagować na ataki socjotechniczne, powinien być świadomy ich występowania. Powinien wiedzieć jaką mogą mieć formę oraz gdzie może się z nimi spotkać.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
- Rozwijanie u pracowników umiejętności radzenia sobie z nimi, będzie jednym z największych wyzwań dla biznesu w nadchodzących latach. Tym bardziej przy rosnącym trendzie pracy zdalnej i hybrydowej, który internetowi przestępcy wykorzystują ze zdwojoną siłą. Pracownicy mający dostęp do firmowych zasobów powinni wiedzieć jakimi metodami próbują oni dostać się do systemów organizacji oraz w jaki sposób podczas rozmowy osobistej, telefonicznej czy mailowej oszuści potrafią wyłudzić informacje od nieświadomego pracownika – tłumaczy Justyna Puchała z ACS DAGMA.
7 punktów, na które warto zwracać uwagę, aby nie dać się atakom socjotechnicznym:
- korzystaj z zaufanych źródeł (linki, strony, informacje);
- w przypadku kontaktu telefonicznego, jeżeli nie jesteś pewny rozmówcy, nie przekazuj żadnych informacji. Najlepiej w pierwszej kolejności zweryfikuj tożsamość rozmówcy;
- sprawdzaj strony/linki na które wchodzisz, czy aby na pewno nie są spreparowane i czy np. jeden znak w domenie nie jest zmieniony;
- szczególną uwagę zwracaj na wszystkie treści, gdzie wymagane jest logowanie lub konieczne jest wykonanie jakiegokolwiek przelewu;- weryfikuj nadawcę wiadomości, zwracając uwagę nie tylko na osobę, ale również na domenę;
- zwracaj uwagę na niecodzienne/ atrakcyjne wiadomości, w pierwszej kolejności weryfikując ich autentyczność;
- nie dawaj dostępu do swojego komputera nieznajomym osobom, np. podającym się za firmowych administratorów, czy firmę IT wykonującą zlecenie;
Coroczne straty firm i instytucji w wyniku działań cyberprzestępców liczone są w milionach złotych. Świadomi pracownicy mogą stanąć na drodze internetowych przestępców i stać się jednym z najskuteczniejszych elementów bezpieczeństwa cyfrowego, sprawiając, że straty będą zdecydowanie mniejsze.
Źródło: Dagma
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?