Niby zwykła rzecz, kolejny dzień, kolejny e-mail w naszej skrzynce pocztowej. Niestety to może być phishing przez który stracimy pieniądze. Na dokładkę jego przygotowanie najczęściej nie wymaga to specjalnej technologii, zaawansowanych umiejętności czy też użycia wyszukanej technologii dlatego jest tak chętnie wykorzystywany przez przestępców – jest bardzo tani dla nich a nas może kosztować bardzo dużo.
Według raportów opisujących cyberzagrożenia phishing jest jednym z najczęściej wykorzystywanych narzędzi do działalności przestępczej związanej z kradzieżą pieniędzy, zainfekowaniem naszego środowiska informatycznego, przejęciem dostępu do naszego systemu informatycznego. W zasadzie można powiedzieć, że możliwości jego zastosowań są w praktyce ograniczone tylko wyobraźnią przestępców.
Scenariusz jest prosty: otrzymujemy e-maila od zaufanej instytucji bądź osoby, wykonujemy polecenie wynikające z jego treści (otwieramy dokument, klikamy na „link”, podajemy wymagane dane) i już…gotowe. Dlaczego to robimy? Najczęściej wynika to z treści e-maila: możemy coś zyskać, jeszcze bardziej boimy się straty, wykonujemy polecenie przełożonego. Powodów może być wiele a wszystkie one związane są z socjotechniką, która bez ogródek wykorzystuje nasze naturalne słabości. Brzmi to jak żart, ale niestety żartem nie jest. Prędzej czy później, bez odpowiedniej wiedzy i treningu każdy da się złapać. Wystarczy gorszy dzień, chwila słabości lub nieuwagi czy pośpiech.
Jeżeli brzmi to trywialnie i mało przekonująco to polecam lekturę świetnego artykułu o prawdziwych przypadkach „z naszego podwórka” opisanych na stronach „Zaufana Trzecia Strona”, którą można znaleźć pod adresem: https://zaufanatrzeciastrona.pl/post/jak-ukrasc-kilka-milionow-z-polskiej-firmy-przyklady-udanych-scenariuszy/
Bardzo dobra analiza wraz z opisanymi przykładami tego co przytrafiło się nie przygotowanym.
No dobrze, ale są przecież procedury. Przecież przed realizacją przelewu przy zmianie rachunku trzeba taki fakt zweryfikować. Zgadzam się jest tylko kilka ALE:
Pierwsze: ALE nie każda firma ma odpowiednią świadomość i posiada takie procedury.
Drugie: ALE często pracownicy nie stosują się do procedur z braku świadomości zagrożeń, braku czasu czy zwykłej niefrasobliwości.
Trzecie: ALE procedura może nie być doskonała i może nie uwzględniać wielu czynników takich jak np. nieobecność osoby u której weryfikujemy informacje
Tych ALE może być znacznie więcej. Aby to lepiej poczuć wystarczy, że odpowiemy sobie uczciwie na jedno pytanie: czy zawsze jedziemy samochodem w 100% zgodnie z przepisami? Przecież to są obowiązujące nas przepisy o ruchu drogowym (czyli nasza procedura). Czasami robimy jednak wyjątki…prawda?
Podstawową kwestią jest świadomość użytkowników. Będąc świadomym, wiemy po co są procedury i jest większa szansa, że będziemy się do nich stosować. Mając wiedzę i doświadczenie będziemy potrafili rozpoznać zagrożenie oraz będziemy wiedzieli, jak się zachować. Po to właśnie potrzebny jest w przedsiębiorstwie program kultury bezpieczeństwa (Security Awareness Program), dzięki któremu pracownicy zdobędą wiedzę (dzięki szkoleniom e-learningowym), praktyczne doświadczenie w rozpoznawaniu zagrożeń (symulacja phishingu) oraz lepsze zrozumienie dla obowiązujących procedur (w końcu będą wiedzieć czemu one służą).
Poniżej krótki przykład jak rozpoznać Phishing. Zastrzegam, że e-mail ten nie pochodzi z banku, którego logo widzą Państwo poniżej i instytucja ta nie ma z nim nic wspólnego. Jest to tylko przykład dla celów edukacyjnych i tak proszę go traktować.
