Trzy powszechne typy phishingu to: email phishing, spear phishing i whaling. Wyjaśniamy czym się różnią i jak się przed nimi bronić.
W cyberbezpieczeństwie phishing jest uważany za atak socjotechniczny. Oznacza to, że atak najprawdopodobniej zostanie skierowany do pracowników firmy i wykorzysta ich jako „bramę wejścia” do organizacji. Ten rodzaj ataku jest starszy niż sam internet. Oszuści wysyłają wiadomości, w których udają kogoś innego, aby zdobyć zaufanie ofiary – na tym właśnie polega phishing.
Sprawdź: B2B urlop
Atakujący wciela się w kogoś godnego zaufania, starając się uzyskać dane uwierzytelniające pracowników. Często zachęca także do przelewu pieniędzy lub pobrania załącznika zawierającego złośliwe oprogramowanie. Jeśli próba phishingu się powiedzie, cyberprzestępca może narazić firmę na straty finansowe lub spowodować poważną lukę w systemie.
Jak możemy chronić swoją firmę przed phishingiem? I jakie są niektóre z dobrze znanych wariantów, które mogą atakować pracowników?
Email phishing, czyli stare poczciwe e-maile
W większości przypadków wiadomości phishingowe będą wysyłane za pośrednictwem poczty e-mail. Najpopularniejszy rodzaj phishingu obejmuje ogólną wiadomość, która jest wysyłana na tyle adresów, ile tylko przestępcy znajdą w internecie.
Ponieważ e-mail nie ma być spersonalizowany (atakujący nie ma wystarczająco dużo danych), sprawcy mogą podszywać się pod instytucje rządowe lub służby zdrowia. Możemy np. otrzymać najnowsze informacje o przepisach dotyczących Covid-19 lub wiadomość, że nasze dane zostały naruszone.
Ogólne wiadomości phishingowe często zawierają załączniki lub prośby o przesłanie im swoich danych osobowych. Nie brakuje takich e-maili, w których znajdziemy informację, że coś wygraliśmy i teraz trzeba tylko wejść na stronę i podać dane do wysyłki.
Dodatkowo w takich e-mailach występuje presja, aby jak najszybciej podjąć działania. Wszystko po to, aby nie dać użytkownikowi zbyt dużo czasu do namysłu i analiz.
Zobacz: Mid developer
W większości przypadków phishing będzie połączony z innymi formami cyberzagrożeń, takimi jak złośliwe oprogramowanie lub chęć wstrzyknięcia złośliwego kodu (code injection).
Dlatego ostatecznym celem atakującego jest, aby pracownicy kliknęli w dany link i pobrali wirusa. Nawet jeśli pracownicy przez pomyłkę klikną łącze w wiadomości e-mail, ważne jest, aby mieć narzędzie, które zapobiega dalszym uszkodzeniom systemu przez prawdopodobne ataki.
Większość dostawców poczty e-mail oferuje filtry, które mogą wykrywać ogólne szablony używane przez oszustów do phishingu. Zawsze sprawdzajmy też adresy poszczególnych łączy, aby weryfikować na jakie konkretnie strony prowadzą. I nie otwierajmy załączników od nieznanych osób.
Spear phishing – co to?
Spear phishing jest bardziej skomplikowany niż klasyczny phishing e-mailowy. Zamiast wysyłać ogólny e-mail na wszystkie adresy e-mail, które można pozyskać, atakujący dokładnie sprawdzają swoje ofiary przed naciśnięciem „wyślij”.
Tworzą spersonalizowaną wiadomość e-mail na podstawie np. pozycji danej osoby w firmie. Taki oszust zna stanowisko ofiary, adres e-mail, imię i nazwisko jej szefa, a może nawet coś o rodzinie i innych członkach zespołu, do których ofiara ma duże zaufanie. Przed wysłaniem e-maial pewnie sprawdzi też profile w social mediach, np. starając się poznać zainteresowania danej osoby.
Po wysyłće e-maila typu spear phishing oszuści mogą poprosić o przesłanie im hasła lub wykonanie przelewu bankowego.
Jak uniemożliwić pracownikom interakcję z wiadomościami typu spear phishing? Szkolenie pracowników może znacznie zmniejszyć liczbę udanych ataków phishingowych. W swoim podstawowym szkoleniu na temat higieny cyberbezpieczeństwa przedstawmy główne rodzaje phishingu i odpowiednie przykłady. Wyjaśnijmy też zasady panujące w organizacji, np. to, że szef nigdy nie poprosi o dokonanie przelewu, a menedżer HR nie będzie oczekiwał konkretnych informacji za pośrednictwem e-maila.
Whaling, czyli celujemy w kierowników i dyrektorów
Whaling, od whale (wieloryb), to wyłudzanie informacji o ludzi na wysokich stanowiskach. Atakujący mogą w tym przypadku wysyłać wiadomości bezpośrednio do kierownictwa lub podszywać się pod prezesów firm.
Oszust pilnie poprosi tutaj o przelew bankowy lub dane uwierzytelniające konkretnych osób. Wykaże się głębokim zrozumieniem danego biznesu oraz będzie używał odpowiedniego żargonu branżowego.
Tutaj również kluczowa jest kultura firmy i przestrzeganie wewnętrznych zasad. Menedżerowie i dyrektorzy powinni wiedzieć, czego spodziewać się od innych współpracowników – o jakie dane mogą prosić i w jakim scenariuszu. Zdecydowanie przydaje się w tym przypadku podejście zero trust, a także dodatkowe zabezpieczenia, np. za pomocą klucza sprzętowego 2FA. Taki klucz polecamy zresztą dla wszystkich pracowników.
IT-Leaders.pl to pierwsza w Polsce platforma łącząca Specjalistów IT bezpośrednio z pracodawcami. Anonimowy, techniczny profil i konkretnie określone oczekiwania finansowe to tylko niektóre z cech wyróżniających platformę. Zarejestruj się i zobacz jak Cię widzi pracodawca.