Phishing to rodzaj oszustwa internetowego, na które wciąż nabiera się sporo internautów. Wynika to w głównej mierze z nieostrożności oraz niewiedzy użytkowników sieci. Skutki takiej nieostrożności mogą być dla ofiary bardzo bolesne, ponieważ w wyniku ataku phishingowego można nawet stracić wszystkie pieniądze zgromadzone na rachunku bankowym. Problem ten dotyczy nie tylko pojedynczych użytkowników internetu, ale także firm czy instytucji. Przez nieuwagę jednego pracownika podmioty takie mogą nabawić się naprawdę sporych kłopotów. Na czym polega phishing i jak się przed nim chronić? Jak się nie dać internetowym oszustom? Poniżej przedstawiamy 3 sposoby na skuteczne zabezpieczenie siebie i firmy przed phishingiem.
Jak się zabezpieczyć przed phishingiem – dobre nawyki użytkowników
Monitorowanie aktywności użytkowników
Wyobraźnia i edukowanie pracowników kluczem do sukcesu
Co to jest phishing?
Phishing to oszustwo internetowe polegające na wyłudzeniu od użytkownika jego poufnych informacji. Takimi poufnymi informacjami mogą być na przykład:
- dane logowania (do poczty, bankowości internetowej itp.),
- numer i dane karty kredytowej.
W jaki sposób się to odbywa? Jak to możliwe, żeby oszust wyłudził od nas tak ważne informacje?
Sposób działania oszustów jest zawsze taki sam albo bardzo podobny. Odbywa się to dwutorowo, poprzez:
- wysłanie do użytkownika fałszywego maila,
- przekierowanie ofiary na fałszywą stronę internetową.
Przestępcy podszywają się pod znane firmy czy instytucje, na przykład banki. Użytkownik otrzymuje maila, który wygląda tak, jakby jego nadawcą był rzeczywiście bank, w którym internauta ma założony rachunek bankowy. W jego treści znajduje się prośba o podanie swoich danych dostępowych (loginu i hasła). Jest to argumentowane w różny sposób, na przykład potrzebą aktualizacji danych czy potwierdzenia swojej tożsamości. Bardzo często dołączona jest przy tym informacja, a nawet groźba, że jeśli tego nie zrobimy, to nasze konto zostanie dezaktywowane lub usunięte. W wiadomości znajduje się również link, w który należy kliknąć, żeby dokonać owej rzekomej aktualizacji czy autoryzacji.
Jak nietrudno się domyślić, link prowadzi do fałszywej strony internetowej, która do złudzenia przypomina prawdziwą stronę danej instytucji, w tym przypadku banku. Jeśli damy się nabrać i wpiszemy na niej swoje dane to można powiedzieć, że jest już po zabawie. Oszustom, którzy mają podgląd na to, co użytkownicy wpisują na ich fikcyjnej stronie, nie pozostaje nic innego, jak wejść na prawdziwą stronę danej organizacji i zalogować się przy pomocy uzyskanych od nas danych.
Oczywiście bank to tylko jedna z możliwości. Oszuści podszywają się pod wiele innych firm i organizacji. Mogą to być portale aukcyjne, systemy płatności internetowych itp.
Jak się zabezpieczyć przed phishingiem – dobre nawyki użytkowników
Podstawową kwestią jeśli chodzi o ochronę przed phishingiem jest zachowanie ostrożności przez użytkowników. Jeśli zatrudniasz pracowników, to powinieneś zadbać o to, aby byli oni świadomi zagrożenia związanego z nieprzemyślanym:
- otwieraniem linków znajdujących się w mailach,
- otwieraniem załączników w mailach,
- wchodzeniem na podejrzane strony internetowe.
W tym celu warto zorganizować w firmie szkolenie na temat phishingu. Tak, aby pracownicy wiedzieli, co robić, kiedy dostaną podejrzaną wiadomość. Żeby nie klikali bez namysłu w linki, które dostają w mailach. Pracownicy powinni mieć zakodowane w swoich głowach, że zanim w cokolwiek klikną, warto się najpierw dwa razy zastanowić, czy nie jest to czasami jakaś “pułapka”. Dobre nawyki pracowników z całą pewnością pozwolą zabezpieczyć Twoją firmę przed utratą ważnych informacji.
Symulacja ataku phishingowego
Ciekawym rozwiązaniem, zalecanym i stosowanym przez specjalistów z branży bezpieczeństwa IT, jest przeprowadzenie fałszywego ataku phishingowego. Atak taki może polegać na przykład na rozesłaniu do pracowników maili, których celem jest wyłudzenie od nich ważnych informacji. Dzięki symulacji pracownicy mogą w bezpieczny sposób zapoznać się ze schematem działania tego typu ataków. Zobaczą to na żywo, bez przykrych konsekwencji w postaci utraty poufnych informacji.
Natomiast osoby odpowiadające w firmie za bezpieczeństwo IT otrzymują dzięki symulacji wiele przydatnych informacji na temat zachowania użytkowników, a co za tym idzie – doskonały materiał szkoleniowy na przyszłość. Jeśli pracownicy nie przeszli testu, należy podjąć odpowiednie kroki w celu ich przeszkolenia.
Monitorowanie aktywności użytkowników
Edukowanie pracowników to jednak nie wszystko. Na rynku dostępne są również specjalistyczne narzędzia chroniące przed phishingiem, na przykład:
- programy antywirusowe,
- systemy DLP.
Oprogramowaniem, które przydaje się w walce z phishingiem jest również Ekran System – nowoczesny program do monitoringu komputerów i serwerów. W jaki sposób Ekran System może pomóc w walce z tego typu oszustwami?
Ekran System umożliwia monitorowanie aktywności użytkowników komputerów oraz nagrywanie jej w formie plików video. Co ważne, monitoring jest możliwy w czasie rzeczywistym. Osoba odpowiadająca za bezpieczeństwo IT może kontrolować pracowników na żywo, co daje możliwość błyskawicznej reakcji na wykryte zagrożenie. Widząc, że pracownik robi coś podejrzanego, można go na przykład zablokować, uniemożliwiając mu tym samym dalszą aktywność na komputerze.
Nagrania video z aktywnością użytkowników stanowią również świetny materiał szkoleniowy, który można zaprezentować pracownikom z zastrzeżeniem – “jak nie należy robić”.
Wyobraźnia i edukowanie pracowników kluczem do sukcesu
Nieważne jednak, na jakie narzędzie się zdecydujemy, należy pamiętać o tym, że najważniejsze jest edukowanie pracowników. Do ochrony przed phishingiem wystarczą bowiem wyobraźnia oraz wspomniane już dobre nawyki. Nie klikajmy w nieznane linki i nie udostępniajmy swoich danych za pośrednictwem podejrzanych stron internetowych. To tak niewiele, a możemy dzięki temu uniknąć naprawdę dużych kłopotów.
Share:
