Uvod: svijest o krađi identiteta na radnom mjestu
Ovaj članak pojašnjava šta phishing je, i kako se može spriječiti uz odgovarajuće alate i obuku. Tekst je transkribovan iz intervjua između John Shedd i David McHalea HailBytes.
Šta je phishing?
Phishing je oblik društvenog inženjeringa, obično putem e-pošte ili SMS-a ili preko telefona, gdje kriminalci pokušavaju dobiti neku vrstu informacija koje mogu koristiti za pristup stvarima kojima ne bi trebali moći pristupiti.
Za ljude koji nisu bili svjesni, postoji nekoliko različitih vrsta phishing napada.
Koja je razlika između općeg phishinga i spearphishinga?
Opća krađa identiteta je obično super masovno slanje e-pošte istog formata kako bi se pokušalo natjerati nekoga da klikne na njega bez puno truda.
Općenita phishing je zapravo igra brojeva, dok će kriminalci spearphishing otići i istražiti metu.
Sa spearphishingom, potrebno je malo više pripreme i stopa uspjeha je mnogo veća.
Kao rezultat toga, ljudi koji koriste spearphishing obično ciljaju na vrijednije mete. Neki primjeri uključuju knjigovođe ili financijske direktore koji imaju sposobnost da im zaista daju nešto vrijedno.
U zakljucku: Općenita krađa identiteta je prilično razumljiva sa pojmom općenito, a spearphishing je specifičniji za pojedinačnu metu.
Kako prepoznati phishing napad?
Obično ono što ćete vidjeti za opću krađu identiteta je ime domene koje se ne podudara ili ime pošiljatelja s kojim niste upoznati. Još jedna stvar na koju treba obratiti pažnju je loš pravopis ili loša gramatika.
Možda ćete vidjeti priloge koji nemaju puno smisla ili priloge koji su tipovi datoteka kojima inače ne biste pristupili.
Možda od vas traže da uradite nešto što je izvan uobičajenog procesa za vašu kompaniju.
Koje su dobre prakse za sprečavanje phishing napada?
Važno je imati dobro sigurnosne politike na mjestu.
Trebali biste razumjeti procese koji su uobičajene visokorizične aktivnosti poput slanja platnog spiska ili slanja bankovnih transfera. To su neki od najčešćih vektora koje vidimo da kriminalci u osnovi iskorištavaju to povjerenje i onda štete kompaniji.
Trebali biste imati razumijevanja da ako je nešto sumnjivo, oni to trebaju prijaviti i imati neku vrstu procesa koji će korisnicima olakšati traženje pomoći.
Trebali biste znati osnovne stvari koje treba provjeriti u svakoj e-poruci, jer mnogi korisnici ne znaju šta da traže ili jednostavno nisu svjesni.
Kako Hailbytes pomaže u podizanju svijesti o phishing-u i obuci?
Nudimo simulacije phishinga u kojima ćemo kompanijama slati phishing e-poruke na koje korisnici kliknu i možemo dobiti razumijevanje o tome kako izgleda njihov sigurnosni položaj. U konačnici, u mogućnosti smo otkriti koji su korisnici ranjivi u njihovoj organizaciji.
Naši alati im omogućavaju da prosleđuju e-poštu i dobiju izveštaj nazad kako bi razumeli šta je sa rizičnim faktorima u toj e-poruci, a onda ćemo interni bezbednosni tim takođe dobiti taj izveštaj.
Također imamo osnovne i napredne sigurnosne obuke koje će tim korisnicima pokazati puno uobičajenih taktika koje se koriste i puno uobičajenih stvari na koje trebaju obratiti pažnju kada sumnjaju da bi e-mail mogao sadržavati phishing napad.
Zaključci:
- Phishing je oblik društvenog inženjeringa.
- Opšta phishing je široko rasprostranjen oblik napada.
- Spearphishing uključuje istraživanje cilja phishinga i uspješniji je za prevaranta.
- Imati sigurnosna politika na mestu je prvi korak ka ublažavanju sajberbezbednosti prijetnje.
- Phishing se može spriječiti kroz obuku i phishing simulatore.
