Rozpoczął się miesiąc cyberbezpieczeństwa – Europejski Miesiąc Cyberbezpieczeństwa (ECSM).
To coroczna, ogólnoeuropejska kampania organizowana przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) z inicjatywy Komisji Europejskiej. Tegoroczna edycja jest już dziesiątą „rocznicą” można powiedzieć tego wydarzenia.
We wszystkich państwach członkowskich UE w miesiącu październiku, organizowane są edukujące wydarzenia mające na celu promować, uświadamiać, uwrażliwiać, przekazywać ważne informacje oraz podnosić świadomość użytkowników na możliwe zagrożenia w świecie cybernetycznym. To wielka baza wiedzy, gdyż nie tylko państwa członkowskie dzielą się wiedzą między sobą, ale również biorą w niej udział: firmy sektora prywatnego, uczelnie, organizacje pozarządowe, stowarzyszenia zawodowe oraz wiele innych.
W Polsce, tą kampanię od samego początku istnienia koordynuje NASK PIB. (Państwowy Instytut Badawczy NASK)
Nie oszukujmy się, tego rodzaju wydarzenia są dla użytkowników podstawą. Cyberbezpieczeństwo staje się coraz ważniejsze, ponieważ smartfony, komputery i tablety są nieodłącznym elementem naszej codziennej pracy i życia osobistego. Postępująca cyfryzacja naszego świata stwarza nowe możliwości dla firm we wszystkich branżach. Jednak wraz z nimi pojawiają się również zagrożenia dla bezpieczeństwa w sieci.
Hasło tegorocznej kampanii to: „Pomyśl, zanim klikniesz” (ang. Think Before U Click)
To hasło kieruje Nas do dwóch ważnych i statystycznie najpopularniejszych ataków wśród cyberzagrożeń jakimi są: phishing (wyłudzanie informacji) Raport z CERT.PL (https://cert.pl/posts/2022/04/statystyki-obslugi-incydentow-2021/) z którego wynika, że najpopularniejszym atakiem w 2021 był właśnie phishing, stanowiący aż 76,57 proc. Wszystkich obsłużonych incydentów. Możemy również dowiedzieć się z raportu, że „Liczba incydentów zaklasyfikowanych jako phishing w porównaniu do roku poprzedniego wzrosła o 196 proc”. Oraz ransomware (oprogramowanie szantażujące). Wyniki z raportu CERT.: „Drugim typem incydentów pod względem popularności jakie CERT Polska zarejestrował i obsłużył było szkodliwe oprogramowanie. Tego typu incydentów w 2021 r. zarejestrowano 2847, co stanowi 9,66 proc. wszystkich obsłużonych incydentów”.
Toteż właśnie te dwa, zresztą najpopularniejsze rodzaje ataków są tematami przewodnimi tej edycji.
W związki z tym, chciałabym Państwu przybliżyć te dwa powyższe zagadnienia, aby jeszcze bardziej naświetlić użytkownikom, na czym polegają tego typu ataki. W tym artykule skupię się na pierwszym zagadnieniu, czyli phishingu. Kolejny będzie omówiony w cz.2, czyli w następnym artykule- już niebawem😊
Zanim przejdę do hasła przewodniego myślę, że na wstępie warto wyjaśnić po krótce jaka jest definicja samego „cyberbezpieczeństwa”.
Według słownikowej definicji pochodzącej z Wikipedii jest to:
„Ogół technik, procesów i praktyk stosowanych w celu ochrony sieci informatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem…”
(Źródło: https://pl.wikipedia.org/wiki/Cyberbezpiecze%C5%84stwo)
Mówiąc zwięźlej/przejrzyściej ujęłabym to, w ten sposób: Cyberbezpieczeństwo oznacza metody/rozwiązania, które mają wpływ na zminimalizowanie przez organizację ryzyka cyberataków, ich prawdopodobnego wpływu na działalność oraz ochronę używanych urządzeń oraz usług. Cyberbezpieczeństwo to po prostu działania stosowane przez firmę, które mają za zadanie ochronić zasoby cyfrowe przed zhakowaniem. Strategie mogą obejmować technologię, procedury i inne środki zabezpieczające systemy, urządzenia oraz dane.
Cel jest „prosty”: zapobieganie niepowołanemu dostępowi do danych przechowywanych na nośnikach fizycznych i online.
Oczywiście należy nadmienić, że jest wiele rodzajów ataków hakerskich takich jak: phishing, malware, ransomware, ataki dos, ddos i drdos, Man in the middle czy sql injection- jest to nieskończony wachlarz możliwości, natomiast ja dziś zgodnie z zapowiedzią skupię się dziś na statystycznie jednym
z najpopularniejszych ataków- PHISHINGIEM.
Phishing – według statystyk (2021r), ataki phishingowe stanowią ponad 80% ataków cybernetycznych (źródło: https://www.csoonline.com/article/3634869/top-cybersecurity-statistics-trends-and-facts.html.)
To jedna z najprostszych metod ataku hakerskiego w którym cyberprzestępcy podszywają się pod znane użytkownikowi osoby lub organizacje (bank, urząd, itp.). Atak ten, najczęściej występuje w wiadomości e-mail lub SMS. Cechuje go to, że zazwyczaj wiadomości te zawierają link lub załącznik, którego kliknięcie (do czego nakłania treść wiadomości) powoduje nieświadome przekierowanie na fałszywą stronę w celu podania swoich danych.
Utworzonej fałszywej witryny nie sposób jest odróżnić od tej prawdziwej. Wiadomości phishingowe zawierają wręcz identyczne loga firmowe i obrazki związane z działalnością, pod którą podszywa się przestępca. Zamiast przeniesienia na stronę banku czy innej działalności, której spodziewamy się zobaczyć po mailu, link prowadzi do wręcz idealnie zrobionej strony oszusta. Wszystko co zostanie tam wpisane zostanie wysłane do hackera, wraz z loginem i hasłem do zaufanej strony. W momencie, gdy dostęp do konta zostanie uzyskany, atakujący może wykorzystać go na różne sposoby. W przypadku konta bankowości elektronicznej, oszust może zakupić co chce oraz zrobić przelew z naszego konta: adres mailowy może być wykorzystany do logowania na forach, przejrzenia korespondencji mailowej lub na przykład wysyłaniem spamu do innych użytkowników.
Mówiąc najprościej, PHISHING to wyłudzenie informacji.
Warto wspomnieć, że Phishing oparty jest o socjotechnikę polegającą na tym, że przestępcy internetowi próbują nas oszukać i sprawić, abyśmy podjęli działanie zgodnie z ich zamierzeniami – inaczej mówiąc ich celem jest nakłonienia ludzi do podania poufnych informacji.
Ciekawostka: Nie sposób nie wspomnieć w tym miejscu o znanym w świecie bezpieczników, genialnym socjotechniku Kevinie Mitniku- który w swojej książce „Sztuka podstępu” pisał „łamałem ludzi, nie hasła” – serdecznie polecam przeczytać, oczywiście w formie edukacyjnej i ku przestrodze😉
Co najważniejsze! – Phishing nie wymaga luk w zabezpieczeniach, a bazuje jedynie na błędach użytkownika. Cyberprzestępcy wykorzystują naszą niewiedzę, zmęczenie, stres, a także ciekawość i często towarzyszące nam emocje (takie emocje mogą nam się zapewne włączyć w podanym poniżej przykładzie)
Phishing ciągle jest najpopularniejszym wektorem ataków. Dlaczego? Ponieważ jest to najtańsza (i najłatwiejsza) opcja, często działająca na zasadzie skali (zawsze ktoś się złapie).
PRZYKŁAD:
Jak zatem bronić się przed phishingiem?
Zastosowanie kilku strategii być może pomoże powstrzymać/ ograniczyć tego rodzaju zagrożenie. Oto one:
- Ochrona anty-phishingowa to warstwowy mechanizm, a pierwszą linią ochrony jest filtrowanie spamu – rozwiązanie, które jest przeważnie wbudowane w oprogramowanie antywirusowe i przesiewa wiadomości tzw. „śmieci” od tych legalnych.
- Weryfikuj nadawcę wiadomości- jeśli nie jesteś pewien nadawcy np. banku to sam skontaktuj się z jej przedstawicielem za pośrednictwem infolinii.
- Pod żadnym pozorem nie udostępniaj innym osobom Twoich haseł i loginów.
- Ostrożnie traktuj załączniki, które otrzymujesz. Jeśli nie masz co do nich pewności – lepiej ich nie otwieraj. Pamiętaj o tym, że w sieci należy stosować zasadę ograniczonego zaufania. Odruchowe klikanie w linki i pobieranie plików z nieznanych źródeł jest bardzo ryzykownym zachowaniem – zanim otworzysz wiadomość od „firmy kurierskiej” zastanów się, czy faktycznie czekasz na jakąś przesyłkę.
- Nie klikaj w linki z niespodziewanych wiadomości. Wejdź na stronę WWW, wpisując adres ręcznie.
- W przypadku linków przesłanych w treści wiadomości bardzo dokładnie sprawdzaj domeny, na które zostaniesz przekierowany po ich kliknięciu. Najedź na dany link kursorem, aby wyświetlić adres, do którego zostaniesz przekierowany.
- Zwróć uwagę na dane nadawcy wiadomości. Adresy mailowe, którymi posługują się oszuści mogą się różnić od tych autentycznych łatwymi do przeoczenia szczegółami, np. literówką w nazwie domeny – zamiast kontakt@bank.pl – kontakt@bank.ppl. Adresy mogą również zawierać przekręconą lub niepełną nazwę firmy czy instytucji.
- Jeśli nie masz pewności czy otrzymana wiadomość jest prawdziwa – nie wykonuj żadnej akcji. Prześlij ją tylko do działu IT, celem weryfikacji.
- Korzystaj z VPN podczas pracy z danymi firmowymi- Niezależnie od tego, czy łączysz się z firmowymi bazami danych i usługami, czy jedynie przeglądasz zasoby, zawsze korzystaj z wirtualnej sieci prywatnej (VPN). VPN szyfruje cały Twój ruch, czyniąc go bezpiecznym na wypadek, gdyby haker próbował przechwycić Twoje dane.
- Ostatnie, lecz nie najmniej znaczące jest ustawienie dwuetapowej weryfikacji na ważnych kontach. Pozwala to upewnić się, że nikt nie otrzyma naszych danych logowania i nie dostanie się do konta bez drugiego etapu, typu wysłanie kodu potwierdzającego na nasz telefon.
Tak naprawdę Nie ma 100% ochrony przed phishingiem. To, co możemy zrobić to stale edukować siebie, pracowników, użytkowników, aby byli coraz bardziej świadomi zagrożeń i aby w tak kluczowym momencie nie popełniali błędów. Zasada ograniczonego zaufania i czujność na każdym kroku. Podnoś świadomość swoich pracowników, a dzięki temu będą wiedzieć jak poradzić sobie z wyżej wymienionymi zagadnieniami. Postaw na dobre i sprawdzone szkolenia, które nie są tylko teorią, ale pokazują praktyczne stosowanie zasad. Możesz skorzystać z naszej pomocy https://www.comp-net.pl/oferta
Postarajmy się sami być zespołem Firewal 😉
Ewa Sobczyk | Kierownik Projektu w CompNet Sp. z o.o.