Ochrona małej firmy przed atakami typu phishing
Opublikowany: 2021-07-27Zapytaj kogokolwiek i albo on, albo ktoś, kogo znają, doświadczył ataku phishingowego. Nie tylko to, ale prawdopodobnie znają kogoś, kto faktycznie stracił pieniądze z powodu jednego.
Phishing pozostaje najczęstszym rodzajem cyberataku – 74% organizacji w Stanach Zjednoczonych zostało skutecznie zaatakowanych w ciągu ostatniego roku. Małe firmy są niestety szczególnie narażone, ponieważ generalnie brakuje im zasobów i wiedzy potrzebnych do ochrony przed tymi atakami.
Dlaczego hakerzy lubią atakować małe firmy?
Najczęściej małe firmy mają wrażenie, że cyberbezpieczeństwo nie jest dla nich istotne, ponieważ nie mają ogromnych ilości danych lub aktywów finansowych, których szukają hakerzy, więc po co poświęcać czas i wysiłek, aby się chronić ?
Jest to jednak dokładnie ten rodzaj mentalności, na której polegają cyberprzestępcy, ponieważ firmy te nie wdrożą skutecznych środków bezpieczeństwa, przez co staną się miękkim i łatwym celem dla hakerów. Małe firmy zwykle nie inwestują w szkolenia z zakresu cyberbezpieczeństwa dla swoich pracowników, więc ataki phishingowe, których celem jest oszukanie ludzi, mają większe szanse powodzenia, gdy odbiorca nie ma wiedzy, jak sobie z tym poradzić.
W przypadku niektórych ataków małe firmy nie są nawet ostatecznym celem. Haker wykorzystuje małą firmę jako łatwy punkt wejścia, odskocznię do większych firm w łańcuchu dostaw, która naprawdę je wynagrodzi. Te ataki w łańcuchu dostaw stają się coraz częstsze i prawie zawsze zaczynają się od małej firmy, która po prostu nie miała zabezpieczeń cybernetycznych, aby odpowiednio się chronić.
Jak działa phishing?
Ataki phishingowe są nadal jednym z najpowszechniejszych rodzajów cyberataków na firmy – w zeszłym roku w samych Stanach Zjednoczonych doszło do 241 324 incydentów. Badanie cyberprzestępczości przeprowadzone przez rząd Wielkiej Brytanii w 2021 r. również ujawniło phishing jako główny wektor zagrożeń, odpowiedzialny za 83% ataków.
Włamanie się do systemu wymaga czasu i wysiłku, ale uzyskanie dostępu do tych systemów poprzez wykorzystanie ich zaufania i oszukanie jest znacznie łatwiejsze. Wyłudzanie wiadomości e-mail jest skierowane w szczególności do ludzi i często wykorzystuje techniki socjotechniki, aby nakłonić użytkownika do podania poufnych informacji lub kliknięcia łącza, które uruchamia instalację złośliwego oprogramowania lub oprogramowania ransomware w systemie odbiorcy.
Możesz zostać celem w ramach masowej kampanii lub może to być bardziej konkretny, bardziej przemyślany atak na Twoją organizację. W tym drugim przypadku hakerzy mogą wykorzystać pewne informacje o Twojej firmie lub innych pracownikach, aby wiadomość e-mail brzmiała bardziej przekonująco. Ten rodzaj ataku jest znany jako spear phishing.
Przypadki kompromitacji biznesowej poczty e-mail sprawiają, że wykrycie oszusta jest szczególnie trudne, ponieważ o ile wiesz, otrzymujesz wiarygodną wiadomość e-mail od współpracownika lub partnera biznesowego. Tego rodzaju ataki służą do zachęcania pracowników, klientów lub kogokolwiek w łańcuchu dostaw do dostarczania poufnych danych lub transferu środków (które oczywiście zostaną skierowane na konto bankowe hakera).
Straty finansowe mogą być poważnymi konsekwencjami dla małej firmy biorącej udział w ataku phishingowym, ale sytuacja może się znacznie pogorszyć, jeśli osoby spoza organizacji staną się celem za pośrednictwem Twojej firmy. Jeśli hakerom uda się uzyskać dostęp do konta pracownika i wysłać e-maile do dostawców, klientów lub partnerów Twojej firmy, możesz poważnie wpłynąć na te zaufane relacje i stracić biznes z powodu obaw, że Twoja firma nie jest bezpieczna.
Jak rozpoznać atak phishingowy
Wszyscy uważamy, że wiemy, jak je rozpoznać, ale dzisiejsze wiadomości phishingowe są znacznie bardziej wyrafinowane i wymagają jeszcze większej czujności.
Więc na co możesz zwrócić uwagę?
- Zawsze uważnie przyglądaj się nadawcy. Fałszywe domeny mogą być po prostu zaufaną domeną, która została nieznacznie zmieniona, na przykład jedno „i” na „1”
- Sprawdź zawartość. Jeśli składane są podejrzane obietnice, które wyglądają zbyt pięknie, aby mogły być prawdziwe, prawdopodobnie tak jest.
- Uważaj na ton. Hakerzy często używają pośpiechu w wiadomościach phishingowych, aby przekonać Cię do działania, zanim zdążysz pomyśleć.
- Wymowa i gramatyka. Poprawna pisownia i gramatyka nie zawsze są mocną stroną hakera, więc oczywiste błędy mogą być oznaką spamu.
Jeśli chodzi o oszustwa BEC, które zwykle są znacznie trudniejsze do wykrycia, przed wysłaniem jakichkolwiek informacji należy zachować ostrożność. Popularne oszustwa obejmują wysyłanie fałszywych faktur do klientów, podszywanie się pod kogoś z wyższego kierownictwa w celu żądania pieniędzy od pracowników lub podszywanie się pod prawników, aby żądać pieniędzy od klientów. Ogólnie zaleca się, aby dokładnie sprawdzić wszystkie prośby o przelewy, które przychodzą na Twoją skrzynkę odbiorczą.
Co możesz zrobić jako mała firma?
Szkolenie pracowników
Kluczem do ochrony firmy przed atakami phishingowymi jest zapewnienie odpowiedniego przeszkolenia personelu, ponieważ błąd ludzki jest przyczyną powodzenia próby phishingu. Obowiązkiem dyrektora generalnego lub właściciela organizacji jest zapewnienie pracownikom właściwych wskazówek dotyczących ataków phishingowych, sposobu ich wykrywania i tego, co należy zrobić, jeśli je napotkasz.
Kultywowanie kultury bezpieczeństwa i świadomości oraz upewnianie się, że pracownicy posiadają odpowiednią wiedzę, jest szczególnie ważne, gdy niektórzy użytkownicy mogą pracować w domu, ponieważ w takich środowiskach widoczność i kontrola są mniejsze.
Zasady bezpieczeństwa to dobry sposób na przekazanie tych wskazówek i upewnienie się, że pracownicy przeczytają i zrozumieją je, co może stać się częścią procesu wdrażania pracowników. Ćwiczenia z bezpieczeństwa cybernetycznego są również dobrym sposobem sprawdzenia tej wiedzy – istnieje wiele ćwiczeń online, z których można korzystać za darmo, takich jak „ćwiczenie w pudełku” NCSC. Za kilka dolarów miesięcznie inne firmy mogą zapewnić szkolenia w zakresie bezpieczeństwa, takie jak symulacje phishingu, podczas których można śledzić odpowiedzi pracowników.
Kontrola dostępu
Przydatne jest ograniczenie liczby cennych punktów wejścia, które haker może wykorzystać, zmniejszając przywileje kont w Twojej firmie. Pracownicy powinni mieć dostęp tylko do tego, czego potrzebują do wykonywania swojej roli.
W ten sposób, jeśli cyberprzestępca zhakuje swoje konto, nie będzie mógł uzyskać dostępu do wszystkich poufnych danych firmy, a naruszenie może zostać powstrzymane. Konta administratorów powinny być zarezerwowane dla kierownictwa najwyższego poziomu. Aby dodatkowo chronić swoje konta przed naruszeniem, stosuj dobre zabezpieczenia hasłem i upewnij się, że włączone jest uwierzytelnianie wieloskładnikowe.
Zapasowa kopia danych
Regularne tworzenie kopii zapasowych wszystkich poufnych danych w Twojej organizacji oznacza, że nie wszystko zostanie utracone, jeśli hakerowi uda się uzyskać dostęp poprzez próbę wyłudzenia informacji. W idealnej sytuacji strategia tworzenia kopii zapasowych powinna spełniać najlepsze praktyki trzech kopii: dwie na różnych nośnikach, jedna poza siedzibą, a wszystkie kopie zapasowe powinny być szyfrowane dla dodatkowego bezpieczeństwa. Możesz wybrać tworzenie kopii zapasowych za pomocą dostawcy chmury lub dysku zewnętrznego, ale niezależnie od metody, należy je monitorować i regularnie oraz sprawdzać, aby zapewnić możliwość odzyskania.
Oprogramowanie zabezpieczające
Zapewnienie, że oprogramowanie zabezpieczające jest zawsze aktualne, jest niezbędne do ochrony przed włamaniami i atakami typu phishing. Często są one aktualizowane automatycznie, ale zawsze warto sprawdzić najnowsze poprawki. Chociaż szkolenie pracowników będzie odgrywać największą rolę w zapobieganiu atakom typu phishing, dodatkowe zabezpieczenia są przydatne, ponieważ nie zawsze można zagwarantować, że ludzie wykonają to prawidłowo, bez względu na to, ile mają przeszkolenia i czujności cybernetycznej.
Rozwiązania zabezpieczające innych firm można wdrożyć, aby działały w tle, monitorując aktywność e-mailową użytkowników, próby logowania i pobieranie plików, dzięki czemu wszelkie anomalie lub naruszone konta są szybko znajdowane i zgłaszane. Mogą one pomóc w stworzeniu siatki bezpieczeństwa, dzięki której nawet jeśli pracownik firmy popełni błąd, nie musi to być katastrofalne.
Wniosek
Ochrona organizacji przed atakami typu phishing nie musi być kosztowna ani czasochłonna, ale dla małych i średnich firm ważne jest podejście warstwowe, zapewniające personelowi odpowiednie przeszkolenie, a także prawidłowe zarządzanie oprogramowaniem i jego konfigurowanie do dalszej rozbudowy twoja obrona.
Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.