Co znajdziesz we wpisie:
W październiku trwa kampania znana jako Europejski Miesiąc Cyberbezpieczeństwa. To doskonała okazja, aby przypomnieć, jak zadbać o bezpieczeństwo w sieci. Dotyczy to nas wszystkich, zarówno w życiu prywatnym, jak i zawodowym. W pierwszej części naszej krótkiej serii wyjaśnimy, co kryje się za pojęciem social engineering i jak ochronić się przed takimi atakami.
Europejski Miesiąc Cyberbezpieczeństwa
Rolą Europejskiego Miesiąca Cyberbezpieczeństwa (ECSM) jest podniesienie świadomości na temat zagrożeń cyberbezpieczeństwa. Dzięki działaniom edukacyjnym i dzieleniu się dobrymi praktykami, firmy wspierają promowanie właściwych postaw i dostarczają wiedzę, która umożliwia ochronę przed niebezpieczeństwami w Internecie. W Polsce ECSM odbywa się od 8 lat, a jego hasłem przewodnim jest „Cyberbezpieczeństwo to nasza wspólna odpowiedzialność”.
Aby uniknąć niebezpieczeństwa, trzeba mieć świadomość jego występowania. Dlatego tak ważne są działania edukacyjne związane z cyberbezpieczeństwem. Zwłaszcza, że przestępcy są coraz bardziej kreatywni, a wiele osób nawet nie zdaje sobie sprawy z tego, że są narażeni na ich działania. Podobnie jest w biznesie – wg raportu „Hidden Statistics”[i] aż 59% firm, które w 2019 roku padły ofiarą ataków, dowiedziało się o tym przez przypadek. To oznacza, że tylko 41% firm, czyli mniej niż połowa, miało odpowiednie procedury, aby takie zdarzenie wychwycić.
Social engineering, czyli co?
Cyberbezpieczeństwo kojarzy się nam przed wszystkim z zaawansowanymi technologiami i specjalistycznym oprogramowaniem. Jest to bardzo mylące, ponieważ przestępcy są sprytni i doskonale potrafią manipulować ludźmi.
Przykładem jest właśnie social engineering, czyli inżynieria społeczna (zwana również manipulacją społeczną), socjotechnika. To technika manipulacji, w której cyberprzestępcy wykorzystują z jednej strony swoje umiejętności interpersonalne, a z drugiej ludzkie błędy, nawyki lub zaufanie (np. do jakiejś instytucji, kogoś dobrze nam znanego). Celem jest oczywiście uzyskanie ważnych informacji, dostępu do logowania, pieniędzy czy kosztowności. Wszystkiego tego, co ma wartość dla oszusta.
Oszustwa oparte na inżynierii społecznej opierają się na ludzkich odruchach i nawykach. Cyberprzestępcy manipulują zachowaniem użytkownika poprzez starannie zaprojektowane wiadomości e-mail, wiadomości głosowe lub wiadomości SMS. W ten sposób potrafią przekonać nieświadomego człowieka do wszystkiego – od przelewu pieniędzy, przekazanie poufnych informacji, do pobrania plików, które instalują złośliwe oprogramowanie w sieci firmowej.
Rodzaje przestępstw związanych z socjotechnikami
Istnieje wiele rodzajów oszustw związanych z inżynierią społeczną, wszystkie mają jednak jedną wspólną cechę – element ludzki.
Oto niektóre z najpopularniejszych metod inżynierii społecznej:
- Phishing – fałszywe wiadomości e-mail, strony internetowe i wiadomości tekstowe w celu kradzieży informacji. Te e-maile są wysyłane do tysięcy ludzi i nie są skierowane indywidualnie. Bardzo często zawierają ostrzeżenia, co się stanie, jeśli czegoś nie zrobimy.
- Spear Phishing – phishing spersonalizowany, celem jest określone stanowisko lub osoba (często dyrektor generalny / dyrektor finansowy – można spotkać się także z określeniem whaling, nawiązującym do wyławiania określonych osób). Bardzo skuteczny, ponieważ często jest poprzedzony odpowiednimi analizami i zbieraniem informacji na temat danej osoby, aby zaplanowany atak wydawał się wiarygodny, a tym samym był skuteczny.
- SMS phishing – wysyłanie SMS-ów mających skłonić do określonych działań.
- Złośliwe oprogramowanie, oprogramowanie zastraszające – manipulacja psychologiczna mająca na celu oszukanie użytkowników, aby uwierzyli, że złośliwe oprogramowanie jest zainstalowane na ich komputerze i aby je usunąć, muszą zapłacić.
- Tailgating – śledzenie pracowników wchodzących na teren fizycznego miejsca pracy, aby móc się tam dostać bez praw dostępu (na przykład karty dostępu, kod itp.).
- Vishing – rozmowa telefoniczna lub wiadomość na poczcie głosowej, podczas której oszust podszywający się pod kogoś innego przekonuje pracowników do szybkiego działania. Coś jak phishing, tylko przez telefon. Bardziej wyrafinowani oszuści mogą nawet używać zmieniaczy głosu, aby ukryć tożsamość i zmienić głos na kobietę lub mężczyznę.
Jak się ochronić przed takimi atakami?
Kluczowa jest wiedza i świadomość zagrożeń, dlatego właśnie edukacja w zakresie cyberbezpieczeństwa ogrywa tak istotną rolę.
Trudno bowiem bronić się przed czymś, czego nie znamy. Im więcej będziemy wiedzieć na ten temat, tym mniej będziemy podatni na te techniki manipulacji. Doskonale oddaje to wspomniane już wcześniej hasło ECSM „Cyberbezpieczeństwo to nasza wspólna odpowiedzialność”.
Świadomość zagrożeń jest ważna, ponieważ to ona wpływa na zmianę postaw i reakcje na zagrożenia w sieci i nie tylko. Dotyczy to zarówno cyberzagrożeń, które czyhają na nas w prywatnie, jak i w relacjach biznesowych w pracy. Wiedząc, jak łatwo możemy zostać oszukani, będziemy bardziej czujni i uważni, jeśli chodzi o podejrzane e-maile, telefony lub wydarzenia. Będziemy także wiedzieć, jak z nimi postępować.
Cztery proste rady, które warto zapamiętać:
- Nie klikaj podejrzanych linków w mailach czy SMS-ach.
- Zawsze weryfikuj tożsamość nadawcy, jeśli otrzymujesz e-maile lub telefony z prośbą o pilną reakcję. Jeśli masz wątpliwości, zadzwoń do osoby, którą jest nadawcą tych wiadomości. E-maile nigdy nie są zbyt pilne do podwójnej weryfikacji, w razie wątpliwości zapytaj także swoich współpracowników lub przełożonych.
- Uważaj, kogo wpuszczasz do budynku. Uprzejmość jest mile widziana w codziennych relacjach, ale staraj się unikać trzymania drzwi nieznajomemu, zwłaszcza jeśli nie nosi identyfikatora.
- Jeśli zauważyłeś podejrzane działania – poinformuj o nich innych współpracowników i przełożonych.
Co zrobić, jeśli prawdopodobnie doszło do takiego ataku?
Najgorsze, co może się zdarzyć w takim przypadku, to nie mówić nic i udawać, że nic się nie stało.
Jeśli podejrzewasz, że Ty lub Twoja Firmy stały się ofiarami cyberprzestępcy, koniecznie poinformuj o tym swoich przełożonych, zespół ds. bezpieczeństwa (jeśli w Twojej firmie taki jest), bank (jeśli chodzi o transakcje), a nawet policję, w której jest specjalne Biuro do Walki z Cyberprzestępczością (dane kontaktowe są na stronie internetowej). Im szybsza reakcja, tym lepiej.
W drugim artykule z naszego cyklu skupiliśmy się na bezpiecznej pracy podczas home office. Sprawdź, jak zadbać o bezpieczne miejsce pracy, połączenie internetowe a także jak chronić się przed najczęstszymi oszustwami e-mailowymi. |
[i] https://www.visma.com/blog/key-findings-on-cybersecurity-from-the-hidden-statistics-report-2020/, dostęp 07.10.2020 r.