De parca securitatea cibernetica nu era o problema din ce in ce mai presanta in ultimii ani, odata cu generalizarea fenomenului work from home atacurile par sa se fi inmultit. Lipsiti de unele dintre solutiile de securitate de care se bucurau la birou, din ce in ce mai multi angajati trebuie sa se confrunte, cateodata pe cont propriu, cu cele mai periculoase atacuri cibernetice. Securitatea IT pentru compania ta chiar nu este o gluma, asa cum vei descoperi din randurile urmatoare.
Cele mai cunoscute forme de atacuri cibernetice sunt: phishing, exploit, malware si botnet. In cadrul articolului de astazi vom explica ce inseamna phishing, cum arata un e-mail si un atac de phishing, cateva exemple si solutii contra acestui tip de agresiune cibernetica. Evitarea riscurilor ramane in continuare unul dintre cele mai importante 5 motive pro externalizare IT.
In acest articol vei afla:
- Phishing sau furtul de identitate: ce este si cum il evitam
- Ce este phishing-ul
- Cum functioneaza phishing-ul
- Tipuri de atac phishing
- Atac phishing in masa
- Atac phishing targetat
- Exemple de atacuri phishing
- Cum recunosti un e-mail de phishing
- Solutii contra phishing
- Cum te poate ajuta echipa KodingTech
Ce este phishing-ul
Nu exista o traducere pentru phishing, deoarece nu putem spune ca este o forma de pescuit online, asadar ne referim la acest fenomen drept o tentativa de furt de identitate. Categorisit drept o forma de inselaciune online, phishing-ul consta in folosirea unor metode de manipulare a identitatii, fie a unor persoane sau organizatii, cu scopul de a obtine informatii confidentiale, sensibile sau diverse avantaje materiale.
In cadrul acestui proces sunt folosite tehnici de social engineering, adica tactici de exploatare psihologica, victimele dezvaluindu-si practic singure datele de autentificare. Cele mai vizate servicii de catre acest tip de atacatori sunt serviciile de plata online, furnizorii de servicii de internet, retelele de socializare, organizatiile non profit, website-urile organizatiilor guvernamentale sau serviciile de coletarie.
Tintele preferate sunt detaliile cardurilor de credit sau informatiile de autentificare in diverse platforme. O minimizare a acestor riscuri poate fi obtinuta mai ales prin achizitionarea de servicii IT complete.
Cum functioneaza phishing-ul
Procesul de phishing este, din pacate, ingrijorator de simplu. In cadrul acestei metode, atacatorul impersoneaza o sursa sigura, de exemplu un contact (coleg, manager), o pagina web de autentificare sau un mediu de plata online cu care utilizatorul este obisnuit. Utilizatorul astfel pacalit isi introduce datele sau le transmite. Rezultatul consta in faptul ca hackerii vor avea acces la contul bancar, deci pot face achizitii frauduloase in numele tau si-ti pot fura identitatea.
O alta metoda functioneaza prin convingerea utilizatorului sa descarce programe malware daunatoare, prin deschiderea diverselor atasamente la e-mailuri.
Tipuri de atac phishing
Exista doua tipuri de atac phishing, dupa cum urmeaza. De mentionat este si faptul ca in ultimii ani acest tip de frauda informatica prin e-mail a crescut cu peste 400%.
Atac phishing in masa
In cazul acestui tip de atac se pune la punct un mesaj general care va fi distribuit catre o baza de date plina cu adrese de e-mail. Hackerii doar trebuie sa astepte sa vada cine va musca momeala, de unde si paralela cu pescuitul.
Atac phishing targetat
Denumit si spear phishing, acest tip de atac este specializat, deoarece presupune adresarea lui doar catre o anumita persoana sau persoane, mesajul fiind personalizat folosind informatii despre compania vizata sau informatii personale despre tinta, adunate inclusiv de pe retelele sociale ale victimei. In acest fel, mesajul devine mult mai credibil, iar sansele de reusita cresc considerabil.
Exemple de atacuri phishing
Atacurile de tip phishing sunt extrem de comune, de aceea, mai ales daca lucrezi remote, prin intermediul solutiilor de cloud, trebuie sa te familiarizezi cu cateva exemple ale acestui fenomen.
Prin intermediul cloud-ului se pot incarca documente PDF pe Google Drive, documente ce includ link-uri catre o pagina de phishing. Acest tip de pagina solicita utilizatorului sa se conecteze cu e-mail-ul organizatiei sau cu Office 365. Cand alegi una dintre optiuni, apare o fereastra pop-up cu pagina de autentificare.
Exista cazuri in care agresorii cibernetici trimit e-mailuri cu malware care iti afiseaza pe ecran un mesaj care te anunta ca fisierele tale au fost criptate, iar accesul tau la ele a fost blocat. Pentru a le recupera ti se cere o suma de bani. In realitate, fisierele nu sunt criptate, atacatorul mizand doar pe socul suferit de victima. De multe ori notificarile de acest gen par sa vina din partea asa ziselor autoritati, precum politia romana.
O alta varianta este cea in care site-uri de renume sunt copiate (devenind un phishing site) si pacalesc utilizatorii care nu pot face diferenta intre varianta reala si fals. Adesea site-urile copiate sunt cele ale bancilor, victimele fiind convinse astfel sa-si introduca datele de logare si/sau informatiile cardurilor.
Exista si varianta de whaling, acest tip de phishing vizand persoane sau organizatii deosebit de importante. Tintele in acest caz sunt reprezentate de celebritati, politicieni, familii bogate sau directori executivi ai marilor companii.
Nu in ultimul rand, phishing-ul poate fi practicat si prin mesaje SMS, de unde si denumirea de SmiShing. Atentie mare la link-urile din mesaje!
Cum recunosti un e-mail de phishing\
Chiar daca apelezi la o firma ce ofera servicii de consultanta IT care sa-ti pazeasca afacerea, este musai sa fii capabil sa recunosti si singur un e-mail de phishing. Iata dupa ce trebuie sa te ghidezi:
- Includerea in mail a unei oferte absolut irezistibile care pare prea buna ca sa fie adevarata. In 9 din 10 cazuri chiar este!
- Mesajul primit te sfatuieste sa actionezi cat mai rapid pentru a nu rata o oportunitate sau te ameninta direct cu eventualitatea unui dezastru. Nu actiona in graba si nu oferi date personale, credentiale de logare sau detalii bancare;
- In mail sau in mesaj gasesti link-uri care par sigure, dar te conduc spre un alt website. Poti pozitiona mouse-ul asupra link-ului pentru a-l citi. Analizeaza cu mare atentie site-ul, mai ales adresa acestuia;
- In mail sunt prezente atasamente care nu au sens. Nu le descarca! Contacteaza colegul care chipurile a trimis mail-ul si verifica autenticitatea e-mailului;
- Colegul sau managerul scrie de pe un e-mail din afara organizatiei.
Solutii contra phishing
Primul pas impotriva atacurilor de tip phishing este un utilizator educat, care stie cum sa se fereasca de pericole si sa recunoasca acest tip de mesaje. La nivel de companie pot fi desfasurate traininguri pe acest subiect si atentionari frecvente.
Alte solutii peferate sunt cele de e-mail business care vor ajuta compania sa tina piept acestor agresiuni cibernetice. Prin intermediul unei astfel de solutii, e-mailurile care ajung la angajati sunt pre-validate si se verifica reputatia, istoricul si comportamentul celui care a trimis e-mail-ul. Cu ajutorul altor functionalitati complexe de inteligenta artificiala pot fi instalate si alte masuri suplimentare ce identifica atacurile coordonate asupra companiilor.
Tot ca masura de preventie amintim si simularea atacurilor de phishing pentru a intelege care este comportamentul utilizatorilor intr-o astfel de situatie si care sunt punctele slabe pe care hackerii le-ar putea exploata.
Cum te poate ajuta echipa kodingtech
Echipa noastra este pregatita sa-ti puna la dispozitie cele mai eficiente solutii tehnologice impotriva phishingului. In plus, pentru a te ajuta sa te familiarizezi cu subiectul, te invitam la cursuri speciale de security training, gandite special pentru educarea angajatilor.
In functie de nivelul lor de cunostinte, ai de ales intre varianta basic, cea care se adreseaza utilizatorilor de tehnologie si varianta pro, special conceputa pentru specialistii IT. Gratie acestor cursuri vei micsora considerabil riscul de a pierde informatii si-ti vei proteja cu succes credibilitatea companiei atat in fata clientilor si partenerilor, cat si in fata angajatilor.
Daca vrei sa afli mai multe despre noi si despre solutiile pe care ti le punem la dispozitie, nu ezita sa ne contactezi.