Cyberataki phishingowe nasilają się w okresie wakacyjnym. Nie tylko rozproszenie uwagi pracowników w miesiącach letnich działa na korzyść hakerów. Ważne są również praktyki cyberbezpieczeństwa wysokiego ryzyka. Jednym ze sposobów na informowanie pracowników w organizacji o zagrożeniach są szkolenia z zakresu cyberbezpieczeństwa.
Według raportu Proofpoint State of Phishing 2023, ataki phishingowe przez telefon wzrosły do 600 tys. dziennie w sierpniu 2022 roku. W innych miesiącach liczba ta utrzymywała się na poziomie od 300 tys. do 400 tys. dziennie. Oznacza to wzrost o prawie 100 proc. w okresie wakacyjnym, czyli lato jest dla nas szczególnie rozpraszające.
– To tylko potwierdza fakt, że choć poziom wiedzy na temat ataków wśród pracowników jest niezły, to nadal mamy trochę do nadrobienia w tym zakresie. Dodam, że bardzo łatwo paść ofiarą ataku phishingowego – wystarczy kliknąć w fałszywy link, który otwiera hakerom dostęp nie tylko do naszego urządzenia, ale także danych wrażliwych. W tym przypadku zagrożone mogą być także dane firmowe, nawet jeżeli zainfekowano nasz prywatny sprzęt. Phishing może utorować hakerowi drogę do firmowej sieci IT, jeśli nie dbamy o bezpieczeństwo haseł i danych logowania lub korzystamy ze służbowego sprzętu w celach prywatnych i na odwrót. Ten rodzaj ataku może przybierać różne formy i często poprzedza atak ransomware, czyli zablokowanie dostępu do danych z użyciem złośliwego oprogramowania. W ten sposób przestępcy mogą m.in. żądać okupu za odblokowanie dostępu – mówi Patricia Tatara, ekspert ds. cyberbezpieczeństwa w Sprint S.A.
Czy słyszałeś o phishingu?
W tym samym raporcie 58 proc. ankietowanych pracowników stwierdziło, że wie, czym jest phishing, chociaż poziom wiedzy jest o trzy punkty procentowe niższy niż w 2019 roku. Co zatem oznacza ten atak? Jego nazwa jest zgodna z angielskim słowem Phishing. Polega on na wysłaniu wiadomości zawierającej fałszywy link w celu uzyskania danych logowania. Po kliknięciu w link ofiara daje hakerowi dostęp do swojego urządzenia. W ten sposób różne dane są łatwo wykradane i blokowane. Aby oszukać potencjalne ofiary, atakujący stosują szereg technik mających na celu wzbudzenie ich ostrożności. Mogą na przykład podszywać się pod kurierów i wysyłać linki śledzące SMS (smishing), podszywać się pod pracowników banku lub kierowników oddziałów i używać zmieniaczy języka (vishing), a nawet dzwonić do ofiary ze znanego numeru telefonu (spoofing telefonu). Wykradzione w ten sposób dane są wykorzystywane przez hakerów do dalszych działań, głównie do ataków ransomware. Dalsze dane przytaczanego raportu wskazują, że w 2022 roku 76 proc. organizacji odnotowało próby tych ataków, z czego 64 proc. okazało się skutecznych. Co więcej, straty firm z tego tytułu wzrosły o 76 proc.
Różne poziomy wiedzy na temat cyberzagrożeń mogą prowadzić do ryzykownych lub nieuczciwych zachowań, które mogą zostać wykorzystane przez hakerów. 78 procent ankietowanych pracowników korzysta z urządzeń służbowych do użytku prywatnego, a 72 procent z urządzeń służbowych – do użytku prywatnego. Z drugiej strony, 48 procent zezwala rodzinie i znajomym na korzystanie ze służbowych telefonów i komputerów.
Źródło: prawo.pl