Educarea angajaților despre cum să detecteze atacurile de phishing poate fi o lovitură pentru atacatorii rețelei.

Securitatea prin design a fost mult timp considerată un fel de sfântul Graal pentru profesioniștii în securitate cibernetică. Este un concept simplu: produsele sunt proiectate pentru a fi cât mai sigure posibil, pentru a minimiza șansele de a fi compromise pe parcurs. Conceptul a fost extins și mai mult în ultimii ani, pentru a încorpora securitatea în fiecare parte a unei organizații – de la pregătirea proiectelor DevOps până la practicile de lucru de zi cu zi ale angajaților. Prin crearea unei culturi a securității cibernetice, ca aceasta, organizațiile vor fi mai rezistente la amenințările cibernetice, cât și mai bine echipate pentru a le minimiza impactul în cazul în care apare o încălcare de securitate.

Controalele tehnologiilor sunt, desigur, un instrument important pentru a ajuta la crearea acestui tip de cultură de securitate profund încorporată în organizație. Dar la fel de importantă este și instruirea angajaților privind conștientizarea phishing-ului – aceasta joacă un rol extrem de important în atenuarea uneia dintre cele mai mari amenințări la adresa securității corporative în prezent și trebuie să fie un element de bază în programele generale de training-uri de conștientizare a securității cibernetice.

De ce este phishing-ul atât de eficient?

Potrivit ESET Threat Report T1 2022, amenințările prin e-mail au înregistrat o creștere de 37% în primele patru luni din 2022, comparativ cu ultimele patru luni din 2021. Numărul de adrese URL de phishing blocate a crescut aproape în același ritm, mulți escroci exploatând interesul general al oamenilor pentru războiul Rusia-Ucraina.

Escrocheriile de tip phishing continuă să fie printre cele mai de succes modalități prin care atacatorii pot instala programe malware, pot fura datele de conectare la conturi și pot păcăli utilizatorii să facă transferuri de bani în interes de business. De ce se întâmplă asta? Datorită unei combinații de tactici de spoofing care îi ajută pe escroci să impersoneze expeditori legitimi, și de tehnici de inginerie socială care sunt concepute pentru a grăbi destinatarul să acționeze fără să aibă timp să analizeze mai întâi posibilele consecințe ale unei acțiuni.

Aceste tactici includ:

•       ID-uri/domenii/numere de telefon falsificate ale expeditorului, uneori folosindu-se typosquatting sau nume de domenii internaționalizate (IDN-uri)
•       Conturi de expeditor deturnate, care sunt practic imposibil de identificat ca încercări de phishing
•       Cercetare online (prin intermediul rețelelor sociale) pentru a face încercările de spear phishing mai convingătoare
•       Utilizarea logo-urilor oficiale, antetelor, footer-elor etc.
•       Crearea unui sentiment de urgență sau entuziasm care îl grăbește pe utilizator să ia o decizie
•       Link-uri scurtate care ascund adevărata destinație a expeditorului
•       Crearea de portaluri de conectare, site-uri web cu aspect legitim etc.

Exemplu de e-mail de phishing

Potrivit celui mai recent raport Verizon DBIR, patru vectori au stat la baza majorității incidentelor de securitate de anul trecut: datele de conectare la conturi, phishing-ul, exploatarea vulnerabilităților și rețelele botnet. Dintre acestea, primele două gravitează în jurul erorii umane. Un sfert (25%) din totalul încălcărilor examinate în raport a fost rezultatul atacurilor de inginerie socială. Atunci când sunt combinate cu erorile umane și utilizarea greșită a privilegiilor, elementul uman a reprezentat 82% din toate încălcările. Astfel, transformarea acestei verigi slabe într-un lanț de securitate puternic ar trebui să devină o prioritate pentru orice CISO.

La ce ar putea duce phishing-ul?

Atacurile de phishing au devenit o amenințare și mai mare în ultimii doi ani. Cei care au lucrat de la domiciliu, distrași de mediul familiar, ce foloseau dispozitive potențial fără ultimele patch-uri disponibile și cu o protecție precară, au fost vizați fără discriminare de actorii amenințărilor. În aprilie 2020, Google a susținut că blochează până la 18 milioane de e-mailuri rău intenționate și de phishing în fiecare zi la nivel global.

Pe măsură ce mulți dintre acești angajați se întorc la birou, există și riscul ca aceștia să fie expuși la și mai multe atacuri prin SMS (smishing) și apeluri vocale (vishing). Este posibil ca utilizatorii aflați în mișcare să acceseze linkuri și să deschidă atașamente pe care nu ar trebui să le deschidă. Acestea ar putea duce la:

•       Descărcări de ransomware
•       Troieni bancari
•       Furtul/încălcarea datelor
•       Malware de criptojacking
•       Implementări de botnet
•       Preluări de cont pentru utilizarea acestora în atacuri ulterioare
•       Compromiterea e-mailului de business (BEC) care are ca rezultat pierderea de bani din cauza facturilor/solicitărilor de plată înșelătoare

Repercusiunile financiare și reputaționale în urma phishing-ului sunt imense. În timp ce costul mediu al unei încălcări de date este astăzi la un nivel record de peste 4,2 milioane de dolari, unele încălcări de ransomware au costat de multe ori mai mult.

Ce tactici de training funcționează?

Un studiu global recent a dezvăluit că training-ul în domeniul securității și conștientizarea angajaților asupra acestor aspecte ar trebui să fie prioritatea principală a cheltuielilor de securitate pentru organizații în anul următor. Dar odată ce v-ați decis asupra acestui aspect, analizați ce tactici vor oferi cea mai bună rentabilitate a investiției pentru organizația dvs. Luați în considerare training-uri și instrumente care oferă:

•       Acoperire pentru toate canalele de phishing (e-mail, telefon, rețele sociale etc.)
•       Lecții distractive care folosesc asigurări pozitive mai degrabă decât mesaje bazate pe frica de sancțiuni
•       Exerciții de simulare din lumea reală care pot fi modificate de personalul IT pentru a reflecta fidel cum evoluează campaniile de phishing
•       Sesiuni de antrenament continuu pe tot parcursul anului în workshop-uri scurte, de cel mult 15 minute
•       Implicarea tuturor angajaților, inclusiv a celor temporari, antreprenorii și directorii seniori. Oricine are acces la rețea și un cont corporativ este o potențială țintă a phishing-ului
•       Date din rapoarte și analize pentru a oferi feedback detaliat despre persoane, care poate fi apoi partajat și utilizat pentru a îmbunătăți sesiunile ulterioare
•       Lecții personalizate adaptate unor roluri specifice. De exemplu, membrii echipei financiare ar putea avea nevoie de îndrumări suplimentare cu privire la modul de a face față atacurilor BEC
•       Gamificare (metodă de învățare prin jocuri - termen asimiliat din gamification din engleză), ateliere și chestionare. Acestea pot ajuta la motivarea utilizatorilor să concureze cu colegii lor, mai degrabă decât să simtă că sunt „învățați” de experții IT. Unele dintre cele mai populare instrumente folosesc tehnici de gamificare pentru a face antrenamentul „mai atractiv”, mai ușor de utilizat și mai antrenant.
•       Exerciții de phishing DIY. Potrivit Centrului Național de Securitate Cibernetică (NCSC) din Marea Britanie, unele companii îi determină pe utilizatori să-și construiască propriile e-mailuri de phishing, ceea ce le oferă „o viziune mult mai bogată asupra tehnicilor utilizate” în aceste atacuri

Nu uitați de raportare

Găsirea programului de training care funcționează pentru organizația dvs. este un pas vital spre transformarea angajaților într-o puternică primă linie de apărare împotriva atacurilor de tip phishing. Dar ar trebui să vă concentrați atenția și pe crearea unei culturi deschise în care să fie încurajată raportarea potențialelor tentative de phishing. Organizațiile ar trebui să creeze un proces clar și simplu de utilizat pentru raportare și să asigure personalul că orice alertă va fi investigată. Utilizatorii trebuie să se simtă sprijiniți în acest sens, ceea ce ar putea necesita implicarea departamentelor din întreaga organizație – nu doar IT, ci și HR și managerii superiori.

În cele din urmă, training-ul privind conștientizarea phishing-ului ar trebui să fie doar o parte a unei strategii cu mai multe straturi pentru a aborda amenințările de inginerie socială. Chiar și personalul cel mai bine pregătit poate fi ocazional păcălit de escrocheriile sofisticate. De aceea, controalele de securitate sunt, de asemenea, esențiale: gândiți-vă la implementarea în companie a autentificării cu mai mulți factori, a testării în mod regulat a planurilor de răspuns la incident și a tehnologiilor anti-spoofing precum DMARC.