X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • Test varnosti gesel
    • Penetracijski test
    • Red Teaming
    • DDoS test
    • SCADA sistemi – varnost v industrijskem okolju
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • SecurityScorecard – ocenjevanje tveganj in varnost dobavne verige
    • Simulacija napadov po e-pošti
    • Brezplačna orodja
    • Simulacija vdora in napada
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • ENG
  • Email
  • Facebook
  • LinkedIn

Phishing – kako se izogniti zlorabi in izgubi podatkov?

Phishing napadi so eno glavnih orodij hekerjev za prodor v poslovno omrežje. Ozaveščeni uporabniki jih lahko prepoznajo in preprečijo vdor.

12. aprila, 2022 by Carbonsec Team

Že dolgo ne drži več, da je dežurni krivec za hekerske napade škodljiva programska oprema na IT sistemih. Vedno bolj prihaja do izraza človeški faktor – naše šibkosti in pomanjkljivosti. Pri tem velja poudariti, da so večinoma tarče phishing napadov poslovni uporabniki, vse pogosteje tudi usmerjeno vodstveni kadri. Zato morda ni več ključno vprašanje, kako lahko zagotovite kibernetsko varnost organizacije, temveč kako lahko poskrbite za lastno varnost in varnost svojih uporabnikov.

V poslovnih okoljih se primarno soočamo z dvema izzivoma:

  • kako obvladovati grožnje, ki prihajajo od zunaj in
  • kako obvladovati in naslavljati notranje grožnje, ki jih hote ali nehote povzročajo uporabniki.

V tem zapisu se osredotočamo na notranje grožnje, saj smo uporabniki vedno bolj pomemben člen v verigi kibernetskih napadov. Poleg tega je phishing vedno težje prepoznati, saj so škodljiva sporočila pogosto videti kot popolnoma realna in legitimna.

Notranje grožnje kot vzvod za uspešne phishing napade

Morda izraz »notranje grožnje« kar malo preveč spominja na totalitaristične sisteme in iskanje notranjih sovražnikov. Dejansko pa varnostna grožnja povsem realno lahko nastane zaradi neustreznega ravnanja uporabnika informacijskega sistema. To je v poslovnih okoljih precej pogost primer – med leti 2018 in 2020 se je število incidentov zaradi notranjih groženj povečalo za kar 47 %*. Zelo posplošeno napisano predstavlja notranjo grožnjo vsak uporabnik, ki ima dodeljen dostop do poslovnih sredstev; od občutljivih podatkov do nadzorovanih prostorov in stavb. Pravica dostopa ima za svojo posledico določeno stopnjo odgovornosti. V trenutku, ko uporabnik zanemari odgovornost, postane grožnja.

CISA (Cyber and Infrastructure Security Agency) kot notranje grožnje opredeljuje naslednje**:

  • vohunjenje,
  • terorizem,
  • nepooblaščeno razkrivanje informacij,
  • korupcija, vključno s sodelovanjem v mednarodnem organiziranem kriminalu,
  • sabotaža,
  • nasilje na delovnem mestu,
  • namerna ali nenamerna izguba ali zmanjšanje poslovnih virov ali zmogljivosti.

Notranje grožnje so lahko namerne ali nenamerne

Vsako od omenjenih groženj lahko razdelimo v tri kategorije:

  • nenamerne grožnje
  • grožnje iz malomarnosti
  • zlonamerne grožnje

Zlonamerne grožnje izvirajo iz zavestnega osebnega vzgiba uporabnika, da dopusti ali želi povzročiti škodo organizaciji. V tem primeru je uporabnik lahko zelo ozaveščen na področju kibernetske varnosti, a njegov osebni interes prevladuje nad moralno odgovornostjo. Odpravljanje tovrstnih groženj je bolj predmet kadrovskega in poslovodnega področja. Običajno je namreč prisotno osebno nezadovoljstvo z delovnim mestom in odnosi ali pa se želi uporabnik s pridobljenimi podatki okoristiti na naslednjem delovnem mestu.

Druga kategorija so grožnje iz malomarnosti in nenamerne grožnje. Teh se uporabniki morda niti ne zavedajo ali pa se ne zavedajo odgovornosti, ki jo nosijo, če dopustijo, da se grožnja uresniči. Pri nenamernih grožnjah je pogosto izziv pomanjkanje znanja ali veščin za prepoznavanje groženj.

Kadar uporabnik pozna varnostne politike podjetja in ve, kako bi moral ravnati, a mu je v tistem trenutku lažje, če izvede postopek mimo varnostne politike, govorimo o malomarnosti. Klasičen in zelo oprijemljiv primer je, ko uporabniki ne zaklepajo zaslonov ali na mizi puščajo zaupne dokumente. Ali ko zaposleni spusti v poslovne prostore zunanjega obiskovalca in mu dovoli, da se prosto giblje po poslovnih prostorih, čeprav ve, da je to v nasprotju z internimi pravili.

Verjetno najbolj nevarna skupina notranjih groženj so tiste, ki se jih uporabniki ne zavedajo. Tu je največji problem pomanjkanje znanja in veščin za prepoznavanje groženj. Pred leti so bile mize v pisarnah polne listkov z gesli. Danes je splošno zavedanje o pomenu gesel in s tem povezane odgovornosti dovolj visoko, da verjetno le redko kdo še napiše geslo na listek in ga prilepi na zaslon. Večja težava so bolj prefinjeni načini pridobivanja dostopa do zaupnih podatkov. Najpogosteje se srečujemo s phishing napadi po elektronski pošti, veliko je tudi ribarjenja po telefonu (ang. vishing).

phishing screen
https://www.vecteezy.com/photo/4277815-industrial-workspace-phishing

Phishing je skrbno premišljena strategija

Uporaba spleta in spletnih orodij zahteva dvoje: ozaveščenost in čuječnost (ang. alertness). Ozaveščenost v poslovnem okolju gradite s stalnim opozarjanjem uporabnikov na različne tipe napadov in elemente phishing napadov. O tem smo na našem blogu že pisali, zato na tem mestu le kratek opomnik: če oseba od vas zahteva hitro akcijo in ustvarja časovni pritisk, prekinite komunikacijo; po elektronski pošti ali telefonu nikoli ne sporočajte gesel, prijavnih ali bančnih podatkov.

Čuječnost sicer običajno povezujemo z drugimi sferami življenja, a v smislu zavedanja svojih dejanj in okolice je še kako pomembna tudi pri uporabi IT orodij in spleta. Zavedati se moramo, da pošiljatelj elektronske pošte ali oseba na drugi strani telefonske povezave ni le posameznik. Za škodljivimi sporočili stojijo organizacije, ki imajo izurjene ekipe za izvajanje socialnega inženiringa. Njihovi kadri obvladajo manipulacijo s prejemniki sporočil.

Prvi cilj napadalca je pridobiti naše zaupanje. Napadov se lotevajo skrbno premišljeno in strukturirano, o žrtvi skušajo pridobiti čim več podatkov, prepoznati njeno obnašanje na spletu in dinamiko delovanja, sporočila pa čim bolj personalizirajo. Takšne vrste napadov po elektronski pošti imenujemo usmerjeno ribarjenje (ang. spear phishing) in jih je zelo težko ločiti od legitimnih sporočil.

V naslednjih fazah napada se napadalci zanašajo na naše čustvene odzive. Ko nekomu zaupamo, želimo biti vljudni, sočutni in sogovorniku pomagati. To se lahko izkaže za problematično zlasti pri fizičnem dostopu (npr. ko kdo »pozabi« kartico za dostop do pisarne). Do izraza pride tudi čut za spoštovanje avtoritete in želja, da bi (zlasti problematične) stvari čim prej uredili. To je lahko povod za nepremišljene in prenagljene odločitve.

Pomembna čustvena komponenta je tudi strah. Kadar scenarij napada govori o neplačanih položnicah, ukinitvi računa ter v naslednji fazi grozi z obravnavami na sodišču, strah hitro prevlada nad razsodnim razmišljanjem in preverjanjem identitete napadalca. Strah je pomemben faktor tudi, kadar se napadalci sklicujejo na to, da bodo razkrili informacije o naših (domnevno) nečednih poslih.

Še ena karta, na katero lahko napadalci zelo uspešno igrajo, je obup. V času naravnih nesreč, pandemij in finančnih zlomov je v družbi večja želja in potreba po reševanju osebnih stisk. Te so pogosto povezane s finančno situacijo posameznika. V takšnih okoliščinah lahko nerealne ponudbe za hitre zaslužke zelo dobro uspevajo.

Stara, a še vedno dobro delujoča strategija je tudi izkoriščanje naravne človeške radovednosti. Pri tem gre lahko za elektronska sporočila, ki vabijo z zanimivo (pogosto kočljivo) vsebino ali za USB ključke, ki »se valjajo naokrog« s ciljem, da najditelj preveri, kaj je na njem in pri tem naloži škodljivo datoteko.

Bodite neprebojni ščit vašega omrežja

Kot uporabnik v omrežju moramo imeti ves čas »oči na pecljih«. Nobenega sporočila ali klica ne smemo imeti za samoumevnega. Vedno mora biti prisoten kanček dvoma. Tudi če poznate ime prejemnika, preverite resničnost njegovega sporočila, če se vam vsebina zdi neobičajna. Ob poskusu napada po telefonu pa brez slabe vesti odložite slušalko.

Kadar zaznate sumljivo pošto, telefonski klic ali se vam zdi, da se hoče kdo pretihotapiti v vaše poslovne prostore, o tem nemudoma obvestite pristojne v svoji organizaciji. O svojih dvomih in občutkih se odkrito pogovarjajte s sodelavci. Verjetno niste edini, ki ima takšno izkušnjo; več, kot se boste v podjetju pogovarjali o tem, večja je verjetnost, da boste preprečili poskuse napadov.

Dosledno spoštujte varnostne politike in politike dostopa in k temu spodbujajte tudi sodelavce. Širite zavedanje, da vsak dostop pomeni določeno stopnjo odgovornosti: s tem, ko ste dobili pravico dostopa, ste dobili tudi odgovornost, da ščitite podatke, do katerih smete dostopati.

Predvsem pa nikoli ne delite svojih gesel in drugih osebnih podatkov in k takšnemu ravnanju spodbujajte tudi sodelavce in svoje domače, bližnje, prijatelje. Čeprav se nam kot strokovnjakom za kibernetsko varnost včasih zdi, da se s tem navodilom ponavljamo kot stara lajna, se še vedno dogaja, da uporabniki napadalcem sporočajo zaupne podatke.

Ključ do ozaveščenosti in IT čuječnosti je v stalnem izobraževanju in nadgradnji veščin prepoznavanja napadov s socialnim inženiringom.

Brezplačni webinar na zahtevo:
Kako zagotoviti kibernetsko odpornost zaposlenih?

*Vir: Infosecurity Magazine: The Biggest Cyber-Threat Isn’t Hackers, It’s Insider Threats
** Vir: CISA

Security Awareness

Ozaveščanje uporabnikov

Ozaveščanje uporabnikov ustvarja živi požarni zid in je ključno za preprečevanje vdorov v poslovne informacijske sisteme.

Preberite več … Ozaveščanje uporabnikov

Simulated phishing attacks

Simulacija napadov po e-pošti

Simulacija napadov po e-pošti je učinkovit način treniranja zaposlenih v prepoznavanju phishing napadov in škodljivih povezav.

Preberite več … Simulacija napadov po e-pošti

brezplačna orodjarna

Brezplačna orodja

Izkoristite brezplačna orodja, s katerimi lahko preverite, kako delujejo simulacije napadov s socialnim inženiringom in kako lahko izboljšate svojo kibernetskovarnostno držo. Orodjarna vključuje orodja, vezana na sistemske ureditve, trening z…

Preberite več … Brezplačna orodja

Blog,  Novice,  Security Awareness blog,  kibernetska varnost,  knowbe4,  security awareness

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Test varnosti gesel
  • Penetracijski test
  • Red Teaming
  • DDoS test
  • SCADA sistemi – varnost v industrijskem okolju
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT