Według raportu Proofpoint “2023 State of the Phish report”, liczba dziennych ataków phishingowych za pośrednictwem telefonów wzrosła do 600 tys. w sierpniu 2022 roku. To jest prawie dwukrotny wzrost w porównaniu do pozostałych miesięcy, kiedy to liczba tych ataków utrzymywała się na poziomie 300-400 tys. dziennie. Można z tego wnioskować, że podczas sezonu letniego jesteśmy bardziej narażeni na tego typu ataki, prawdopodobnie z powodu naszego większego rozkojarzenia.
– To tylko potwierdza fakt, że choć poziom wiedzy na temat ataków wśród pracowników jest niezły, to nadal mamy trochę do nadrobienia w tym zakresie. Dodam, że bardzo łatwo paść ofiarą ataku phishingowego – wystarczy kliknąć w fałszywy link, który otwiera hakerom dostęp nie tylko do naszego urządzenia, ale także danych wrażliwych. W tym przypadku zagrożone mogą być także dane firmowe, nawet jeżeli zainfekowano nasz prywatny sprzęt. Phishing może utorować hakerowi drogę do firmowej sieci IT, jeśli nie dbamy o bezpieczeństwo haseł i danych logowania lub korzystamy ze służbowego sprzętu w celach prywatnych i na odwrót. Ten rodzaj ataku może przybierać różne formy i często poprzedza atak ransomware, czyli zablokowanie dostępu do danych z użyciem złośliwego oprogramowania. W ten sposób przestępcy mogą m.in. żądać okupu za odblokowanie dostępu – mówi Patrycja Tatara, ekspertka ds. cyberbezpieczeństwa w Sprint S.A.
Czy wiemy, co to jest phishing?
W tym samym raporcie czytamy, że 58% ankietowanych pracowników wie, czym jest phishing, choć poziom tej wiedzy i tak spadł o 3 punkty procentowe w stosunku do 2019 roku. A czym jest ten atak? Jego nazwa brzmi podobnie jak angielskie słowo fishing, czyli łowić. Polega ono na pozyskiwaniu danych dostępowych poprzez rozsyłanie wiadomości z fałszywymi linkami. Po kliknięciu ofiara otwiera hakerowi dostęp do swojego urządzenia, a to już prosta droga do wykradania i blokowania rozmaitych danych. Aby oszukać potencjalną ofiarę, cyberprzestępcy stosują wiele praktyk mających na celu uśpienie czujności atakowanej osoby. W tym celu podszywają się np. pod kuriera wysyłającego link do śledzenia paczki przez SMS (smishing), udają pracowników banków lub przełożonych z użyciem programów zmieniających głos (vishing), a nawet dzwonią ze znanego ofierze numeru telefonu (spoofing telefoniczny). Dane wykradzione tymi sposobami służą hakerom do dalszych działań i przeprowadzania głównie ataków ransomware. Według danych „2023 State of the Phish report”, w 2022 roku 76% organizacji odnotowały próby tych ataków, z czego 64% okazało się skutecznych. Co więcej, straty firm z tego tytułu wzrosły o 76% r/r.
Szkolenia zminimalizują ryzyko
Zróżnicowany poziom wiedzy na temat cyberzagrożeń może prowadzić do ryzykownych zachowań lub niewłaściwych praktyk, które mogą zostać wykorzystane przez hakerów. 78% badanych pracowników używa sprzętu służbowego w celach prywatnych, a 72% – prywatnego w celach służbowych. Z kolei 48% pozwala skorzystać ze służbowego telefonu lub komputera członkom rodziny, a nawet znajomym. Wiedza na temat bezpieczeństwa haseł w 2022 roku pozostała na tym samym poziomie, co rok wcześniej – 31% pracowników używa jednego hasła do wszystkich kont służbowych, a 27% robi to samo w przypadku kont do prywatnego użytku. 26% pracowników pozwala też przeglądarkom na używanym w urządzeniach służbowych, do zachowywania danych logowania. I na koniec bezpieczeństwo w pracy hybrydowej lub zdalnej – aż 80% pracowników nie zmienia domyślnych nazw i haseł w domowym routerze WiFi.
– Jednym ze sposobów na zmianę wspomnianych zachowań i minimalizację ryzyka ataku, są cykliczne szkolenia pracowników w zakresie cyberbezpieczeństwa. Hakerzy stale doskonalą swoje metody działania, ale też wiedzą sporo o zachowaniu ludzkiej psychiki. Umieją wywierać presję, ale też wzbudzać zaufanie. W czasie szkoleń przeprowadzane są symulowane ataki, które umożliwiają zdobycie wiedzy na temat tego, jak zachować się w takiej sytuacji i nie dać zmanipulować. Kolejny aspekt to informowanie o dobrych praktyk i wskazywanie na popełniane błędy, jak choćby bezpieczeństwo haseł. Ważne, aby szkolenia odbywały się cyklicznie i były przeprowadzane przez specjalistów – dodaje Patrycja Tatara ze Sprint S.A.