Koks pats efektyviausias būdas sužinoti, ar jūsų darbuotojai išties žino apie sukčiavimo el. paštu rizikas ir prevenciją?
PPMI, pirmaujantis Europos tyrimų ir politikos analizės centras Lietuvoje, neseniai vykdė mokamąją socialinės inžinerijos kampaniją, siekiant sustiprinti savo darbuotojų IT saugumo budrumą. Kampanijos metu buvo imituojama kibernetinė ataka, pasitelkus vieną populiariausių sukčiavimo būdų – fišingą el. paštu. Kaip viskas vyko?
Šių metų vasario 4 dieną, „PPMI“ darbuotojai gavo laišką nuo „Google Forms <noreply@training.myhr-portal.site“ su tema „Apklausa prieš mokymus“. Atidarius laišką žaliame fone švietė užrašas „Google Forms“, o žinutė kvietė pasiruošti artėjantiems mokymams, užpildant apklausą – „Prašome atsakyti į kelis klausimus. Ši informacija reikalinga mokymams, kurie vyks sekančią savaitę“.
Darbuotojai buvo raginami užpildyti apklausą – tereikėjo tik paspausti „PILDYTI“. Paspaudus ant nuorodos, būtų galima išvysti pranešimą „Jūs gavote šį pranešimą, nes neišlaikėte fišingo testo. Prašome užsiregistruoti į artėjančius IT saugumo suvokimo mokymus“.
Nors „PPMI“ darbuotojai su užduotimi susitvarkė puikiai ir vos gavus laišką po kelių minučių pasklido žinia tarp įmonės darbuotojų apie fišingo laišką, visgi per gyvų mokymų sesiją dalis naujų darbuotojų pripažino, kad žinutė atrodė itin įtikinamai.
Bandymas patikrinti darbuotojų budrumą buvo Responsu „IT saugumo suvokimo skatinimo organizacijoje“ mokymų programos dalis, kuri padėjo nustatyti darbuotojų kibernetinio saugumo suvokimo žinių lygį ir parengti atitinkamą mokymų turinį.
Vis dėlto, ši socialinės inžinerijos kampanija vienas „švelniausių“ pavyzdžių. Dažnai organizacijos pasitelkia agresyvesnes strategijas, pvz., imituoja fišingo laišką, kuriame darbuotojų prašoma užpildyti formą – paspausti ant nuorodos, norit gauti papildomą premiją. Kas atsisakytų tokios dovanos?
Kodėl organizacijoms naudinga atlikti imituotą sukčiavimo el.paštu testą?
Nesunku įsivaizduoti pasekmes, bet kurios įmonės darbuotojams paspaudus ant tokios nuorodos – sukčiams būtų nutekinami konfidencialūs duomenis. Yra daug scenarijų, kaip šie duomenys galėtų toliau „tarnauti” nusikaltėliams, pvz., prieigai prie svarbios vidinės korespondencijos gauti. Nuorodoje taip pat galėtų slėptis kenksmingas programinis kodas.
Galimybė susidurti su realia sukčiavimo situacija padeda darbuotojams suprasti, kokio mąsto ir sudėtingumo gali būti fišingo atakos. Sukčiai dažnai naudoja klasikinius socialinės inžinerijos triukus, pvz., išgalvoja skubos atvejį, todėl gebėjimas kritiškai ir atsakingai įvertinti el. laiško turinį ir jo tikslą ypač svarbus. Dalyvavę tokiuose praktiniuose mokymuose darbuotojai ne tik geba geriau atpažinti klastą, tačiau ir žino, kaip elgtis gavus sukčiavimo laišką.
Pagal 2020 metų statistiką 97% vartotojų negali atpažinti sudėtingo sukčiavimo el.paštu laiško. Tikriausiai todėl sukčiavimo išpuoliai, įskaitant nutaikytus į mažas ir vidutinio dydžio įmones, kasmet auga itin sparčiai. Per praėjusius metus fišingo atvejų padaugėjo net 600%. Prie to ženkliai prisidėjo nuotolinis darbas, kuris padidino žmogiškosios ugniasienės silpnybes, kuriomis ir naudojasi nusikaltėliai. Nors ir prieš karantiną, pvz., Lietuvoje net 44% Lietuvos gyventojų teigė, kad nėra pajėgūs apsisaugoti nuo nusikaltimų elektroninėje erdvėje.
Kaip apsisaugoti nuo sukčiavimo el.paštu?
Tiesa ta, kad šiandien sukčiavimo el. paštu išpuolius atpažinti sunkiau nei bet kada ankščiau. Tačiau vadovaujantis keliomis pagrindinėmis taisyklėmis galima ženkliai sumažinti su fišingu susijusias rizikas ir pavojus:
- darbo elektroninį paštą naudoti tik darbo reikalams,
- informuoti atsakingus asmenis ir kolegas, gavus įtartiną laišką,
- kritiškai įvertinti laišką, ypač jei esate skubinami, raginami suvesti prisijungimo duomenis ar pervesti pinigus,
- prisijungimui naudoti stiprius ir skirtingus slaptažodžius.
Taip pat naudinga pasitelkti praktinius mokomuosius sukčiavimo laiškus, kaip kad tai neseniai padarė „PPMI“. Ir žinoma, svarbu organizacijoje suformuoti darbuotojams aiškiai suprantamą kibernetinio saugumo politiką ir užtikrinti jos laikymąsi.
Gegužės mėnesį vykdysime tiriamąją socialinės inžinerijos simuliaciją.
Šios kampanijos tikslas – padėti įmonėms įvertinti ar jų darbuotojams užtenka turimų žinių apie IT saugumą. Žinių lygio nustatymas padės įmonių IT saugos vadovams ir Duomenų apsaugos pareigūnams geriau suprasti, kokių veiksmų privalu imtis, siekiant išvengti fišingo pavojų ateityje.
Susidomėjusias įmones kviečiame pasinaudoti išankstine registracija. Daugiau informacijos atsiųsime balandžio mėnesį.
Informacija
- Dalyvavimo mokestis: netaikomas
- Data: 2021 m. balandis - birželis
- Dalyvių (organizacijų) skaičius ribotas
- Privatumas: viešai skelbiant rezultatus organizacijų pavadinimai nebus atskleidžiami; kiekviena dalyvaujanti organizacija turės galimybę sužinoti savo rezultatus individualiai