ფიშინგის ცნობიერება: როგორ ხდება ეს და როგორ ავიცილოთ თავიდან
რატომ იყენებენ კრიმინალები ფიშინგს?
რა არის უსაფრთხოების ყველაზე დიდი დაუცველობა ორგანიზაციაში?
Ხალხი!
როდესაც მათ სურთ კომპიუტერის დაინფიცირება ან მნიშვნელოვანი წვდომის მოპოვება ინფორმაცია ისევე როგორც ანგარიშის ნომრები, პაროლები ან PIN ნომრები, მხოლოდ მათ უნდა ჰკითხონ.
ფიშინგი თავდასხმები ჩვეულებრივია, რადგან ისინი არიან:
- ადვილი გასაკეთებელი – 6 წლის ბავშვს შეეძლო ფიშინგის შეტევა.
- Scalable – ისინი მერყეობს შუბის ფიშინგის თავდასხმებიდან, რომლებიც ურტყამს ერთ ადამიანზე თავდასხმებს მთელ ორგანიზაციაზე.
- ძალიან ეფექტურია - ორგანიზაციების 74% განიცადეთ წარმატებული ფიშინგის შეტევა.
- Gmail ანგარიშის რწმუნებათა სიგელები - $80
- საკრედიტო ბარათის პინი - $20
- ონლაინ საბანკო სერთიფიკატები ანგარიშებისთვის მინიმუმ 100 დოლარი მათში - $40
- საბანკო ანგარიშები მინიმუმ 2,000 დოლარი - $120
თქვენ ალბათ ფიქრობთ: "ვაუ, ჩემი ანგარიშები დაბალ დოლარზეა!"
და ეს მართალია.
არსებობს სხვა ტიპის ანგარიშები, რომლებიც უფრო მაღალ ფასს იძენენ, რადგან მათ უფრო ადვილია ფულის გადარიცხვების ანონიმური შენარჩუნება.
ანგარიშები, რომლებშიც ინახება კრიპტო, არის ჯეკპოტი ფიშინგის თაღლითებისთვის.
კრიპტო ანგარიშების მიმდინარე განაკვეთები შემდეგია:
- Coinbase - $610
- Blockchain.com – $310
- Binance - $410
ასევე არსებობს ფიშინგის შეტევების სხვა არაფინანსური მიზეზებიც.
ფიშინგის შეტევები შეიძლება გამოიყენონ ერ-სახელმწიფოებმა სხვა ქვეყნების გასატეხად და მათი მონაცემების მოსაპოვებლად.
თავდასხმები შეიძლება იყოს პირადი შურისძიების ან თუნდაც კორპორაციების ან პოლიტიკური მტრების რეპუტაციის განადგურების მიზნით.
ფიშინგის შეტევების მიზეზები უსასრულოა…
როგორ იწყება ფიშინგის შეტევა?
ფიშინგის შეტევა ჩვეულებრივ იწყება იმით, რომ დამნაშავე გამოდის და გიგზავნით შეტყობინებას.
მათ შეიძლება მოგაწოდოთ სატელეფონო ზარი, ელფოსტა, მყისიერი შეტყობინება ან SMS.
მათ შეუძლიათ განაცხადონ, რომ არიან ისეთები, რომლებიც მუშაობენ ბანკში, სხვა კომპანიაში, ვისთანაც საქმიანობთ, სამთავრობო სააგენტოში, ან თუნდაც საკუთარ ორგანიზაციაში ვითომ ვინმეს.
ფიშინგმა შეიძლება მოგთხოვოთ დააწკაპუნოთ ბმულზე ან ჩამოტვირთოთ და შეასრულოთ ფაილი.
შეიძლება ფიქრობთ, რომ ეს ლეგიტიმური შეტყობინებაა, დააწკაპუნეთ ბმულზე მათი შეტყობინების შიგნით და შედით სისტემაში, როგორც ჩანს, იმ ორგანიზაციის ვებსაიტზე, რომელსაც ენდობით.
ამ ეტაპზე ფიშინგის თაღლითობა დასრულებულია.
თქვენ გადაეცათ თქვენი პირადი ინფორმაცია თავდამსხმელს.
როგორ ავიცილოთ თავიდან ფიშინგის შეტევა
ფიშინგის შეტევების თავიდან აცილების მთავარი სტრატეგია არის თანამშრომლების მომზადება და ორგანიზაციული ცნობიერების ამაღლება.
ბევრი ფიშინგის შეტევა ჰგავს ლეგიტიმურ ელ.წერილს და შეიძლება გაიაროს სპამის ფილტრი ან უსაფრთხოების მსგავსი ფილტრები.
ერთი შეხედვით, შეტყობინება ან ვებსაიტი შეიძლება რეალურად გამოიყურებოდეს ცნობილი ლოგოს განლაგების გამოყენებით და ა.შ.
საბედნიეროდ, ფიშინგის შეტევების აღმოჩენა არც ისე რთულია.
პირველი, რასაც ყურადღება უნდა მიაქციოთ, არის გამგზავნის მისამართი.
თუ გამგზავნის მისამართი არის ვებსაიტის დომენის ვარიაცია, რომელსაც შეიძლება შეჩვეული იყოთ, შეიძლება სიფრთხილით გააგრძელოთ და არ დააწკაპუნოთ რაიმეზე ელფოსტის ტექსტში.
თქვენ ასევე შეგიძლიათ გადახედოთ ვებსაიტის მისამართს, სადაც გადამისამართდებით, თუ რაიმე ბმული არსებობს.
უსაფრთხოების მიზნით, ბრაუზერში უნდა აკრიფოთ ორგანიზაციის მისამართი, რომლის მონახულებაც გსურთ, ან გამოიყენოთ ბრაუზერის ფავორიტები.
ყურადღება მიაქციეთ ბმულებს, რომლებზეც მაუსის გადატანა აჩვენებს დომენს, რომელიც არ არის იგივე, რაც ელფოსტის გაგზავნის კომპანიას.
ყურადღებით წაიკითხეთ შეტყობინების შინაარსი და იყავით სკეპტიკურად განწყობილი ყველა შეტყობინების მიმართ, რომელიც მოგთხოვთ გაგზავნოთ თქვენი პირადი მონაცემები ან გადაამოწმოთ ინფორმაცია, შეავსოთ ფორმები ან ჩამოტვირთოთ და გაუშვათ ფაილები.
ასევე, ნუ მისცემთ უფლებას შეტყობინების შინაარსს მოგატყუოთ.
თავდამსხმელები ხშირად ცდილობენ შეგაშინონ, რომ დააწკაპუნოთ ბმულზე ან დააჯილდოოთ თქვენი პერსონალური მონაცემების მისაღებად.
პანდემიის ან ეროვნული საგანგებო მდგომარეობის დროს, ფიშინგის თაღლითები ისარგებლებენ ხალხის შიშებით და გამოიყენებენ სათაურის ხაზს ან შეტყობინებების ტექსტის შინაარსს, რათა შეგაშინონ, რომ მიიღოთ ზომები და დააწკაპუნოთ ბმულზე.
ასევე, შეამოწმეთ არასწორი ორთოგრაფიული ან გრამატიკული შეცდომები ელექტრონული ფოსტის შეტყობინებაში ან ვებსაიტზე.
კიდევ ერთი რამ, რაც უნდა გვახსოვდეს, არის ის, რომ სანდო კომპანიების უმეტესობა, როგორც წესი, არ მოგთხოვთ მგრძნობიარე მონაცემების გაგზავნას ვებ ან ფოსტით.
ამიტომ არასოდეს დააწკაპუნოთ საეჭვო ბმულებზე და არ მიაწოდოთ რაიმე სახის მგრძნობიარე მონაცემები.
რა გავაკეთო, თუ ფიშინგის ელფოსტა მივიღე?
თუ მიიღებთ შეტყობინებას, რომელიც ფიშინგის შეტევას ჰგავს, სამი ვარიანტი გაქვთ.
- Წაშალე.
- გადაამოწმეთ შეტყობინების შინაარსი, დაუკავშირდით ორგანიზაციას მისი ტრადიციული კომუნიკაციის არხით.
- თქვენ შეგიძლიათ გაგზავნოთ შეტყობინება თქვენს IT უსაფრთხოების განყოფილებაში შემდგომი ანალიზისთვის.
თქვენმა კომპანიამ უკვე უნდა აკონტროლოს და გაფილტროს საეჭვო ელ.წერილების უმეტესობა, მაგრამ მსხვერპლი შეიძლება გახდეს ნებისმიერი.
სამწუხაროდ, ფიშინგის თაღლითები მზარდი საფრთხეა ინტერნეტში და ცუდი ბიჭები ყოველთვის ავითარებენ ახალ ტაქტიკას თქვენს შემოსულებში შესასვლელად.
გაითვალისწინეთ, რომ საბოლოო ჯამში, თქვენ ხართ თავდაცვის ბოლო და ყველაზე მნიშვნელოვანი ფენა ფიშინგის მცდელობებისგან.
როგორ შევაჩეროთ ფიშინგის შეტევა, სანამ ის მოხდება
ვინაიდან ფიშინგის შეტევები ეფექტურობისთვის ეყრდნობა ადამიანურ შეცდომებს, საუკეთესო ვარიანტია თქვენს ბიზნესში მყოფი ადამიანების მომზადება, თუ როგორ აიცილონ სატყუარას თავიდან აცილება.
ეს არ ნიშნავს იმას, რომ თქვენ უნდა გქონდეთ დიდი შეხვედრა ან სემინარი იმის შესახებ, თუ როგორ ავიცილოთ თავიდან ფიშინგის შეტევა.
არსებობს უკეთესი გზები, რომ იპოვოთ ხარვეზები თქვენს უსაფრთხოებაში და გააუმჯობესოთ თქვენი ადამიანის რეაქცია ფიშინგზე.
2 ნაბიჯი, რომლის გადადგმაც შეგიძლიათ ფიშინგის თაღლითობის თავიდან ასაცილებლად
A ფიშინგის სიმულატორი არის პროგრამული უზრუნველყოფა, რომელიც საშუალებას გაძლევთ მოახდინოთ ფიშინგის შეტევის სიმულაცია თქვენი ორგანიზაციის ყველა წევრზე.
ფიშინგის ტრენაჟორებს, როგორც წესი, მოჰყვება შაბლონები, რომლებიც ხელს უწყობენ ელ.ფოსტის სანდო გამყიდველად შენიღბვას ან ელფოსტის შიდა ფორმატების მიბაძვას.
ფიშინგის ტრენაჟორები არ ქმნიან მხოლოდ ელფოსტას, არამედ ხელს უწყობენ ყალბი ვებსაიტის შექმნას, რომლითაც მიმღებები შეასრულებენ თავიანთი რწმუნებათა სიგელების შეყვანას, თუ ისინი არ გაივლიან ტესტს.
იმის ნაცვლად, რომ გაკიცხვონ ხაფანგში მოხვედრისთვის, სიტუაციის დასაძლევად საუკეთესო გზაა ინფორმაციის მიწოდება იმის შესახებ, თუ როგორ უნდა შეფასდეს ფიშინგული ელფოსტა მომავალში.
თუ ვინმემ ვერ ჩააბარა ფიშინგის ტესტში, უმჯობესია უბრალოდ გაუგზავნოთ მას რჩევების სია ფიშინგის ელფოსტის დაფიქსირების შესახებ.
თქვენ შეგიძლიათ გამოიყენოთ ეს სტატია, როგორც მინიშნება თქვენი თანამშრომლებისთვის.
კარგი ფიშინგის სიმულატორის გამოყენების კიდევ ერთი მთავარი უპირატესობა ის არის, რომ თქვენ შეგიძლიათ გაზომოთ ადამიანის საფრთხე თქვენს ორგანიზაციაში, რაც ხშირად ძნელია პროგნოზირება.
შეიძლება წელიწადნახევარი დასჭირდეს თანამშრომლების მომზადებას შერბილების უსაფრთხო დონეზე.
მნიშვნელოვანია აირჩიოთ ფიშინგის სიმულაციური ინფრასტრუქტურა თქვენი საჭიროებისთვის.
თუ თქვენ აკეთებთ ფიშინგის სიმულაციებს ერთ ბიზნესში, მაშინ თქვენი ამოცანა გაგიადვილდებათ
თუ თქვენ ხართ MSP ან MSSP, შეიძლება დაგჭირდეთ ფიშინგის ტესტების გაშვება მრავალ ბიზნესსა და ლოკაციებზე.
ღრუბელზე დაფუძნებული გადაწყვეტის არჩევა საუკეთესო ვარიანტი იქნება მომხმარებლებისთვის, რომლებიც აწარმოებენ მრავალ კამპანიას.
Hailbytes-ში ჩვენ დავაკონფიგურირეთ GoPhish, ერთ-ერთი ყველაზე პოპულარული ღია კოდის ფიშინგ ჩარჩო ადვილად გამოსაყენებელი მაგალითი AWS-ზე.
ბევრი ფიშინგის სიმულატორი მოდის ტრადიციულ Saas-ის მოდელში და მათთან დაკავშირებულია მჭიდრო კონტრაქტები, მაგრამ GoPhish on AWS არის ღრუბელზე დაფუძნებული სერვისი, სადაც იხდით გაზომილი განაკვეთით და არა 1 ან 2-წლიანი კონტრაქტით.
ნაბიჯი 2. უსაფრთხოების ინფორმირებულობის ტრენინგი
თანამშრომლების მიცემის მთავარი სარგებელი უსაფრთხოების ცნობიერება ტრენინგი იცავს მათ პირადობის ქურდობისგან, ბანკის ქურდობისგან და მოპარული ბიზნეს რწმუნებათა სიგელებისგან.
უსაფრთხოების ინფორმირებულობის ტრენინგი აუცილებელია თანამშრომლების უნარის გასაუმჯობესებლად ფიშინგის მცდელობების აღმოჩენის მიზნით.
კურსები შეიძლება დაეხმაროს პერსონალის მომზადებას ფიშინგის მცდელობების აღმოსაჩენად, მაგრამ მხოლოდ რამდენიმე ფოკუსირებულია მცირე ბიზნესზე.
თქვენთვის, როგორც მცირე ბიზნესის მფლობელისთვის, შეიძლება მაცდური იყოს კურსის ხარჯების შემცირება უსაფრთხოების ინფორმირებულობის შესახებ რამდენიმე Youtube ვიდეოს გაგზავნით…
მაგრამ პერსონალი იშვიათად ახსოვს ამ ტიპის ვარჯიში რამდენიმე დღეზე მეტია.
Hailbytes-ს აქვს კურსი, რომელსაც აქვს სწრაფი ვიდეოებისა და ვიქტორინების ერთობლიობა, ასე რომ თქვენ შეგიძლიათ თვალყური ადევნოთ თქვენი თანამშრომლების პროგრესს, დაამტკიცოთ, რომ დაცულია უსაფრთხოების ზომები და მასობრივად შეამციროთ ფიშინგის თაღლითობის გატარების შანსი.
შეგიძლიათ ნახოთ ჩვენი კურსი Udemy-ზე აქ ან დააწკაპუნოთ ქვემოთ მოცემულ კურსზე:
თუ გაინტერესებთ უფასო ფიშინგის სიმულაციის გაშვება თქვენი თანამშრომლების მოსამზადებლად, გაემგზავრეთ AWS-ში და შეამოწმეთ GoPhish!
დაწყება მარტივია და ყოველთვის შეგიძლიათ დაგვიკავშირდეთ, თუ დახმარება გჭირდებათ დაყენებისას.
