Μια νέα έρευνα που μόλις κυκλοφόρησε από έναν εξειδικευμένο web site επιβεβαίωσε ότι οι επιθέσεις phishing παραμένουν η μεγαλύτερη απειλή για την ασφάλεια των επιχειρήσεων στο κυβερνοχώρο.

Τι είναι το Phishing;

Το ηλεκτρονικό ψάρεμα (Phishing) είναι όταν ένας «χάκερ» στέλνει ένα email, προσποιούμενος ότι είναι από κάποιον άλλο. Μπορεί, για παράδειγμα, να προσποιηθούν ότι σας στέλνουν email από την τράπεζά σας.

Έτσι, όταν κάνετε κλικ στον σύνδεσμο του email, μεταφέρεστε σε μια σελίδα που μοιάζει με τη σελίδα της τράπεζας σας.

Αλλά δεν είναι!

Είναι μια πλαστή σελίδα που έχει δημιουργηθεί για να κλέψει τις πληροφορίες σας. Οι εγκληματίες ελπίζουν ότι θα εισαγάγετε τα στοιχεία σύνδεσης σας, ώστε να αποκτήσουν πρόσβαση στους τραπεζικούς λογαριασμούς της επιχείρησής σας.

Άλλες απειλές από μηνύματα Phishing είναι τα πλαστά PDF – με ονόματα όπως «τιμολόγιο». Συχνά, κάνοντας κλικ σε αυτά: μπορεί να επιτραπεί στον χάκερ να εγκαταστήσει κακόβουλο λογισμικό, γνωστό ως ransomware, στον υπολογιστή σας.

Οι μισές επιχειρήσεις την έχουν ήδη «πατήσει»

Από έρευνα που πραγματοποιήθηκε το 2021, προέκυψε ότι το 53% των επιχειρήσεων που ανέφεραν παραβίαση το 2021 – δήλωσαν ότι αυτό συνέβη κυρίως λόγω επίθεσης phishing.

Το 41% δήλωσε πως το κακόβουλο λογισμικό έπαιξε ρόλο στην παραβίασή τους.

Και το 17% αντιμετώπισε κάτι που ονομάζεται Denial of service attack (DOS). Πρακτικά, οι χάκερ στέλνουν σωρεία μηνυμάτων (ή/και δικτυακών πακέτων) σε ένα δίκτυο ή ένα web site, με σκοπό να το «ρίξουν».

💡Σημαντικό να θυμάστε

Καμία από αυτές τις επιθέσεις δε στόχευε ειδικά τις επιχειρήσεις των θυμάτων. Καθημερινά, οι χάκερ στέλνουν phishing emails σε χιλιάδες άτομα, περιμένοντας να δουν ποιος ανοίγει και κάνει κλικ σε αυτά.

Γι’ αυτό, η πρωταρχική μέριμνα κατά του phishing είναι η εκπαίδευση του προσωπικού μιας επιχείρησης. Το λογισμικό βοηθάει, αλλά όχι τόσο όσο η εκπαίδευση.

Η εναλλακτική και «θαυματουργή» λύση

Αντιλαμβάνομαι ότι τέτοιου είδους εκπαιδεύσεις είναι αδιάφορες ως βαρετές για τους περισσότερους ανθρώπους. Προκύπτει, ότι η προσομοίωση τέτοιων επιθέσεων είναι πολύ πιο αποτελεσματική. Πρακτικά, ένας εξειδικευμένος συνεργάτης στέλνει (καλόβουλα) Phishing emails με σκοπό να εκτιμήσει την ετοιμότητα του προσωπικού.

Σε περίπτωση που υπάλληλος ανοίξει το Phishing email: οδηγείται σε ιστοσελίδα με το κατάλληλο εκπαιδευτικό υλικό – συνήθως βίντεο.
Έτσι, μαθαίνει να αναγνωρίζει τέτοια μηνύματα, ενώ ο επιχειρηματίας, με τα κατάλληλα reports, γνωρίζει το ρίσκο του.

Αν το δει κάποιος στρατηγικά: θα πρέπει να έχει την κατάλληλη τεχνολογία για να περιορίζει τον κίνδυνο από τέτοιου είδους μηνύματα και εκπαιδευμένο προσωπικό για να αναγνωρίζει αυτά που «ξεφεύγουν».