Jak chronić pieniądze i dane osobowe w Internecie?

2024 Autor: Malcolm Clapton | [email protected]. Ostatnio zmodyfikowany: 2023-12-17 04:07

Im lepiej jesteś poinformowany, tym trudniej cię oszukać. Oto wszystko, co musisz wiedzieć o phishingu w firmie Microsoft.

Znajdź jeszcze więcej wskazówek, jak chronić się przed zagrożeniami cyfrowymi.

Co to jest phishing i jak niebezpieczny?

Phishing jest powszechnym rodzajem cyberoszustwa, którego celem jest włamanie i przejęcie kont, kradzież informacji o kartach kredytowych lub innych poufnych informacji.

Najczęściej cyberprzestępcy korzystają z poczty e-mail: na przykład wysyłają listy w imieniu znanej firmy, zwabiając użytkowników na swoją fałszywą stronę internetową pod pretekstem zyskownej promocji. Ofiara nie rozpoznaje podróbki, wpisuje login i hasło ze swojego konta, a tym samym sam przekazuje dane oszustom.

Każdy może cierpieć. Zautomatyzowane wiadomości phishingowe są najczęściej kierowane do szerokiego grona odbiorców (setki tysięcy, a nawet miliony adresów), ale zdarzają się również ataki wymierzone w konkretny cel. Najczęściej tymi celami są menedżerowie najwyższego szczebla lub inni pracownicy, którzy mają uprzywilejowany dostęp do danych firmowych. Ta spersonalizowana strategia phishingowa nazywana jest wielorybnictwem, co tłumaczy się jako „łapanie wielorybów”.

Konsekwencje ataków phishingowych mogą być katastrofalne. Oszuści mogą czytać Twoją osobistą korespondencję, wysyłać wiadomości phishingowe do kręgu Twoich kontaktów, wypłacać pieniądze z kont bankowych i ogólnie działać w Twoim imieniu w szerokim znaczeniu. Jeśli prowadzisz firmę, ryzyko jest jeszcze większe. Phisherzy są w stanie wykraść tajemnice korporacyjne, zniszczyć wrażliwe pliki lub ujawnić dane klientów, szkodząc reputacji firmy.

Zgodnie z raportem Anti-Phishing Working Group dotyczącym trendów aktywności phishingowej tylko w ostatnim kwartale 2019 r. eksperci ds. cyberbezpieczeństwa wykryli ponad 162 000 fałszywych stron internetowych i 132 000 kampanii e-mailowych. W tym czasie około tysiąca firm z całego świata padło ofiarą phishingu. Dopiero okaże się, ile ataków nie zostało wykrytych.

Ewolucja i rodzaje phishingu

Termin „phishing” pochodzi od angielskiego słowa „fishing”. Ten rodzaj oszustwa naprawdę przypomina łowienie ryb: atakujący rzuca przynętę w postaci fałszywej wiadomości lub linku i czeka, aż użytkownicy ugryzą.

Jednak w języku angielskim phishing ma nieco inną pisownię: phishing. Dwuznak ph jest używany zamiast litery f. Według jednej wersji jest to nawiązanie do słowa „fałszywy” („oszust”, „oszust”). Z drugiej – do subkultury wczesnych hakerów, których nazywano phreakerami („phreakerami”).

Uważa się, że termin phishing został po raz pierwszy użyty publicznie w połowie lat 90. na grupach dyskusyjnych Usenet. W tym czasie oszuści przeprowadzili pierwsze ataki phishingowe na klientów amerykańskiego dostawcy Internetu AOL. Osoby atakujące wysyłały wiadomości z prośbą o potwierdzenie swoich danych uwierzytelniających, podszywając się pod pracowników firmy.

Wraz z rozwojem Internetu pojawiły się nowe rodzaje ataków phishingowych. Oszuści zaczęli fałszować całe strony internetowe i opanowali różne kanały i usługi komunikacyjne. Dziś można wyróżnić tego typu rodzaje phishingu.

• Wyłudzanie wiadomości e-mail. Oszuści rejestrują adres pocztowy podobny do adresu znanej firmy lub znajomego wybranej ofiary i wysyłają z niego listy. Jednocześnie, z nazwy nadawcy, projektu i treści, fałszywy list może być niemal identyczny z oryginałem. Jedynie wewnątrz znajduje się odnośnik do fałszywej strony, zainfekowanych załączników lub bezpośrednie żądanie przesłania poufnych danych.
• Wyłudzanie wiadomości SMS (smishing). Ten schemat jest podobny do poprzedniego, ale zamiast e-maila używany jest SMS. Abonent otrzymuje wiadomość z nieznanego (zwykle krótkiego) numeru z prośbą o poufne dane lub z linkiem do fałszywej strony. Na przykład atakujący może przedstawić się jako bank i poprosić o kod weryfikacyjny, który otrzymałeś wcześniej. W rzeczywistości oszuści potrzebują kodu, aby włamać się na Twoje konto bankowe.
• Wyłudzanie informacji w mediach społecznościowych. Wraz z rozprzestrzenianiem się komunikatorów internetowych i mediów społecznościowych ataki phishingowe zalały również te kanały. Atakujący mogą skontaktować się z Tobą za pośrednictwem fałszywych lub zhakowanych kont znanych organizacji lub Twoich znajomych. W przeciwnym razie zasada ataku nie różni się od poprzednich.
• Phishing telefoniczny (vishing). Oszuści nie ograniczają się do wiadomości tekstowych i mogą do Ciebie dzwonić. Najczęściej do tego celu wykorzystywana jest telefonia internetowa (VoIP). Dzwoniący może podszywać się np. pod pracownika obsługi Twojego systemu płatności i żądać danych dostępu do portfela – podobno w celu weryfikacji.
• Wyszukaj phishing. Wyłudzanie informacji możesz spotkać bezpośrednio w wynikach wyszukiwania. Wystarczy kliknąć w link prowadzący do fałszywej strony i pozostawić na niej dane osobowe.
• Wyskakujące okienka phishingowe. Atakujący często używają wyskakujących okienek. Odwiedzając wątpliwy zasób, możesz zobaczyć baner, który obiecuje pewne korzyści – na przykład zniżki lub bezpłatne produkty – w imieniu znanej firmy. Klikając ten link, zostaniesz przeniesiony na stronę kontrolowaną przez cyberprzestępców.
• Rolnictwo. Niezwiązany bezpośrednio z phishingiem, ale farming jest również bardzo częstym atakiem. W takim przypadku atakujący fałszuje dane DNS, automatycznie przekierowując użytkownika zamiast oryginalnych witryn na fałszywe. Ofiara nie widzi żadnych podejrzanych wiadomości i banerów, co zwiększa skuteczność ataku.

Phishing wciąż ewoluuje. Firma Microsoft opowiedziała o nowych technikach, które w 2019 r. wykryła jego usługa antyphishingowa Microsoft 365 Advanced Threat Protection. Na przykład oszuści nauczyli się lepiej ukrywać złośliwe materiały w wynikach wyszukiwania: na górze wyświetlane są legalne linki, które prowadzą użytkownika do stron phishingowych za pomocą wielu przekierowań.

Ponadto cyberprzestępcy zaczęli automatycznie generować odsyłacze phishingowe i dokładne kopie wiadomości e-mail na jakościowo nowym poziomie, co pozwala im skuteczniej oszukiwać użytkowników i omijać zabezpieczenia.

Z kolei Microsoft nauczył się identyfikować i blokować nowe zagrożenia. Firma wykorzystała całą swoją wiedzę na temat cyberbezpieczeństwa, aby stworzyć pakiet Microsoft 365. Zapewnia rozwiązania, których potrzebujesz dla Twojej firmy, zapewniając jednocześnie skuteczną ochronę Twoich informacji, w tym przed phishingiem. Microsoft 365 Advanced Threat Protection blokuje złośliwe załączniki i potencjalnie szkodliwe łącza w wiadomościach e-mail, wykrywa oprogramowanie ransomware i inne zagrożenia.

Jak chronić się przed phishingiem

Popraw swoje umiejętności techniczne. Jak mówi przysłowie, ten, który został ostrzeżony, jest uzbrojony. Samodzielna analiza bezpieczeństwa informacji lub skonsultowanie się z ekspertami. Nawet solidna wiedza na temat podstaw higieny cyfrowej może zaoszczędzić wiele kłopotów.

Bądź ostrożny. Nie podążaj za linkami ani nie otwieraj załączników w listach od nieznanych rozmówców. Prosimy o dokładne sprawdzenie danych kontaktowych nadawców oraz adresów odwiedzanych witryn. Nie odpowiadaj na prośby o podanie danych osobowych, nawet jeśli wiadomość wygląda wiarygodnie. Jeśli przedstawiciel firmy poprosi Cię o informacje, lepiej zadzwonić do ich call center i zgłosić sytuację. Nie klikaj wyskakujących okienek.

Używaj haseł mądrze. Użyj unikalnego i silnego hasła dla każdego konta. Subskrybuj usługi, które ostrzegają użytkowników, jeśli hasła do ich kont pojawiają się w sieci i natychmiast zmień kod dostępu, jeśli okaże się, że został naruszony.

Skonfiguruj uwierzytelnianie wieloskładnikowe. Funkcja ta dodatkowo zabezpiecza konto np. przy użyciu haseł jednorazowych. W takim przypadku za każdym razem, gdy logujesz się na swoje konto z nowego urządzenia, oprócz hasła będziesz musiał wprowadzić cztero- lub sześcioznakowy kod wysłany do Ciebie SMS-em lub wygenerowany w specjalnej aplikacji. Może wydawać się to niezbyt wygodne, ale takie podejście ochroni Cię przed 99% typowych ataków. W końcu, jeśli oszuści ukradną hasło, nadal nie będą mogli wejść bez kodu weryfikacyjnego.

Korzystaj z możliwości logowania bez hasła. W tych usługach, o ile to możliwe, należy całkowicie zrezygnować z używania haseł, zastępując je sprzętowymi kluczami bezpieczeństwa lub uwierzytelnianiem przez aplikację na smartfonie.

Użyj oprogramowania antywirusowego. Aktualny program antywirusowy częściowo pomoże chronić komputer przed złośliwym oprogramowaniem, które przekierowuje na strony phishingowe lub kradnie loginy i hasła. Pamiętaj jednak, że Twoją główną ochroną nadal jest przestrzeganie zasad higieny cyfrowej i przestrzeganie zaleceń dotyczących cyberbezpieczeństwa.

Jeśli prowadzisz firmę

Poniższe wskazówki będą również pomocne dla właścicieli firm i kadry kierowniczej firm.

Szkolenie pracowników. Wyjaśnij podwładnym, jakich komunikatów unikać, a jakich informacji nie należy przesyłać e-mailem i innymi kanałami komunikacji. Zabronić pracownikom korzystania z poczty firmowej do celów osobistych. Poinstruuj ich, jak pracować z hasłami. Warto również wziąć pod uwagę politykę przechowywania wiadomości: na przykład ze względów bezpieczeństwa możesz usuwać wiadomości starsze niż określony okres.

Przeprowadzaj treningowe ataki phishingowe. Jeśli chcesz sprawdzić reakcję swoich pracowników na phishing, spróbuj sfingować atak. Na przykład zarejestruj adres pocztowy podobny do swojego i wyślij z niego listy do podwładnych z prośbą o przekazanie Ci poufnych danych.

Wybierz niezawodną usługę pocztową. Bezpłatni dostawcy poczty e-mail są zbyt podatni na komunikację biznesową. Firmy powinny wybierać wyłącznie bezpieczne usługi korporacyjne. Na przykład użytkownicy usługi pocztowej Microsoft Exchange, która jest częścią pakietu Microsoft 365, mają kompleksową ochronę przed phishingiem i innymi zagrożeniami. Aby przeciwdziałać oszustom, firma Microsoft co miesiąc analizuje setki miliardów wiadomości e-mail.

Zatrudnij eksperta ds. cyberbezpieczeństwa. Jeśli Twój budżet na to pozwala, znajdź wykwalifikowanego specjalistę, który zapewni stałą ochronę przed phishingiem i innymi cyberzagrożeniami.

Co zrobić, jeśli padłeś ofiarą phishingu

Jeśli istnieją powody, by sądzić, że Twoje dane wpadły w niepowołane ręce, działaj natychmiast. Sprawdź swoje urządzenia pod kątem wirusów i zmień hasła do kont. Poinformuj personel banku, że Twoje dane płatnicze mogły zostać skradzione. W razie potrzeby poinformuj klientów o potencjalnym wycieku.

Aby zapobiec powtarzaniu się takich sytuacji, wybierz niezawodne i nowoczesne usługi współpracy. Najlepiej nadają się produkty z wbudowanymi mechanizmami ochrony: będzie działać tak wygodnie, jak to możliwe i nie będziesz musiał ryzykować cyfrowego bezpieczeństwa.

Na przykład platforma Microsoft 365 obejmuje szereg inteligentnych funkcji zabezpieczeń, w tym ochronę kont i loginów przed włamaniem za pomocą wbudowanego modelu oceny ryzyka, uwierzytelnianie bez hasła lub wieloskładnikowe, które nie wymaga dodatkowych licencji.

Dodatkowo usługa zapewnia dynamiczną kontrolę dostępu z oceną ryzyka oraz z uwzględnieniem szerokiego zakresu warunków. Ponadto platforma Microsoft 365 zawiera wbudowaną automatyzację i analizę danych, a także pozwala kontrolować urządzenia i chronić informacje przed wyciekiem.