Ľudský faktor je pravdepodobne jedným z najslabších článkov bezpečnostného reťazca každej organizácie. Hekeri si to veľmi dobre uvedomujú a stále častejšie používajú klamlivé taktiky, aby zneužili nič netušiacich zamestnancov. Tí sa môžu nevedomky stať obeťou phishingového útoku jediným kliknutím a toto jedno malé kliknutie môže pritom zničiť celú firmu.
„Prvé, čo je dobré každému zamestnancovi odporučiť, je porozmýšľať nad tým, ako počítač používa a či nemá tendenciu občas klikať a sťahovať bezmyšlienkovite čokoľvek , čo naňho „ vyskočí“. Avšak to úplne najjednoduchšie, čo môže každý zamestnanec urobiť sám, je zvoliť si unikátne a silné heslá pre služby, do ktorých sa prihlasuje,“ radí Jana Večerková. Phishingový e-mail sa tvári, akoby pochádzal z dôveryhodného zdroja (napr. od vašej banky, iného zamestnanca alebo známej spoločnosti). Akonáhle však používateľ klikne na škodlivý odkaz alebo prílohu, bude vyzvaný na zadanie dôverných informácií. Odkaz môže tiež do zariadenia zamestnanca stiahnuť malvér ( škodlivý program). Zamestnanci by tak mohli hekerom odovzdať presne to, čo potrebujú na získanie prístupu k dôležitým firemným účtom bez toho, aby sa dozvedeli, čo sa stalo. „Predtým sa väčšina podobných podvodných emailov dala spoznať už len podľa štýlu a zlej gramatiky, ale dnes tieto emaily vyzerajú úplne legitímne. Preto je dobré skontrolovať doménu, z ktorej email prišiel a či presne sedí s doménou služby, za ktorú sa vydáva,“ dopĺňa Večerková.
Nestačí zamestnancom posielať emaily s upozornením na phishing. Zamestnanci potrebujú školenia cielené na rozšírenie povedomia, bezpečnosť a simulované phishingové testy, ktoré vyhodnotia a zmerajú ich náchylnosť k phishingovým útokom. Dôraz by sa mal klásť na vzdelávanie v oblasti kybernetických bezpečnostných hrozieb a hľadanie spôsobov, ako zlepšiť školenie zamestnancov, aby podvodníci nemohli prejsť cez váš personál. Vytvorenie povinného celopodnikového bezpečnostného školenia je pre ochranu firemných dát veľmi dôležité. Implementujte toto školenie pri nástupe u nových zamestnancov s následnými pravidelnými opakovacími kurzami. Školenie by sa malo týkať osvedčených postupov, ale nemali by ste pri tom skončiť. Zaistite, aby zamestnanci vedeli, čo majú robiť, ak si všimnú niečo podozrivé, a aké kroky majú podniknúť, aby na problém upozornili vedenie. Keď spustíte phishingové testy, niektorí ľudia v nich nevyhnutne zlyhajú. Musíte sa rozhodnúť, ako s výsledkami naložíte. Ak zamestnanec neustále zlyháva v testoch kybernetickej bezpečnosti, zhodnoťte riziko spojené s týmto užívateľom a až potom sa rozhodnite, aké opatrenia podniknete.
Príkladom faktorov, podľa ktorých zhodnocovať vážnosť situácie, môžu byť:
· Má dotyčný prístup k citlivým dátam?
· Má možnosť pristupovať k finančným prostriedkom alebo spracovávať bankové prevody ?
· Ak klik nie na skutočný, reálny phishingový odkaz, čo najhoršieho sa môže stať?
· Ak si stiah nie vírus, ako by to ovplyvnilo zvyšok organizácie?
V jednom extréme máte napríklad zamestnanca na základnej úrovni, ktorý pracuje v časti siete chránenej firewallom a nemá prístup k ničomu inému ako k internetu – to je situácia s nižším rizikom. Na druhom konci máte zamestnanca na vyššej úrovni, ktorý je "miestnym administrátorom" a má priamy prístup k databáze - situácia s vyšším rizikom. Vašu pozornosť je lepšie zamerať na zamestnancov s vyšším rizikom. Táto osoba môže potrebovať individuálny koučing alebo úpravu prístupu. Preskúmanie vyššie uvedených faktorov môže tiež odhaliť niektoré technické kontroly, ktoré by malo oddelenie IT zaviesť. „Najlepšie je nikdy nekonať unáhlene a pod časovým tlakom. Mnoho podvodných emailov stavia aj na výhodné časovo obmedzené ponuky, výhry v súťažiach a podobné. Keď niečo vyzerá tak, že je to príliš dobré na to, aby sa tomu dalo veriť, tak to viac-menej vždy je preto, že to tak je,“ hovorí J. Večerková. Bohužiaľ, kyberzločinci sú stále inteligentnejší. Začínajú tiež používať veľmi sofistikované techniky, takže pre ľudí bez účinných antispamových filtrov je veľmi ťažké rozlíšiť legitímne a nelegitímne e-maily. Pokiaľ ste sa chytili do tejto pasce a klikli na phishingový odkaz, je na čase rýchlo konať a chrániť seba aj svoje dáta.
Užitočné rady:
- Snažte sa nepanikáriť! - Ľahšie sa to povie, ako urobí, ale zachovanie pokoja vám pomôže uvažovať logicky a konať prakticky. Pamätajte – jednoduché otvorenie phishingového emailu vás pravdepodobne neohrozí. Pokiaľ ste e-mail otvorili, ale neklikli ste na žiadny odkaz, ani ste si nestiahli žiadnu prílohu, je pravdepodobnosť, že sa zločinci stojaci za útokom dostanú k vašim informáciám, veľmi malá. V takom prípade nahláste odosielateľa a presuňte e-mail do zložky s nevyžiadanou poštou.
- Odpojte zariadenie od siete – Ak ste však v emaili klikli na podvodný odkaz, je tento ďalší krok veľmi dôležitý. Odpojenie od internetu pomôže zabrániť kyberzločincom zodpovedným za phishingový útok v prístupe k dôležitým a citlivým údajom. To môžete vykonať odpojením Wi-Fi alebo ethernetového kábla.
- Skontrolujte, či ste stiahli prílohu – Kliknutím na phishingový odkaz sa často spustí sťahovanie zložiek alebo súborov obsahujúcich škodlivý malvér. Vzhľadom na to by ste mali skontrolovať zložku stiahnutých súborov, či do vášho zariadenia nebola stiahnutá príloha – ale neotvárajte ju. Ak môžete, odstráňte prílohu bez toho, aby ste ju otvorili.
- Zmeňte svoje osobné údaje – Ak ste v rámci phishingového útoku zadali svoje osobné prihlasovacie údaje k webovej stránke, je na čase ich aktualizovať. Ľudia stojaci za podvodným mailom teraz môžu mať prístup k vášmu používateľskému menu a heslu, ktoré môžu byť použité na rozlúštenie prihlasovacích údajov k ďalším webom a účtom.