Phishing to wciąż popularna metoda ataków na firmy. Jak wynika z badania Sophos, aż 59% dużych przedsiębiorstw w Polsce zauważyło wzrost liczby tego typu wiadomości trafiających na skrzynki pracowników w ostatnim roku. Nawet jeden e-mail ze złośliwym linkiem może skutkować wielomilionowymi stratami, związanymi z kradzieżą i zaszyfrowaniem firmowych danych. Konieczna jest edukacja pracowników, jednak trzeba przy tym pamiętać, że nawet specjaliści IT różnie definiują phishing.
Od fałszywego e-maila do zablokowania systemu
Na całym świecie aż 7 na 10 firm zatrudniających co najmniej 100 pracowników zanotowało wzrost liczby ataków phishingowych w ostatnim roku. Przestępcy szybko wykorzystali możliwości, jakie stworzyła pandemia: gwałtowny wzrost liczby osób pracujących z domu, popularności zakupów online, powszechny niepokój. Podobną skalę ataków zanotowały wszystkie sektory, co wskazuje, że cyberprzestępcy starają się przede wszystkim dotrzeć do jak największej liczby pracowników.
– Phishing pozostaje skuteczną metodą cyberataków od ponad 25 lat. Przestępcy grają na ludzkich emocjach i zaufaniu: wyłudzają dane oraz nakłaniają do kliknięcia w złośliwe linki lub załączniki, podszywając się pod znane firmy i instytucje – ostrzega Monika Sierocinski, Team Lead CAM w firmie Sophos. – Firmy często uważają phishing za niewielkie zagrożenie, jednak zazwyczaj to tylko pierwszy etap bardziej złożonego ataku. E-mail od „współpracownika” i kliknięcie w złośliwy link może skutkować wielomilionowymi stratami. Przestępcy zyskują wtedy dostęp do komputera ofiary oraz firmowej sieci, mogą pobierać z niej informacje, blokować je, a nawet kraść pieniądze.
Wiele definicji phishingu
Badanie Sophos wykazało, że nawet specjaliści IT różnie rozumieją phishing. W Polsce najczęściej wskazują, że są to e-maile ze złośliwym załącznikiem (69%), e-maile wysyłane w ramach targetowanych kampanii, poprzedzonych wywiadem środowiskowym (63%), kradzież danych uwierzytelniających przez pocztę elektroniczną (63%) i e-maile ze złośliwymi linkami (62%). Wiadomości SMS nakłaniające do podania informacji (smishing) za phishing uważa 41%.
Duże firmy edukują pracowników – czy właściwie?
84% firm w Polsce, zatrudniających co najmniej 100 osób, prowadzi działania edukacyjne, aby przeciwdziałać phishingowi. Głównie są to szkolenia i symulacje ataków. 3 na 4 firmy miały program edukacyjny jeszcze przed wybuchem pandemii. Wciąż jednak tylko połowa przedsiębiorstw śledzi współczynnik kliknięć w wiadomości phishingowe, a nieco ponad 3/5 liczbę zgłaszanych podejrzanych e-maili. Takie informacje mogłyby pomóc zespołom IT w dopasowywaniu szkoleń do potrzeb pracowników oraz poprawianiu poziomu ochrony.
– Najlepiej oczywiście uniemożliwiać docieranie złośliwych wiadomości do adresatów, z wykorzystaniem zabezpieczeń poczty elektronicznej. Jednak zawsze należy je też uzupełniać zwiększaniem świadomości zagrożeń wśród pracowników. Trzeba przy tym pamiętać, że phishing dla poszczególnych osób nie zawsze znaczy to samo. Aby szkolenia, zwłaszcza kadry nietechnicznej, były skuteczne, ważne jest wyjaśnienie definicji ataków i kanałów, którymi są podejmowane oraz upewnienie się, że wszyscy rozumieją je podobnie. Równie istotne jest sprawdzanie czy pracownicy zgłaszają podejrzane wiadomości i czy wiedzą w co nie powinni klikać – radzi Monika Sierocinski.
O badaniu
Badanie „Phishing Insights, 2021” zostało przeprowadzone przez niezależną agencję Vanson Bourne na zlecenie Sophos. Ankieta objęła 5,4 tys. decydentów IT z firm zatrudniających od 100 do 5 tys. pracowników. Badanie przeprowadzono w styczniu i lutym 2021 roku wśród respondentów z 30 krajów Europy (w tym w Polsce), obu Ameryk, Azji i Pacyfiku, Azji Środkowej, Bliskiego Wschodu i w Afryce.
