Cyberbiztonság: az adathalászat a legveszélyesebb a munkatársakra

A zsarolóvírusok, jelszó- és adatlopások egyre gyakoribb szereplői a híreknek.

Sokan már bele is estek egy-egy csapdába, így saját bőrükön tapasztalták, milyen komoly negatív következményei lehetnek az ilyen támadásoknak. A bűnözök sikeréhez számos esetben az áldozatok információhiánya, tájékozatlansága, figyelmetlensége is hozzájárul. Ezt támasztja alá egy friss felmérés is.

Az online világ folyamatos fejlődésének következtében egyre több olyan bűnöző van jelen az interneten, akik elektronikus úton szerzik meg a felhasználók személyes adatait – bankkártyaszámaikat, különböző belépési azonosítóikat, hogy azokat a későbbiekben saját célra felhasználhassák. Hosszú évek óta rendszeresen működnek, a számuk rohamosan nő és a megszerzett felhasználói információkkal gyakorta visszaélnek, zsarolnak, személyiséget lopnak, vagy akár pénzt hamisítanak. Az adathalászattal (phishing) foglalkozó hekkerek és más bűnözők mára speciális és kifinomult módszereket fejlesztettek ki, illetve számos olyan rossz szándékú programot alkalmaznak, amelyekkel könnyedén megvezethetik az internetezők jelentős hányadát.

Az adathalászat és az adatvédelem a listavezető

Az amerikai Proofpoint cégek számára nyújt kiberbiztonsági képzést, melynek keretében felméri a hallgatói tudását, és az aggregált és elemzett adatok alapján évente jelentést ad ki. A legújabb riport szerint – amely végponti felhasználók által 2018. január 1. és 2019. február 28. között beküldött több millió válasz alapján készült – a cégek munkatársai számára a legnagyobb kihívást egyrészt az adathalászati kísérletek felismerése jelenti, másrészt pedig az adatok védelme azok teljes életciklusa alatt. Előkelő helyen végzett még a mobil eszközök titkosítása, a személyes információk védelme, továbbá a technológiai védelem szerepe social engineering, azaz pszichológiai manipuláció esetén (amikor illetéktelenek nem a gépek, hanem az emberek működését ismerve tudnak pl. jelszavakat megszerezni).

Ami a teljes IT-biztonsági témájú kérdőívet illeti, átlagban a válaszok 22%-át rontották el a kitöltők. Az iparágakat tekintve az oktatásban és közlekedésben dolgozók voltak a legkevésbé tájékozottak, míg a legtöbb helyes választ (80%) a pénzügyi dolgozók érték el. Ha egy vállalaton belül szakterületeket nézzük, akkor az értékesítéssel foglalkozók produkálták a legkisebb pontszámot, őket követték az ügyfélszolgálaton, az üzemeltetésen és – ironikus módon – a biztonsági területen dolgozók (ide tartoznak a fizikai biztonságért felelős munkatársak is). A legjobb eredményt a kommunikációs terület dolgozói tudták felmutatni.

Érdemes tudatosítani az adathalászat módjait

Az egyik legelterjedtebb „stratégia”, amikor egy bank vagy más pénzintézet nevében e-mailt küldenek az áldozatoknak, amelyben megkérik az adott személyt, hogy egy általuk létrehozott, valótlan adatlapot töltsön ki, ahol hitelesítenie kell az adatait. Ezeket az üzeneteket általában mindenki által ismert és megbízható cégek logójával látják el, valamint különböző azonosítókat helyeznek el rajtuk, hogy valódiságukkal kapcsolatosan ne merüljenek fel kétségek. A címzettek közé leggyakrabban gondosan összeválogatott módon közép- és felsővezetők, vállalkozók és cégtulajdonosok kerülnek, de előfordulnak például nyugdíjasokat vagy diákokat célzó támadások is. A profi bűnözők levelei olyan kiválóan megfogalmazott, szépen felépített tartalommal bírnak, hogy alig lehet őket kiszűrni, nagy valószínűséggel meg is nyitják őket az áldozatok.

Ahogy a támadásokat egyre célratörőbben és profibb szinten művelik, a vállalatok is egyre védtelenebbé válnak. Mindezek tudatában egyáltalán nem meglepő, hogy jelenlétük óriási veszélyforrás a vállalati IT-védelem számára. A fokozódó térnyerésüknek köszönhetően viszonylag nehéz őket felismerni és semlegesíteni, az igazán ügyes adathalászok távolról vezérlik a hálózati végpontokat és hosszú időn keresztül képesek észrevétlenek maradni a hálózaton, ezalatt pedig óriási mennyiségű adatot képesek ellopni.

A közösségi média oldalai a bűnözőknek óriási segítségükre vannak, hiszen sokan felelőtlenül osztják meg a legszemélyesebb információkat is, nem számolva azzal, hogy felhasználhatják ellenük. Érdemes azokat a biztonsági rendszereket is gyakran frissíteni és ellenőrizni, amelyek az adathalászat ellen védenek bennünket, ugyanis ezek a programok több esetben nem rendelkeznek reális és hatékony adatbázissal, amivel blokkolhatnák a hamis üzeneteket.

A vállalatoknak óvatosnak kell lenniük azokkal a külsős munkatársakkal vagy az otthonról dolgozó munkavállalókkal, akik hozzáférnek a cég hálózatához egy nem megfelelő védelemmel ellátott eszközről – például egy titkosítatlan kommunikációs csatornán keresztül.  Ugyanez az óvatosság vonatkozik a manapság hasznos, ámde lehetséges veszélyforrásként működő publikus megosztó- és/vagy fájlszinkronizáló alkalmazásokra. Ezeket a szolgáltatásokat ugyanis egyre elterjedtebben használják a munkavállalók home office-ban, kiküldetésben vagy az irodától távol, de megannyi problémát okozhat, ha olyan eszközön működteti, ami nincs ellátva a megfelelő védelemmel.

Ezeken túl még érdemes óvakodni az olyan helyzetektől, amikor a munkavállaló meggondolatlanul tölt le a munkájához nem feltétlen szükséges vagy nem ellenőrzött programokat, vagy a vállalati email-rendszer helyett más online levelezőszolgáltatást vesz igénybe. Ugyancsak problémát jelenthetnek a differens bothálózatok, a telefonokat támadó mobilvírusok, a zsarolóprogramok és a manipulált keresési találatok is.

Ezek elkerülése érdekében egyre elterjedtebbek azok a képzések, amelyek a munkavállalókat készítik fel a megelőzésre, az adathalászok azonosítására és tartalmazzák a kiberbiztonsághoz szükséges fontosabb feladatok elsajátítását is.

 

 

 
Önkiszolgáló képzés

Az internet lehetőséget ad rá, hogy a munkatársak önállóan, egy interaktív anyagot végigkattintgatva tanuljanak a biztonságról. Ilyen például a Wombat Security online képzése átverős emailek, biztonságos mobil alkalmazások és adathalászat kapcsán.

Szórakoztatóan is lehet

Egy amerikai cég, a Popcorn Training rájött arra, hogy a számos munkatárs számára száraznak és unalmasnak tűnő biztonsági oktatás sokkal jobban eladható, ha bevetik a tartalommarketing két erős fegyverét: a történetmesélést és a szórakoztatást. Ezért ismert komikusokkal összefogva elkészítették 8 részből álló StandUps 4 Security videó sorozatukat. Például az első részben a munkatársak étteremben, borbélynál, bárban sztorizva mesélik el, mekkora kavarodást okozott, amikor váratlanul leállt a cég pénzügyi rendszere, és milyen kínos, hogy mindennek egy felelőtlenül kattintgató kolléga volt az oka. Ez a fajta megközelítés biztos, hogy sokkal jobban megragadja a célközöséget, mint pusztán a száraz statisztikai adatok ismertetése.

 

 

Alapvető védekezés az adathalászat ellen

  • Emailben kapott felszólításra soha ne adjuk meg a felhasználónév-jelszó párosunkat, bankunk vagy más velünk szerződésben álló valós cég nem kéri ilyen módon ezeket!
  • Mielőtt levélben kapott bármilyen linkre vagy gombra kattintanánk, ellenőrizzük a feladó email-címének valódiságát, és ha gyanúsnak találjuk, hívjuk az ügyfélszolgálatot telefonon!
  • A személyes és céges adatokat egyaránt védjük titkosítási technológiákkal!
  • Ne kapcsoljuk ki az olyan alapvető biztonsági rendszereket, mint a vírusvédelem és a tűzfal.

Cégek számára pedig erősen ajánlott, hogy ha olyan adathalász támadás jut a tudomásukra, amelyet vagy a vállalat nevében, vagy a munkatársakat célozva követnek el, akkor azt azonnal közzé kell tenni a megfelelő nyilvános vagy belső felületen, így figyelmeztetve a potenciális áldozatokat.