Jak ochronić swoją firmę przed phishingiem

Wielu z nas na pewno kojarzy słowo „phishing” w kontekście ochrony swoich danych osobowych przed oszustami, którzy chcą je od nas wyłudzić przez e-mail. A czy myślimy o nim również w kontekście swojego biznesu? Pomimo, …

Wielu z nas na pewno kojarzy słowo „phishing” w kontekście ochrony swoich danych osobowych przed oszustami, którzy chcą je od nas wyłudzić przez e-mail. A czy myślimy o nim również w kontekście swojego biznesu?

Pomimo, iż większość firmowych skrzynek e-mail i platform IT posiada zabezpieczenia wychwytujące większość e-maili od oszustów, niewielka część nadal przedostaje się do naszych skrzynek odbiorczych. Dlatego ważne jest, aby pracownicy firm wiedzieli, jak je rozpoznać i zgłaszać.

Cyberprzestępcy wykazują się coraz większym sprytem i są w stanie zastosować kilka technik „inżynierii społecznej”, aby obejść zabezpieczenia ochronne. Na przykład, po wpisaniu „dyrektor finansowy wpisz_nazwę-firmy” w wyszukiwarce Google, najprawdopodobniej pokaże się nam imię i nazwisko tej osoby. Posiadając tę informację można wysłać fałszywego e-maila do innych pracowników z tej firmy zachęcając ich do kliknięcia na łącze lub do pobrania dokumentu zawierającego szkodliwą zawartość.

Istnieje większa szansa, że pracownik danej firmy podejmie działania (kliknięcie na link/pobranie treści), o które został poproszony w e-mailu, jeśli e-mail ten został wysłany przez współpracownika, zwłaszcza wyższego szczebla.

Jak rozpoznać wiadomość e-mail wyłudzającą dane

Kluczowym elementem wiadomości phishingowej jest nakłanianie adresata do podjęcia natychmiastowego działania. Dlatego najczęściej w tytule tego typu e-maili znajdziemy słowa: „pilny”, „prośba”,„ważne”, „płatność” i „uwaga”.

Oczywiście cyberprzestępcy dopilnują, żeby e-mail wyglądał na firmowy, aby skłonić nas do połknięcia haczyka. Wiadomość, w której znajdziemy informację, że nasze konto Amazon/Netflix/PayPal/Apple itd. zostanie zablokowane, to klasyczny przykład takiego oszustwa. W związku z pandemią COVID-19 pojawiła się też duża liczba fałszywych e-maili rzekomo od HMRC oferujących ulgi podatkowe lub od Światowej Organizacji Zdrowia bądź NHS z ofertą przyspieszonej szczepionki (za opłatą).

Ważne jest zatem przeszkolić pracowników w kwestii phishingu, aby wiedzieli, jak oszuści próbują dotrzeć do firm, jak rozpoznać tego typu e-maile i jak je zgłaszać. Można też poprosić zespół IT o stworzenie baneru dla wszystkich wiadomości przychodzących spoza firmy zawierający informację, że dany e-mail został wysłany z zewnątrz – tak jak w poniższym przykładzie.

Jak zgłosić e-mail z phishingiem?

W przypadku braku pewności, czy wiadomość poczty elektronicznej jest prawdziwa czy nie, lepiej dmuchać na zimne. W poczcie Outlook możemy w prosty sposób sprawdzić, czy dany e-mail jest szkodliwy – służy ku temu przycisk PhishAlarm® znajdujący się w prawym górnym rogu Outlooka lub w samym e-mailu. Z kolei w wersji internetowej wystarczy kliknąć na 3 kropki w prawym górnym rogu e-maila oznaczonych jako „More Actions”, a następnie wybrać „Report Phish”.

Po kliknięciu na ten przycisk, postępujemy zgodnie z poleceniami, a dana wiadomość e-mail zostanie usunięta z naszej skrzynki odbiorczej, a następnie przeanalizowana i sklasyfikowana. Po zakończeniu tego procesu otrzymamy informację, czy e-mail ten był szkodliwy czy nie. Jeśli nie stanowił zagrożenia, to wróci do folderu spam w naszej skrzynce. W przypadku poczty grupowej, procedura ta wygląda dokładnie tak samo. Zgłaszając potencjalnie groźne wiadomości e-mail, pomagamy je rozpoznać w przypadku, gdy trafią ponownie do skrzynki firmowej, a także usunąć je i chronić przedsiębiorstwo.

W przypadku braku dodatku w Outlooku, można go aktywować samodzielnie postępując zgodnie z instrukcjami na stronie Microsoft.

Udostępnij