Jak ochronić swoją firmę przed phishingiem
Wielu z nas na pewno kojarzy słowo „phishing” w kontekście ochrony swoich danych osobowych przed oszustami, którzy chcą je od nas wyłudzić przez e-mail. A czy myślimy o nim również w kontekście swojego biznesu?
Pomimo, iż większość firmowych skrzynek e-mail i platform IT posiada zabezpieczenia wychwytujące większość e-maili od oszustów, niewielka część nadal przedostaje się do naszych skrzynek odbiorczych. Dlatego ważne jest, aby pracownicy firm wiedzieli, jak je rozpoznać i zgłaszać.
Cyberprzestępcy wykazują się coraz większym sprytem i są w stanie zastosować kilka technik „inżynierii społecznej”, aby obejść zabezpieczenia ochronne. Na przykład, po wpisaniu „dyrektor finansowy wpisz_nazwę-firmy” w wyszukiwarce Google, najprawdopodobniej pokaże się nam imię i nazwisko tej osoby. Posiadając tę informację można wysłać fałszywego e-maila do innych pracowników z tej firmy zachęcając ich do kliknięcia na łącze lub do pobrania dokumentu zawierającego szkodliwą zawartość.
Istnieje większa szansa, że pracownik danej firmy podejmie działania (kliknięcie na link/pobranie treści), o które został poproszony w e-mailu, jeśli e-mail ten został wysłany przez współpracownika, zwłaszcza wyższego szczebla.
Jak rozpoznać wiadomość e-mail wyłudzającą dane
Kluczowym elementem wiadomości phishingowej jest nakłanianie adresata do podjęcia natychmiastowego działania. Dlatego najczęściej w tytule tego typu e-maili znajdziemy słowa: „pilny”, „prośba”,„ważne”, „płatność” i „uwaga”.
Oczywiście cyberprzestępcy dopilnują, żeby e-mail wyglądał na firmowy, aby skłonić nas do połknięcia haczyka. Wiadomość, w której znajdziemy informację, że nasze konto Amazon/Netflix/PayPal/Apple itd. zostanie zablokowane, to klasyczny przykład takiego oszustwa. W związku z pandemią COVID-19 pojawiła się też duża liczba fałszywych e-maili rzekomo od HMRC oferujących ulgi podatkowe lub od Światowej Organizacji Zdrowia bądź NHS z ofertą przyspieszonej szczepionki (za opłatą).
Ważne jest zatem przeszkolić pracowników w kwestii phishingu, aby wiedzieli, jak oszuści próbują dotrzeć do firm, jak rozpoznać tego typu e-maile i jak je zgłaszać. Można też poprosić zespół IT o stworzenie baneru dla wszystkich wiadomości przychodzących spoza firmy zawierający informację, że dany e-mail został wysłany z zewnątrz – tak jak w poniższym przykładzie.
Jak zgłosić e-mail z phishingiem?
W przypadku braku pewności, czy wiadomość poczty elektronicznej jest prawdziwa czy nie, lepiej dmuchać na zimne. W poczcie Outlook możemy w prosty sposób sprawdzić, czy dany e-mail jest szkodliwy – służy ku temu przycisk PhishAlarm® znajdujący się w prawym górnym rogu Outlooka lub w samym e-mailu. Z kolei w wersji internetowej wystarczy kliknąć na 3 kropki w prawym górnym rogu e-maila oznaczonych jako „More Actions”, a następnie wybrać „Report Phish”.
Po kliknięciu na ten przycisk, postępujemy zgodnie z poleceniami, a dana wiadomość e-mail zostanie usunięta z naszej skrzynki odbiorczej, a następnie przeanalizowana i sklasyfikowana. Po zakończeniu tego procesu otrzymamy informację, czy e-mail ten był szkodliwy czy nie. Jeśli nie stanowił zagrożenia, to wróci do folderu spam w naszej skrzynce. W przypadku poczty grupowej, procedura ta wygląda dokładnie tak samo. Zgłaszając potencjalnie groźne wiadomości e-mail, pomagamy je rozpoznać w przypadku, gdy trafią ponownie do skrzynki firmowej, a także usunąć je i chronić przedsiębiorstwo.
W przypadku braku dodatku w Outlooku, można go aktywować samodzielnie postępując zgodnie z instrukcjami na stronie Microsoft.