Kaip pasakoja kibernetinio saugumo ekspertas Andrius Ribinskas, atliekant įmonių saugumo auditus, phishing el. laiškus jam tenka siųsti bent kartą per ketvirtį.
„Rezultatai visada būna panašūs. Mano patirtimi – bent 15 proc. gavėjų atskleidžia jautrią informaciją (dažniausiai – prisijungimo duomenis). Įdomiausia tai, kad įmonės, kurios audito metu jau turi patirties phishing srityje, nebūna labiau atsparesnės šioms atakoms“, – teigia A. Ribinskas.
Tačiau pasaulinė statistika – kur kas liūdnesnė. Remiantis „Verizon“ duomenimis, 22 proc. visų duomenų vagysčių įvyko naudojant būtent phishing. 88 proc. kompanijų visame pasaulyje susidūrė su įvairių formų phishing, tiesa – ne visos atakos buvo pavykusios. Pavyzdžiui, JAV jų sėkmė yra maždaug 65 proc. – vadinasi, daugiau nei pusę atvejų programišiams pavyksta pasisavinti aukos duomenis. El. paštas – populiariausia phishing atakų priemonė. Skaičiuojama, kad 96 proc. jų atliekama būtent naudojant el. paštą, taigi tam reikėtų skirti ypatingai daug dėmesio.
Phishing el. laiškų struktūra dažnu atveju panaši. „Dažniausiai tai – kvietimai pasinaudoti paslaugomis nemokamai, ar su didele nuolaida. Taip pat – kažkokių viduje naudojamų web aplikacijų kopijos, kuriomis prašoma atnaujinti prisijungimo informaciją, ar įjungti naują funkcionalumą“, – pasakoja A. Ribinskas.
Visų mūsų duomenys internete turi vertės. Bet per phishing atakas įmonėse paprastai bandoma pasisavinti darbuotojų prisijungimus prie vidinių sistemų.
„Klasikinio socialinės inžinerijos audito metu, vartotojų prašoma suvesti slaptažodžius prie įvairių vidinių sistemų. Šios informacijos atskleidimas yra atakos vykdytojo tikslas“, – aiškina kibernetinio saugumo ekspertas.
Tada nusikaltėliai bando perimti įmonės paskyras, gauti prieigą prie vidinių organizacijos resursų.
„Atakos metu užvaldytos paskyros taip pat gali būti naudojamos tolimesniam atakų planavimui, ir dažnai priveda prie visiško organizacijos IT resursų užvaldymo“, – teigia A. Ribinskas.
Phishing atakos „Facebook“ ir „Google“ kainavo bent 100 mln. JAV dolerių. Belgų „Crelan“ bankui – 75 mln. JAV dolerių, australų aeronautikos kompanijai FACC – 61 mln. JAV dolerių. Tai – kol kas brangiausios phishing vagystės.
Nors phishing atakos metodas – senas, tačiau, kadangi prisitaiko pagal šių dienų aktualijas, gali apgauti net pačius akyliausius. Anot A. Ribinsko, pastaraisiais mėnesiais phishing el. laiškai būna COVID-19 tematikos.
„Kartais naudojami duomenys iš įvairių trečiųjų šalių šaltinių, kad kuo labiau personalizuotų atakas. Pavyzdžiui, gan pagarsėjusioje „Sextortion“ kampanijoje (kai iš aukų buvo bandoma išvilioti pinigų, tikinant, kad turima informacijos apie tai, ką jie veikia pornografijos portaluose, – aut. past.). Pasitaiko labai pažengusių atakos tipų, kai naudojami „reverse proxy“ serveriai, siekiant apeiti dviejų veiksnių autentifikacijos mechanizmus“, – teigia A. Ribinskas.
A. Ribinsko teigimu, vienintelis būdas įmonėms apsisaugoti nuo to, kad per phishing atakas nebūtų nusavinti jautrūs ir vertingi duomenys – darbuotojų švietimas ir dažnas socialinės inžinerijos atakų simuliavimas. „Tai – pagrindiniai įrankiai norint pagerinti saugumą organizacijos viduje“, – aiškina A. Ribinskas.
O darbuotojams – patarimai taip pat gana šabloniški. „Neatidarinėti prisegtų failų iš nežinomų siuntėjų, nespausti ant įtartinų nuorodų, įsitikinti, kad visos nuorodos naudoja saugų protokolą (HTTPS), stengtis įžvelgti typosquating atakų požymius – pavyzdžiui, kai vietoj .lt domeno vardo naudojamas .It (didžioji i). Taip pat rekomenduoju tiesiog domėtis šiomis atakomis, kaip jos atrodo ir kokiais keliais pasiekia darbuotojų el. pašto dėžutes“, – pataria A. Ribinskas.
Užsakymo nr.: PT_85404977