Co znajdziesz w tym materiale:
Przestępcy stosują wiele technik w celu wyłudzenia poufnych informacji. Potrafią oni wykraść dane z kart, rachunków bankowych, a nawet danych logowania, które zostały zapisane na Twoim urządzeniu. Jedną z metod oszustów jest natomiast phishing. Być może słowo to brzmi śmiesznie jednak to co ono oznacza to z całą pewnością nic zabawnego szczególnie dla ofiary tego przestępstwa. Nie, nie chodzi tu o łowienie ryb. Chodzi o bezpieczeństwo Twojego przedsiębiorstwa.
Phishing to złośliwa praktyka wykorzystywana przez cyberprzestępców w celu pozyskania poufnych informacji, a szczególnie: danych karty płatniczej, loginów i haseł, numerów PESEL i dowodu.
Oszust podszywa się pod zaufane instytucje lub osoby za pomocą fałszywych komunikatów elektronicznych, takich jak e-maile, SMS-y, komunikatory oraz portale społecznościowe. Nazwa phishing nawiązuje do angielskiego słowa fishing, czyli łowienie ryb – co odzwierciedla metodę działania przestępców, którzy wykorzystują atrakcyjne przynęty w postaci zmyślonych informacji lub wiadomości.
Phishing a bezpieczeństwo firmy
Jeśli wydawało Ci się, że ten problem nie dotyczy Twojej firmy, a jedynie ofiarami oszustów są ludzie starsi, albo słabo odnajdujący się w cyfrowej rzeczywistości jesteś w błędzie! Firmy, a szczególnie te nieświadome tego jakich metod używają przestępcy, to świetne cele phishingu. Cyberprzestępcy wiedzą, że wiele marek nie zabezpiecza się przed atakami i nie szkoli swoich pracowników. Niestety skutki phishingu są długotrwałe i trudne do naprawienia.
Porozmawiaj z ekspertem 🎯
Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.
O jakie sytuacje zatem chodzi?
Najczęstszym skutkiem ataku phishingowego jest kradzież danych przedsiębiorstwa. Jeśli osoba podszywająca się pod zaufane źródło nakłoni ofiarę, na przykład Twojego pracownika, do ujawnienia swoich danych logowania do konta bankowego lub innych serwisów online, może to prowadzić do poważnych konsekwencji.
Zainfekowanie urządzenia złośliwym oprogramowaniem – jeśli Ty lub Twój pracownik kliknie w złośliwy link lub załącznik w phishingowej wiadomości, to zainfekuje urządzenie złośliwym oprogramowaniem. Skutki takiego działania są katastrofalne, ponieważ prowadzą do utraty kontroli nad urządzeniem oraz nad całym systemem informatycznym.
Utrata środków finansowych – kradzież danych finansowych prowadzi do bezpośredniej utraty środków finansowych przedsiębiorstwa. Cyberprzestępcy wykorzystują ukradzione informacje do dokonywania nieautoryzowanych transakcji lub wyłudzania pieniędzy z kont bankowych ofiary.
Rodzaje phishingu
Istnieje szereg różnych rodzajów ataków phishingowych, które cyberprzestępcy wykorzystują w celu pozyskania poufnych informacji lub szybkiego wzbogacenia się poprzez kradzież danych karty płatniczej. Im lepiej poznasz rodzaje phishingu, tym lepiej nauczysz się przed nim zabezpieczać.
Spear Phishing – w przypadku Spear Phishingu ataki są skierowane na konkretne osoby lub organizacje. Oszuści dokładnie przygotowują się do tych ataków – starannie badają swoje ofiary i wykorzystują zebrane informacje do spersonalizowania wiadomości. Często ofiarami są pracownicy firm, a celem jest pozyskanie poufnych danych firmowych.
Clone Phishing – ten rodzaj ataku polega na klonowaniu autentycznych wiadomości e-mail. Przestępca wykorzystuje prawdziwy szablon wiadomości, wprowadzając jedynie zmiany w linkach prowadzących do złośliwych stron internetowych. Ofiara może być przekonana, że otrzymuje wiadomość od zaufanego nadawcy, na przykład kontrahenta.
Whaling – to forma ataku spersonalizowanego, którego celem są osoby zajmujące najwyższe stanowiska w firmie. W tym przypadku szczególnie narażeni są dyrektorzy i prezesi dużych spółek. Oszuści robią wszystko, aby pozyskać wrażliwe dane.
Brand Phishing – w tym rodzaju ataku przestępcy podszywają się pod znane przedsiębiorstwa lub usługi, które są związane z atakowaną firmą. Mogą to być na przykład dostawcy usług, z którymi firma współpracuje regularnie. Cel jest taki sam – pozyskanie poufnych danych poprzez wprowadzenie ofiary w błąd co do autentyczności wiadomości.
Spoofing – spoofing polega na fałszowaniu adresów domen, aby wiadomość wyglądała tak, jakby pochodziła od zaufanej organizacji. Cyberprzestępca może podszyć się pod autentyczną domenę, aby jego wiadomość wydawała się bardziej wiarygodna i mniej podejrzana dla ofiary.
Smishing – ten rodzaj ataku wykorzystuje wiadomości SMS z zainfekowanymi linkami, które prowadzą do złośliwych stron internetowych. Oszuści wykorzystują popularność komunikacji za pomocą wiadomości tekstowych. Pamiętaj, że oszuści mogą działać również za pomocą portali społecznościowych – nie tylko wiadomość SMS powinna być przez Ciebie dokładnie analizowana.
Najpopularniejsze metody phishingu
Cyberprzestępcy często maskują się jako renomowane instytucje finansowe, serwisy internetowe lub nawet znajomi. Wszystko po to, aby zwiększyć prawdopodobieństwo, że ofiara uwierzy w autentyczność przekazu. Taktyki te są wyrafinowane i coraz bardziej wyraźnie ukierunkowane, aby zmylić użytkowników i skłonić ich do podjęcia nieświadomych działań, na przykład pobrania złośliwego oprogramowania lub udostępnienia swoich poufnych danych.
Najbardziej powszechną formą phishingu są fałszywe e-maile, które często zawierają linki prowadzące do stron internetowych udających autentyczne serwisy, gdzie ofiary są proszone o podanie swoich danych logowania lub innych poufnych informacji. Dodatkowo, oszuści wykorzystują także komunikatory i media społecznościowe jako platformy do przeprowadzania ataków. Pamiętaj, że fałszywe wiadomości trafiają nie tylko do osób prywatnych – również duże firmy mogą stać się celem cyberprzestępców.
Newsletter dla e-biznesu 🎉
Zapisz się do newslettera, uzyskaj dostęp do unikalnych treści tworzonych przez prawników naszej kancelarii oraz otrzymuj informacje o najważniejszych aktualnościach prawnych.
Klikając przycisk „Zapisuję się” wyrażasz zgodę na otrzymywanie od nas newsletterów i akceptujesz Regulamin. Będziemy przetwarzać Twoje imię oraz adres e-mail w celu przesyłania Ci informacji handlowych. Administratorem Twoich danych osobowych jest Kancelaria Prawna Kantorowski, Głąb i Wspólnicy Sp.j. Szczegółowe informacje znajdziesz w naszej Polityce prywatności.
Przeciwdziałanie phishingowi
Podanie poufnych informacji niesie wiele problemów, dlatego każda firma powinna wiedzieć, jak przeciwdziałać cyberprzestępcom. Jeśli chcesz chronić dane logowania lub każdy z numerów kart kredytowych, które używane są w Twoim przedsiębiorstwie, to wykorzystaj kilka skutecznych metod:
Ogranicz zaufanie – kiedy otrzymasz wiadomość SMS lub mail, który wydaje Ci się podejrzany, to dokładnie przeanalizuj jego treść i nie klikaj od razu w linki. Oszuści bardzo często wysyłają wiadomości o przesyłce pocztowej, kiedy odbiorca nawet nie zamawiał żadnego produktu przez Internet. Tak samo jest w przypadku faktur. Jeśli nie zalegasz z żadnymi opłatami, a otrzymasz fakturę od swojego kontrahenta, zadzwoń do niego i dopytaj, czy to właśnie on wysłał dokument.
Sprawdzaj nadawców – na pierwszy rzut oka adresy e-mail oszustów nie będą wydawać Ci się podejrzane, ale kiedy lepiej się przyjrzysz, to zauważysz, że zawierają one dziwną literówkę lub dodatkową literę. Niekiedy login adresata jest po prostu skrócony lub wręcz przeciwnie – zawiera dodatkowe słowo, które może kojarzyć się z marką.
Spójrz na adresy URL – oszuści wiedzą, jak działać, dlatego bardzo często w wiadomości e-mail jest anchor, a nie czysty link. Natomiast w przypadku SMS nie da się tak starannie ukryć linków, dlatego możesz przypatrzeć się domenie. Otrzymałeś wiadomość od kuriera, ale widzisz, że domena, do której prowadzi link, ma dziwny zlepek słów lub cyfr? Oznacza, to, że coś jest nie tak.
Postaw na skomplikowane hasła – wiele firm daje swoim pracownikom wspólne hasło do dokumentów czy innych plików. Najczęściej hasło to jest łatwe do zapamiętania. Oszuści lubią takie sytuacje, dlatego nie daj im satysfakcji. Zadbaj o to, aby każdy pracownik miał swoje własne hasło. Powinno być one skomplikowane, czyli zawierać wielką literę, cyfry, a nawet znaki specjalne.
Nie zapisuj haseł – ani Ty, ani Twoi pracownicy nie powinniście zapisywać na sprzęcie haseł, ponieważ cyberprzestępcy celują w pęk kluczy. Oznacza to, że jeden atak wystarczy im, aby otrzymać wszystkie zapisane dane logowania.
Wprowadź uwierzytelnianie wieloskładnikowe – taki zabieg to dodatkowe zabezpieczenie, które polega na dodatkowej weryfikacji tożsamości użytkownika podczas logowania. Uwierzytelnianie wieloskładnikowe może odbywać się za pomocą kodu przychodzącego na podany wcześniej numer telefonu.
Szkól pracowników – nie oczekuj od swoich pracowników, że będą oni wiedzieli, jak działa phishing. To Twoim zadaniem jest wprowadzić regularne szkolenia z tego zakresu. Współpracuj ze swoim działem IT lub zleć szkolenie zewnętrznej firmie, która powie Twoim pracownikom więcej o działaniach cyberprzestępców.
Zastrzeżenie numeru PESEL może być również dobrym pomysłem. Do tego sprawdzanie numerów rachunków bankowych, szczególnie w sytuacji wykonywania przelewów znacznych sum – będzie dobrą praktyką.
Podsumowanie
Phishing stanowi realne zagrożenie dla firm, dlatego jako przedsiębiorca musisz wykazywać się szczególną ostrożnością i świadomością tych zagrożeń. Przestępcy coraz częściej wybierają za cel ataków nie osoby fizyczne, ale również firmy – zarówno duże, jak i małe. W związku z tym, realnie oceniając ryzyko, powinieneś stosownie się zabezpieczyć, korzystając m.in. z profesjonalnych usług prawnych nie tylko po fakcie, ale również, a może przede wszystkim, prewencyjnie aby zminimalizować ryzyko wystąpienia przestępstwa.
Mateusz Kwilosz
ADWOKAT
Zajmuję się sprawami z zakresu prawa karnego i karno – skarbowego. Specjalizuję się również w prawie cywilnym ze szczególny uwzględnieniem spraw odszkodowawczych i rynku ubezpieczeń Przedsiębiorcom pomagam głównie w procesach sądowych, a także w zabezpieczeniu umów i biznesu.
Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.