Sužinojimas apie sukčiavimą: kaip tai vyksta ir kaip to išvengti
Kodėl nusikaltėliai naudoja sukčiavimo ataką?
Kokia yra didžiausia saugumo spraga organizacijoje?
Žmonės!
Kai jie nori užkrėsti kompiuterį arba gauti prieigą prie svarbių informacija pvz., sąskaitų numerių, slaptažodžių ar PIN numerių, jiems tereikia paklausti.
Phishing išpuoliai yra įprasti, nes jie:
- Lengva padaryti – 6 metų vaikas gali įvykdyti sukčiavimo ataką.
- Keičiamo dydžio – Jie svyruoja nuo sukčiavimo spygliuočių atakų, kurios smogė vienam asmeniui, iki išpuolių prieš visą organizaciją.
- Labai veiksminga - 74% organizacijų patyrė sėkmingą sukčiavimo ataką.
- „Gmail“ paskyros kredencialai – $80
- Kreditinės kortelės PIN kodas – $20
- Internetinio banko kredencialai sąskaitoms su mažiausiai 100 USD juose - $40
- Banko sąskaitos su mažiausiai 2,000 USD - $120
Tikriausiai galvojate: „Oho, mano sąskaitos eina už mažiausią dolerį!
Ir tai tiesa.
Yra ir kitų tipų sąskaitų, kurių kaina yra daug didesnė, nes pinigų pervedimus lengviau laikyti anoniminiais.
Paskyros, kuriose saugoma kriptovaliuta, yra sukčiavimo sukčių pagrindinis prizas.
Einamieji kriptovaliutų sąskaitų įkainiai yra šie:
- monetų bazė – $610
- Blockchain.com – $310
- Binance - $410
Taip pat yra ir kitų nefinansinių sukčiavimo atakų priežasčių.
Sukčiavimo atakas nacionalinės valstybės gali naudoti siekdamos įsilaužti į kitas šalis ir išgauti jų duomenis.
Išpuoliai gali būti skirti dėl asmeninių kerštų ar net siekiant sugriauti korporacijų ar politinių priešų reputaciją.
Sukčiavimo atakų priežasčių yra begalė...
Kaip prasideda sukčiavimo ataka?
Sukčiavimo ataka paprastai prasideda tuo, kad nusikaltėlis iškart išeina ir pasiunčia jums žinutę.
Jie gali jums paskambinti, išsiųsti el. laišką, trumpąją žinutę arba SMS.
Jie gali teigti, kad dirba banke, kitoje įmonėje, su kuria bendradarbiaujate, vyriausybinėje įstaigoje ar net apsimeta, kad yra kažkas jūsų organizacijoje.
Sukčiavimo el. laiške gali būti paprašyta spustelėti nuorodą arba atsisiųsti ir paleisti failą.
Galite manyti, kad tai teisėtas pranešimas, spustelėkite nuorodą jų pranešime ir prisijunkite prie organizacijos, kuria pasitikite, svetainės.
Šiuo metu sukčiavimo sukčiavimas baigtas.
Perdavėte savo privačią informaciją užpuolikui.
Kaip apsisaugoti nuo sukčiavimo atakos
Pagrindinė strategija siekiant išvengti sukčiavimo atakų yra mokyti darbuotojus ir didinti organizacijos sąmoningumą.
Daugelis sukčiavimo atakų atrodo kaip teisėti el. laiškai ir gali praeiti per šlamšto filtrą ar panašius saugos filtrus.
Iš pirmo žvilgsnio žinutė ar svetainė gali atrodyti tikroviškai naudojant žinomą logotipo išdėstymą ir pan.
Laimei, aptikti sukčiavimo atakas nėra taip sunku.
Pirmas dalykas, į kurį reikia atkreipti dėmesį, yra siuntėjo adresas.
Jei siuntėjo adresas yra svetainės domeno, prie kurio galbūt esate pripratę, variantas, galite elgtis atsargiai ir nespausti nieko el. laiško tekste.
Taip pat galite peržiūrėti svetainės adresą, į kurį esate nukreipti, jei yra kokių nors nuorodų.
Kad būtumėte saugūs, naršyklėje turėtumėte įvesti organizacijos, kurioje norite aplankyti, adresą arba naudoti naršyklės parankinius.
Saugokitės nuorodų, ant kurių užvedus pelės žymeklį rodomas domenas, kuris nėra tas pats, kas el. laišką siunčianti įmonė.
Atidžiai perskaitykite pranešimo turinį ir skeptiškai vertinkite visus pranešimus, kuriuose prašoma pateikti savo asmeninius duomenis arba patikrinti informaciją, užpildyti formas arba atsisiųsti ir paleisti failus.
Be to, neleiskite, kad pranešimo turinys jūsų suklaidintų.
Užpuolikai dažnai bando jus išgąsdinti, kad paskatintų jus spustelėti nuorodą arba atlygintų už jūsų asmeninių duomenų gavimą.
Pandemijos ar nacionalinės nepaprastosios padėties metu sukčiavimo sukčiai pasinaudos žmonių baimėmis ir naudos temos eilutės ar pranešimo turinį, kad įgąsdintų jus, kad imtumėte veiksmų ir spusteltumėte nuorodą.
Taip pat patikrinkite, ar el. laiške ar svetainėje nėra rašybos ar gramatikos klaidų.
Kitas dalykas, kurį reikia nepamiršti, yra tai, kad dauguma patikimų įmonių paprastai neprašo jūsų siųsti slaptų duomenų žiniatinkliu ar paštu.
Štai kodėl niekada neturėtumėte spustelėti įtartinų nuorodų arba pateikti kokių nors neskelbtinų duomenų.
Ką daryti, jei gaunu sukčiavimo el. laišką?
Jei gaunate pranešimą, kuris atrodo kaip sukčiavimo ataka, turite tris parinktis.
- Ištrink tai.
- Patikrinkite pranešimo turinį susisiekę su organizacija tradiciniu komunikacijos kanalu.
- Galite persiųsti pranešimą savo IT saugos skyriui tolesnei analizei.
Jūsų įmonė jau turėtų tikrinti ir filtruoti daugumą įtartinų el. laiškų, tačiau bet kas gali tapti auka.
Deja, sukčiavimo sukčiavimas internete kelia vis didesnę grėsmę, o blogiukai nuolat kuria naujas taktikas, kaip patekti į jūsų pašto dėžutę.
Atminkite, kad galiausiai jūs esate paskutinis ir svarbiausias apsaugos nuo sukčiavimo bandymų sluoksnis.
Kaip sustabdyti sukčiavimo ataką prieš tai įvykstant
Kadangi sukčiavimo atakų veiksmingumas priklauso nuo žmogiškųjų klaidų, geriausias pasirinkimas yra mokyti savo verslo žmones, kaip išvengti masalo.
Tai nereiškia, kad turite surengti didelį susitikimą ar seminarą, kaip išvengti sukčiavimo atakos.
Yra geresnių būdų, kaip rasti saugumo spragų ir pagerinti žmogaus reakciją į sukčiavimą.
2 žingsniai, kurių galite imtis, kad išvengtumėte sukčiavimo sukčiavimo
A sukčiavimo simuliatorius yra programinė įranga, leidžianti imituoti sukčiavimo ataką prieš visus jūsų organizacijos narius.
Sukčiavimo simuliatoriuose paprastai pateikiami šablonai, padedantys paslėpti el. laišką kaip patikimą pardavėją arba imituoti vidinius el. pašto formatus.
Sukčiavimo simuliatoriai ne tik sukuria el. laišką, bet ir padeda sukurti netikrą svetainę, kurioje gavėjai įves savo kredencialus, jei neišlaikys testo.
Užuot barti juos dėl patekimo į spąstus, geriausias būdas susidoroti su situacija yra pateikti informaciją, kaip įvertinti sukčiavimo el. laiškus ateityje.
Jei kas nors neišlaiko sukčiavimo testo, geriausia tiesiog nusiųsti jam patarimų, kaip aptikti sukčiavimo el. laiškus, sąrašą.
Jūs netgi galite naudoti šį straipsnį kaip nuorodą savo darbuotojams.
Kitas svarbus gero sukčiavimo simuliatoriaus pranašumas yra tai, kad galite įvertinti žmonių grėsmę savo organizacijoje, kurią dažnai sunku numatyti.
Darbuotojų apmokymas iki saugaus švelninimo lygio gali užtrukti iki pusantrų metų.
Svarbu pasirinkti tinkamą sukčiavimo imitavimo infrastruktūrą, atitinkančią jūsų poreikius.
Jei atliekate sukčiavimo modeliavimą vienoje įmonėje, jūsų užduotis bus lengvesnė
Jei esate MSP arba MSSP, jums gali tekti atlikti sukčiavimo bandymus keliose įmonėse ir vietose.
Naudotojams, vykdantiems kelias kampanijas, geriausias pasirinkimas būtų pasirinkti debesies pagrindu sukurtą sprendimą.
„Hailbytes“ sukonfigūravome „GoPhish“., vienas iš populiariausių atvirojo kodo sukčiavimo sistemų paprastas naudoti egzempliorius AWS.
Daugelis sukčiavimo simuliatorių gaminami pagal tradicinį „Saas“ modelį ir su jais yra susietos griežtos sutartys, tačiau „GoPhish“ AWS yra debesies paslauga, kai mokama pagal skaičiuojamą tarifą, o ne pagal 1 ar 2 metų sutartį.
2 žingsnis. Saugumo suvokimo mokymas
Pagrindinis privalumas suteikiant darbuotojams saugumo supratimas mokymai apsaugo juos nuo tapatybės vagystės, banko vagystės ir pavogtų verslo įgaliojimų.
Saugumo supratimo mokymai yra labai svarbūs siekiant pagerinti darbuotojų gebėjimą pastebėti sukčiavimo bandymus.
Kursai gali padėti išmokyti darbuotojus aptikti sukčiavimo bandymus, tačiau tik keli kursai skirti mažosioms įmonėms.
Jums, kaip smulkaus verslo savininkui, gali kilti pagunda sumažinti kursų išlaidas atsiųsdami keletą „YouTube“ vaizdo įrašų apie saugumo supratimą…
bet personalas retai prisimena tokio tipo treniruotės ilgiau nei kelias dienas.
„Hailbytes“ turi kursą, kuriame yra greitų vaizdo įrašų ir viktorinų derinys, kad galėtumėte stebėti savo darbuotojų pažangą, įrodyti, kad taikomos saugos priemonės, ir žymiai sumažinti galimybę patirti sukčiavimo sukčiavimą.
Galite peržiūrėti mūsų kursą apie Udemy čia arba spustelėti toliau pateiktą kursą:
Jei norite vykdyti nemokamą sukčiavimo simuliaciją, kad apmokytumėte savo darbuotojus, eikite į AWS ir patikrinkite „GoPhish“!
Pradėti lengva ir visada galite susisiekti su mumis, jei reikia pagalbos nustatant.
