Δημοσιεύθηκε: 02/10/20
Από: Dimitris Georgopoulos
Οι επιθέσεις Fishing εξαπλώνονται γρηγορότερα… και από τον Κορωνοϊό. Πως θα τις αντιμετωπίσουμε;

Εισαγωγή

 

Οι επιθέσεις Phishing  είναι μια διαδεδομένη τεχνική που χρησιμοποιείται από hackers, με σκοπό την απόσπαση πληροφοριών όπως π.χ. κωδικοί πρόσβασης, αριθμοί πιστωτικών καρτών,  τραπεζικοί λογαριασμοί,  από χρήστες του διαδικτύου. Πλέον,  στο στόχαστρο των hackers πρωταρχική θέση έχουν οι εργαζόμενοι σε εταιρείες καθώς προσπαθούν να αποσπάσουν εταιρικά δεδομένα.

Η επιτυχία μιας επίθεσης Phishing σε μια επιχείρηση, ανεξαρτήτως μεγέθους,  είναι σημαντική για τους hackers καθότι γνωρίζουν ότι έστω και το άνοιγμα ενός και μόνο Phishing e-mail μπορεί να δώσει πρόσβαση σε πολύτιμες πληροφορίες  μιας  εταιρείας.

Η Ελλάδα, σύμφωνα με τις έρευνες, βρίσκαται μέσα στις 10 πρώτες χώρες στόχους επιθέσεων Phishing  παγκοσμίως (8η θέση).

Τύποι Phishing Επιθέσεων

  • Standard Phishing: Προσπάθεια απόσπασης  πληροφορίων, όταν κάποιος προσποιείται ότι είναι ένα εξουσιοδοτημένο πρόσωπο ή οργανισμός που μπορεί να έχει πρόσβαση σε αυτές τις  πληροφορίες.
  • Malware Phishing: Εξαπάτηση χρηστών μέσω του ανοίγμστος συνδέσμου στο διαδίκτυο ή  με το άνοιγμα ή κατέβασμα ενός επισυναπτόμενου αρχείου,  εγκαθιστώντας  έτσι ένα κακόβουλο πρόγραμμα στη συσκευή του χρήστη.
  • Spear Phishing: Εντοπισμός στόχων (χρηστών) και μέσω της δημιουργίας μιας πειστικής ιστορίας  απόπειρα απόσπασης  πληροφοριών που θα οδηγήσουν σε απάτη.
  • SMISHING: Αποστολή κακόβουλων συνδέσμων, συνήθως από 5ψήφιους τηλεφωνικούς αριθμούς, με σκοπό την παραπλάνηση χρηστών smart phones.
  • Search Engine Phishing: Παρείσφρηση κακόβουλων συνδέσμων, συνήθως με τη μορφή πληρωμένων διαφημίσεων σε αποτελέσματα αναζήτησης δημοφιλών όρων στις γνωστές μηχανές αναζήτησης.
  • Vishing: Προσπάθεια απόσπασης πολύτιμων πληροφοριών, όπως στοιχεία χρεωστικών ή πιστωτικών καρτών, μέσω τηλεφωνικής επικοινωνίας.
  • Pharming: Ανακατεύθυνση των επισκεπτών μίας ιστοσελίδας σε άλλη παρόμοια παραπλανητική, με σκοπό την απόσπαση πληροφοριών του χρήστη.
  • Man-in-the-Middle: Παρακολούθηση από τρίτο άτομο της επικοινωνίας δύο ανυποψίαστων θυμάτων και απόσπαση προσωπικών πληροφοριών.
  • Business Email Compromise (BEC): Χρήση εταιρικών emails (τα οποία έχουν παραβιαστεί, αποκτώντας έτσι πρόσβαση σε όλα τα e-mails μιας εταιρείας) χρησιμοποιώντας στη συνέχεια ψευδείς πληροφορίες ώστε να  δίνοντας εντολές με σκοπό την πληρωμή ή την αγορά προϊόντων ή υπηρεσιών, μεταφορά χρημάτων, κλπ.
  • Malvertising: Παραπλάνηση με στοχευμένες ψεύτικες διαφημίσεις ή animation software σε ομάδες ατόμων. 

Οι επιθέσεις Phishing αυξάνονται λόγω και της εξ’ αποστάσεως εργασίας

 

Λόγω της πανδημίας πολλές εταιρείες εφαρμόζουν την εξ΄ αποστάσεως εργασία, όπου αρκετές φορές, είναι δύσκολο να τηρηθούν τα απαραίτητα μέτρα ασφάλειας,  με αποτέλεσμα οι επιθέσεις Phishing  να αυξάνονται ραγδαία.

Επιπτώσεις των επιθέσεων Phishing 

  • Το 39% των εταιρειών αντιμετώπισε μια επίθεση κατά τη διάρκεια τηλεδιάσκεψης (Acronis)
  • Το 31% των εταιρειών αναφέρουν καθημερινές κυβερνοεπιθέσεις (Acronis)
  • Ο μ.ο. των ζημιών στην οικονομία από την παραβίαση δεδομένων ανέρχεται σε 3,86 δισ. δολάρια (ΙΒΜ)
  • Περίπου 1,5 εκ. νέες Phishing ιστοσελίδες δημιουργούνται κάθε μήνα (Webroot)
  • Το 30% των Phishing e-mails ανοίγονται από τους χρήστες (Verizon)
  • Έχει υπολογιστεί ότι οι BEC απάτες ανέρχονται σε 12 δισ. δολάρια (FBI)
  • To 94% των κακόβουλων προγραμμάτων (malware) εγκαταστάθηκαν σε υπολογιστές με e-mail (Verizon)

Τα παραπάνω αποδυκνείουν την ελλειπή εφαρμογή μέτρων ασφάλειας σε συστήματα και την έλλειψη εκπαίδευσης των χρηστών. 

 

 Γιατί οι χρήστες συνεχώς γίνονται θύματα Fishing;

 

Σύμφωνα με έρευνα, οι χρήστες πιστεύουν ότι μπορούν να αναγνωρίσουν τα Phishing e-mails όταν τα λαμβάνουν και να τα αγνοήσουν. Στην πραγματικότητα όμως δεν συμβαίνει αυτό, γιατί πλέον τα περισσότερα Phishing e-mails δημιουργούνται τόσο προσεκτικά  και μοιάζουν πολύ  με τα τυπικά e-mails που στέλνουν γνωστές εταιρείες τις οποίες κάθε χρήστης γνωρίζει και εμπιστεύεται. Ενδεικτικά κάποιες από αυτές είναι: Apple, PayPal, Netflix, WhatsApp, τράπεζες, εταιρείες τηλεπικοινωνιών, κλπ.

Ενώ η δημιουργία κουλτούρας προστασίας πληροφοριών (security awereness) αποτελεί μέλημα σε πολλές εταιρείες, συνηθώς περιορίζεται στην έκδοση διαδικασιών και σε πολύ τυπική ενημέρωση.

Το ανθρώπινο λάθος εξακολουθεί να είναι η κυριότερη αιτία επιτυχίας μιας επίθεσης που τελικά μπορεί να έχει καταστροφικά αποτελέσματα. Με άλλα λόγια,  το να λες “μην ανοίγετε Phishing emails” δεν είναι αρκετό.

Μία επιτυχημένη επίθεση Phishing στηρίζεται σε τρεις βασικούς παράγοντες:

  • την έλλειψη γνώσεων του θύματος
  • την έλλειψη προσοχής του θύματος 
  • την οπτική εξαπάτηση.

Ο μέσος άνθρωπος ξέρει να χειρίζεται τις βασικές λειτουργίες του υπολογιστή και του διαδικτύου,  χωρίς όμως να γνωρίζει πως μπορεί να εξαπατηθεί. Έτσι, συνήθως δεν μπορεί να αναγνωρίσει μια ψεύτικη διεύθυνση e-mail, ή ένα  παραπλανητικό URL ιδιαίτερα εάν είναι προσεκτικά σχεδιασμένα.

Η δοκιμασμένη και αποτελεσματική λύση  είναι η εκπαίδευση του προσωπικού. H τακτική εκπαίδευση και η δημιουργία κουλτούρας ασφάλειας πληροφοριών,  έχει σαν αποτέλεσμα τη δημιουργία μιας ισχυρής πρώτης γραμμής άμυνας σε κάθε εταιρεία.

Υπάρχει τρόπος αποφυγής;

 

Μελέτες του Ινστιτούτου Ponemon, δείχνουν ότι χρήστες που παρακολουθούν τακτικά εκπαιδευτικά προγράμματα αντιμετώπισης επιθέσεων, παρουσιάζουν βελτίωση από 26% έως 99% στο να μην ανοίγουν Phishing e-mails. Ο μέσος όρος  βελτίωσης ανέρχεται σε 64%!

Πριν την εκπαίδευση, προηγείται προσομοίωση επίθεσης (καμπάνια) χρησιμοποιώντας αληθοφανή σενάρια, με ψεύτικα Phishing e-mails,που είναι προσαρμοσμένα στις δραστηριότητες και τις λειτουργίες μιας εταιρείας. Οι καμπάνιες απευθύνονται σε όλο το προσωπικό ή σε συγκεκριμένα τμήματα.

Μετά από κάθε καμπάνια γίνεται ανάλυση των αποτελεσμάτων (π.χ. ποσοστό που άνοιξε το Phishing e-mail, σε ποιους συνδέσμους έκανε κλικ, τις “εντολές” που εκτέλεσε) και στη συνέχεια ακολουθεί εξειδικευμένη εκπαίδευση.

 

Τι αποτελέσματα μπορούμε να περιμένουμε;

Σύμφωνα με τα στατιστικά στοιχεία της Webroot δείχνουν ότι σε διάστημα 4-6 μηνών και πραγματοποίησης 11+ καμπανιών Phishing με παράλληλη συστηματική εκπαίδευση, το ποσοστό των ατόμων που έκαναν κλικ σε Phishing e-mails μειώθηκαν αισθητά από 37% σε 13%. Ενώ μετά από 1 χρόνο το ποσοστό αγγίζει και το 5%.

Πρόοδος αντιμετώπισης Phishing e-mails, σε διάστημα 4-6 μηνών

Τι σας προσφέρουμε

 

  • Σε συνεργασία μαζί σας κατανοούμε το περιβάλλον της εταιρείας σας και το βαθμό ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του προσωπικού σας
  • Σχεδιάζουμε προσομοίωση επιθέσεων Phishing με σενάρια προσαρμοσμένα στον τρόπο δραστηριοποίησης της εταιρείας και τις διαδικασίες σας
  • Μπορούμε να διενεργήσουμε  διαφορετικές “επιθέσεις” σε όλους τους χρήστες ή σε ομάδες αυτών με βάση κοινά χαρακτηριστικά
  • Σας δίνουμε αναλυτικά reports για καμπάνια (ποσοστό απόκρουσης, ποσοστό ανοίγματος e-mails, κλικ σε συνδέσμους, κλπ.)
  • Διεξάγουμε εκπαίδευση σύμφωνα με τα αποτελέσματα
  • Ορίζουμε τις χρονικές περιόδους που θα διενεργούνται οι καμπάνιες

    Δοκιμάστε το Επίπεδο Ευαισθητοποίησης Ασφάλειας στην Εταιρεία σας.

    Σας προσφέρουμε ΔΩΡΕΑΝ προσομοίωση επίθεσης Phishing.

    Μείνετε Ενημερωμένοι