În ultimii ani atacurile cibernetice s-au intensificat, datorită utilizării pe scară mai largă a instrumentelor digitale. Există multe tipuri de amenințări cibernetice, însă cele mai uzuale sunt cele de phishing sau smishing, care presupun trimiterea unor mesaje prin poșta electronică sau SMS în scopul de a păcăli destinatarii în a oferi date importante cu privire la conturile bancare, acces în anumite aplicații etc..
Despre acest tip de atacuri a oferit detalii Victor Truică, Ofițer Securitatea Informației certSIGN, în cadrul intervenției la Radio Guerrilla.
1. Ce este phishing-ul?
Phishing-ul constituie ”unul dintre cele mai frecvente atacuri cibernetice, iar numele vine chiar din zona pescuitului, unde pescarul aruncă momeala, în speranța de a prinde peștele. Doar că, în cazul de față, momeala nu este o râmă, ci este un e-mail sau un SMS, iar peștele este omul sau informația din spatele lui. Cum ar fi parola pentru un anumit program, cum ar fi date pentru un anumit sistem sau orice fel de informații confidențiale relevante pe care atacatorul le caută.”, a explicat Victor Truică.
Tentativa de phishing poare fi sub formă de e-mail sau de SMS – primim un mesaj care ne îndeamnă să facem ceva, în general să accesăm un link – fie că este o urgență, fie că trebuie să ne schimbăm parola, fie că am primit un colet, chiar dacă știm că nu avem nimic de primit.
2. De ce ar trebui să știm de phishing?
Așa cum și colegul nostru a explicat, răspunsul la această întrebare ar trebui să vizeze 2 direcții:
- la nivel de organizație – statisticile confirmă faptul că majoritatea incidentelor de securitate încep cu acel e-mail de phishing, iar organizația trebuie să știe cum să se protejeze împotriva acestor atacuri;
- la nivel individual – în mod direct sau tangențial, fiecare dintre noi poate prezenta interes pentru atacatori datorită informațiilor la care poate ajunge. Fie că sunt personale, cum este contul bancar, fie că sunt profesionale și atunci este implicat și angajatorul.
3. Cum ne putem apăra de atacurile de phishing? Care sunt soluțiile oferite de tehnologie și care sunt ponturile pe care le poți da?
”Primul pont ar fi să înțelegem de fapt care e treaba din spatele phishing-ului – cazul cu premiul pe care se presupune că l-am câștigat este un exemplu perfect de cum pot fi exploatate acele nevoi sau dorințe ale oamenilor, pentru că, până la urmă, phishing-ul este un atac asupra omului, nu asupra organizației. Așadar primul pont ar fi să înțelegem că este despre om și psihologia umană.
După care ajungem la pontul 2 – cum pregătim oamenii să detecteze asemenea atacuri și cum să răspundă la ele? Iar la nivel de organizație, modul prin care se poate face asta foarte sistematic este prin simulări de phishing. Noi, la nivel de organizație, ne «momim» singuri angajații, tocmai pentru a-i pregăti pentru o situație reală și asta înseamnă pur și simplu să le creăm un spațiu unde pot să greșească, dar în siguranță, tocmai pentru a învăța, pentru că toți învățăm cel mai bine din greșeli.”, a precizat Victor Truică
4. Dacă ne referim la indivizi, ce putem face pentru a fi protejați de astfel de atacuri?
”Putem privi din 2 unghiuri – diferența dintre răspuns și reacție – când deschidem acel e-mail suntem tentați să reacționăm imediat, pe când eu îndemn la calm și la răspuns, nu la reacție. Ar trebui să luăm e-mailul acela și să vedem: ce mi-a cerut de fapt șeful aici? Ne uităm la sender, la adresa de trimitere – chiar a fost șeful sau e altcineva? Am avut multe exemple în cadrul angajatorilor precedenți, unde angajații de la finanțe de obicei primeau facturi false și parte din tipul de răspuns era Ok, cum verificăm pe un alt canal? Cu cine pot să vorbesc ca să verific dacă asta chiar e reală?”, a relatat colegul nostru.
Principalele sfaturi pentru oricine primește astfel de mesaje, fie că le primește pe e-mail, fie prin SMS sunt:
- să ne păstrăm calmul și să nu dăm click pe orice link din acel mesaj;
- să verificăm și pe un alt canal dacă informaţiile din mesaj sunt corecte sau nu;
- să analizăm modul în care este scris mesajul din punct de vedere ortografic.