Subiecte

Construirea unei culturi
a securității
O fundație solidă:
Securizarea conturilor și
dispozitivelor
Comunicarea și
stocarea securizată a datelor
Siguranța pe
internet
Protejarea securității
fizice
Ce trebuie să facem când
lucrurile merg prost

O fundație puternică: Securizarea conturilor și a dispozitivelor

Phishing: O amenințare frecventă pentru dispozitive și conturi

Ultima actualizare: iulie 2022

Atacurile de tip phishing sunt cele mai frecvente și eficiente atacuri asupra organizațiilor din întreaga lume. Tehnica este folosită de cele mai sofisticare armate naționale, precum și hoții mărunți. Pe scurt, atacurile de tip phishing sunt încercări ale unui adversar de a vă păcăli să partajați informații care ar putea fi folosite împotriva dvs. și organizației dvs. Atacurile de tip phishing pot fi realizate prin intermediul e-mailurilor, mesajelor text/SMS (cunoscute adesea sub denumirea de SMS phishing sau „smishing”), aplicațiilor de mesagerie precum WhatsApp, mesajelor sau postărilor de pe rețele sociale sau apelurilor telefonice (cunoscute adesea sub denumirea de phishing vocal sau „vishing”). Mesajele de tip phishing ar putea încerca să vă determine să tastați informații sensibile (precum parolele) pe un site web fals pentru a obține acces la un cont, să partajați informații confidențiale (precum numărul unui card de credit) prin mesaj vocal sau text, sau v-ar putea convinge să descărcați un software rău intenționat care să vă infecteze dispozitivul. De exemplu, milioane de persoane primesc zilnic apeluri telefonice automate false prin care sunt informate că le sunt compromise conturile bancare sau că li s-a furat identitatea - acestea au scopul de a păcăli persoanele naive să partajeze informații sensibile.

 Phishingul și societatea civilă

Image of phishing email to Tibetan civil society

Atacurile sofisticate personalizate de tip phishing au ca țintă, zi de zi, grupuri ale societății civile din întreaga lume.

Un exemplu de asemenea atac este evidențiat în raportul The Citizen Lab din 2018, Spionarea necostisitoare: Detalii de interior ale unei operațiuni de phishing care a vizat comunitatea tibetană. Acest atac de tip phishing foarte ieftin și simplu - însă incredibil de eficient - a avut ca țintă apărători tibetani ai drepturilor omului și alți activiști. Atacul a început cu un e-mail de tip phishing (prezentat în partea stângă) trimis de pe o adresă Gmail standard, care conținea doar un link către un fișier imagine. Dacă era accesat, linkul direcționa ținta la o pagină falsă de autentificare de e-mail Google (prezentată în mijloc) care era folosită pentru a fura acreditările contului. Dacă victimele furnizau acreditările pe pagina falsă, conturile lor puteau fi compromise cu ușurință. După furnizarea numelui de utilizator și a parolei pe site-ul fals, victimele erau redirecționate la o imagine (prezentată în dreapta) care ilustra câțiva delegați într-o întâlnire tibetană. Imaginea era o capcană care făcea țintele să creadă că s-au autentificat în conturile Google reale și care avea rolul de a reduce orice posibile suspiciuni privind adevărata natură rău intenționată a e-mailului.

Cum identificăm phishingul?

Phishingul poate părea cumplit și imposibil de detectat, însă există câțiva pași simpli pe care orice membru al organizației dvs. îi poate urma pentru a se proteja împotriva majorității atacurilor. Următoarele sfaturi pentru protejarea împotriva phishingului au fost modificate și extinse pornind de la ghidul aprofundat privind phishingul dezvoltat de Freedom of the Press Foundation și trebuie distribuite la nivelul organizației dvs. (și altor persoane de contact) și integrate în planul dvs. de securitate:

Uneori, câmpul „De la” este mincinos

Câmpul „De la” din e-mailurile dvs. poate fi fals sau falsificat pentru a vă păcăli. Atacatorii creează frecvent adrese de e-mail care sunt asemănătoare cu cele legitime care vă sunt familiare, dar conțin mici erori de ortografie, pe care e posibil să nu le sesizați. De exemplu, ați putea primi un e-mail de la cineva cu adresa „[email protected]”, în loc de „[email protected]”. Observați că cuvântul „google” conține mai multe o-uri. De asemenea, e posibil să știți pe cineva care are adresa de e-mail „[email protected]”, dar să primiți un e-mail de tip phishing de la un personificator care a creat adresa „[email protected]” - singura diferență este un subtil schimb de litere la final. Verificați întotdeauna adresa expeditorului unui e-mail înainte de a continua. Un concept similar se aplică și phishingului prin mesaje text, apeluri vocale sau aplicații de mesagerie. Dacă primiți un mesaj de la un număr necunoscut, gândiți-vă de două ori înainte să răspundeți sau să interacționați cu mesajul.

Atenție la atașări

Atașările pot conține software-uri rău intenționate sau viruși și însoțesc, de regulă, e-mailurile de tip phishing. Cea mai bună metodă de a evita software-urile rău intenționate din atașări este să nu le descărcați niciodată. Ca regulă generală, nu deschideți imediat atașările, în special dacă provin de la persoane pe care nu le cunoașteți. Dacă este posibil, rugați persoana respectivă să vă trimită documentul prin copiere și lipire într-un e-mail sau să partajeze documentul printr-un serviciu precum Google Drive sau Microsoft OneDrive, care au funcții integrate de scanare pentru majoritatea documentelor încărcate pe platformele lor. Construiți, în cadrul organizației, o cultură în care atașările sunt descurajate.

Dacă trebuie neapărat să deschideți o atașare, deschideți-o doar într-un mediu sigur (consultați secțiunea Nivel avansat de mai jos) în care potențialele software-uri rău intenționate nu pot fi implementate pe dispozitivul dvs.

Dacă folosiți Gmail și primiți o atașare la un e-mail, în loc să o descărcați și să o deschideți în computer, faceți clic pe fișierul atașat și citiți-l în modul de previzualizare direct în browser. Acest pas vă permite să vizualizați textul și conținutul unui fișier fără a-l descărca sau a-i permite să încarce un potențial software rău intenționat pe computerul dvs. Această metodă este eficientă în cazul documentelor Word, PDF și chiar al prezentărilor PowerPoint. Dacă trebuie să editați documentul, puteți deschide fișierul într-un program cloud precum Google Drive și puteți converti fișierul într-un Google Doc sau Google Slides.

Dacă folosiți Outlook, puteți previzualiza atașările în mod similar, fără a le descărca, folosind clientul web Outlook. Dacă trebuie să editați o atașare, o puteți deschide în OneDrive, dacă îl aveți la dispoziție. Dacă folosiți Yahoo Mail, se aplică același concept. Nu descărcați atașări, vă recomandăm să le previzualizați direct în browserul web. Indiferent de instrumentele pe care le aveți la dispoziție, cea mai bună abordare este pur și simplu să nu descărcați niciodată atașări pe care nu le cunoașteți sau în care nu aveți încredere și, indiferent de cât de importantă ar putea părea o atașare, să nu deschideți niciodată o atașare care conține un tip de fișier pe care nu îl recunoașteți sau nu aveți intenția să îl folosiți. 

Protejarea împotriva phishingului la nivelul organizației dvs.

Dacă organizația dvs. folosește Microsoft 365 pentru întreprinderi pentru e-mail și alte aplicații, administratorul domeniului dvs. trebuie să configureze Politica privind atașările sigure pentru protejarea împotriva atașărilor periculoase. Dacă folosiți Google Workspace pentru întreprinderi (cunoscut anterior sub denumirea de GSuite), există o opțiune similar eficientă pe care administratorul trebuie să o configureze, numită Google Security Sandbox. Utilizatorii mai avansați ar putea configura programe sandbox sofisticate, precum Dangerzone sau, pentru cei care folosesc versiunea Pro sau Enterprise a Windows 10, Windows Sandbox.

O altă opțiune avansată pe care o puteți implementa la nivelul organizației este un serviciu de filtrare Sistem nume de domeniu (DNS). Organizațiile pot folosi această tehnologie pentru a împiedica personalul să acceseze sau să interacționeze accidental cu conținut rău intenționat, oferind un nivel suplimentar de protecție împotriva phishingului. Noi servicii precum ateway de la Cloudflare oferă asemenea capabilități organizațiilor, fără a necesita sume mari de bani (Gateway, de exemplu, este gratuit pentru până la 50 de utilizatori). Alte câteva instrumente gratuite, inclusiv Quad9 din kitul de instrumente al Global Cyber Alliance, vă vor împiedica să accesați site-uri cunoscute care conțin viruși sau alte software-uri rău intenționate și pot fi implementate în mai puțin de cinci minute.

Atenție pe ce faceți clic

Fiți sceptici în ceea ce privește linkurile din e-mailuri sau alte mesaje text. Linkurile pot fi capcane pentru descărcarea de fișiere rău intenționate sau vă pot direcționa la site-uri false care v-ar putea solicita să furnizați parole sau alte informații sensibile. Pe computer, există un truc simplu de a vă asigura că un link dintr-un e-mail sau mesaj vă va trimite unde trebuie: Folosiți mouse-ul să treceți peste link înainte de a face clic pe acesta și uitați-vă în partea de jos a ferestrei browserului pentru a vedea care este URL-ul real (ca în imaginea de mai jos).

Outlook inbox photo

Este mai dificil să verificați linkurile dintr-un e-mail de pe un dispozitiv mobil fără a face clic pe el accidental - așadar, mare atenție. Puteți verifica destinația unui link pe majoritatea smartphone-urilor apăsând lung (și menținând apăsat) pe un link până când apare URL-ul complet.

În cazul atacurilor de tip phishing prin SMS și aplicații de mesagerie, linkurile prescurtate sunt o practică foarte comună utilizată pentru a deghiza destinația unui URL. Dacă observați un link scurt (de ex., bit.ly sau tinyurl.com) în locul URL-ului complet, nu faceți clic pe el. Dacă linkul este important, copiați-l într-un extensor de URL, precum https://www.expandurl.net/, pentru a vedea destinația reală a URL-ului prescurtat. Mai mult, nu faceți clic pe linkuri către site-uri web care nu vă sunt familiare. Dacă aveți îndoieli, căutați site-ul punându-i numele între ghilimele (de ex., „www.badwebsite.com”) pentru a vedea dacă este un site legitim. De asemenea, puteți verifica linkurilor suspecte cu ajutorul scanerului URL VirusTotal. Această metodă nu este 100% exactă, însă este o bună metodă de precauție.

În final, dacă faceți clic pe un link dintr-un mesaj și vi se cere să vă autentificați undeva, nu faceți acest lucru decât dacă sunteți 100% siguri că e-mailul este legitim și vă trimite la site-ul adecvat. Multe atacuri de tip phishing vor furniza linkuri care vă vor trimite la pagini false se autentificare pentru Gmail, Facebook sau alte site-uri populare. Nu cădeți în capcană. Puteți deschide un nou browser și accesa direct un site cunoscut precum Gmail.com, Facebook.com etc. dacă doriți sau trebuie să vă autentificați. Astfel, veți putea și accesa conținutul, în siguranță – dacă a fost legitim de la început.

Ce trebuie să facem când primim un mesaj phishing?

Dacă cineva din cadrul organizației dvs. primește o atașare, un link, o imagine nesolicitate sau orice alt mesaj sau apel suspect, este important să raportați imediat responsabilului cu securitatea IT din organizația dvs. Dacă nu aveți un responsabil, trebuie să numiți unul ca parte a dezvoltării planului de securitate. De asemenea, personalul poate raporta e-mailul ca spam sau phishing direct în Gmail sau Outlook.

Implementarea unui plan de acțiune pentru personal și voluntari în cazul în care aceștia primesc un mesaj potențial de tip phishing este de o importanță crucială. În plus, vă recomandăm să urmați aceste bune practici privind phishingul - nu faceți clic pe linkuri suspecte, evitați atașările și verificați adresa „De la” - și să le partajați celorlalte persoane cu care lucrați, preferabil prin intermediul unui canal de comunicare utilizat pe scară largă. Prin aceasta, demonstrați că vă pasă de oamenii cu care comunicați și că încurajați, în rețeaua dvs., o cultură care este alertă și conștientă de pericolele phishingului. Siguranța dvs. depinde de organizațiile în care aveți încredere și vice versa. Practicile mai bune protejează pe toată lumea.

Pe lângă partajarea sfaturilor de mai sus personalului și voluntarilor dvs., puteți identifica phishingul și cu ajutorul acestui chestionar Google privind phishingul. Vă recomandăm, de asemenea, să organizați instruiri regulate privind phishingul pentru personal, pentru a testa conștientizarea și a menține oamenii vigilenți. Aceste instruiri pot fi sub forma unor întâlniri regulate sau pot fi mai puțin formale. Important este ca toți membrii organizației dvs. să se simtă în largul lor să adreseze întrebări despre phishing, raportarea phishingului (chiar și dacă cred că e posibil să fi făcut o greșeală, de pildă, făcând clic pe un link) și ca toată lumea să aibă dreptul de a contribui la apărarea organizației împotriva acestui impact important și riscului ridicat de amenințări.

Phishing

  • Instruiți regulat personalul privind definiția phishingului și cum să îl identifice și să se apere de el, inclusiv phishingul prin mesaje text, aplicații de mesagerie și apeluri telefonice, nu doar prin e-mail.
  • Reamintiți frecvent personalului de cele mai bune practici, precum:
    • Nu descărcați atașări necunoscute sau potențial suspecte.
    • Verificați URL-ul unui link înainte de a face clic pe acesta. Nu faceți clic pe linkuri necunoscute sau potențial suspecte.
    • Nu furnizați informații sensibile sau confidențiale prin e-mail, mesaje text sau apeluri telefonice unor persoane sau adrese necunoscute sau neconfirmate.
  • Încurajați raportarea phishingului.
    • Dezvoltați un mecanism de raportare și o persoană responsabilă pentru phishing în cadrul organizației dvs.
    • Recompensați raportarea și nu pedepsiți greșelile.