V roku 2018 zažilo phishingové útoky až 83 % respondentov z celého sveta, čo predstavuje 76 % nárast oproti roku 2017. Najviac útokov prebehlo v septembri 2018, kedy hekeri zaútočili až na 286 spoločností. Najväčším cieľom sú finančné inštitúcie a sektor online platieb.
Zamestanec si ráno otvorí e-mail a v ňom svieti upozornenie, že čoskoro firme vyprší internetbanking a treba ho aktualizovať. Klikne na priložený link, vyplní prihlasovacie údaje a o chvíľu mu už zvoní telefón. Príjemný pracovník ho prevedie prihlasovaním, vypýta si jednorazové heslá, spraví za neho transakciu a rozlúčia sa. V tom momente už peniaze putujú k podvodníkovi. Zamestnanec naletel phishingu.
Keďže phishingoví útočníci sú čoraz viac dômyselní a podvodné praktiky nemožno úplne odstrániť, je potrebné naučiť sa phishing rozpoznať a ignorovať. Navyše rovnako ako aj cez SMS alebo telefonát sa čoraz viac do popredia dostáva aj phishing na sociálnych sieťach a to prostredníctvom príspevkov, či súkromných správ.
Spoločnosť Proofpoint, ktorá sa danej problematike venuje prišla so zaujímavými výsledkami, kde zozbierali vyše 15 000 odpovedí z celého sveta, z viac ako 16 odvetví zozbieraných počas celého roka 2018:
- V roku 2018 zažilo phishingové útoky až 83 % respondentov z celého sveta, čo predstavuuje 76 % nárast oproti roku 2017.
- Najviac útokov prebehlo v septembri 2018, kedy hekeri zaútočili až na 286 spoločností.
- V rámci všetkých priemyselných odvetví zažili cieľové organizácie v priemere 47 phishingových útokov.
- Najväčším terčom sú finančné inštitúcie a sektor online platieb.
- Do roku 2021 majú byť celkové globálne výdavky na produkty a služby kybernetickej bezpečnosti vyše 900 miliárd EUR.
- Na vine je hlavne nedostatčná IT gramotnosť samotných zamestnancov.
Zamestnanci firmy sú najslabším článkom
Ak ste sa už aj vy v práci nechali nachytať phishingovým útokom, nie ste jediní. Útočníci cielia na najslabšie miesto každej technológie a tým je človek. Ľudsyký článok, teda zamestnanec firmy, je v IT bezpečnosti, bohužiaľ, to najslabšie miesto a útoky na ľudí sú často účinnejšie než útoky na technológie.
Odhalenie vinníkov v kybernetickom priestore a ich sankciovanie nie je samozrejmé. Toto sú dôvody, prečo sa napriek svojej jednoduchosti phishing stále veľmi využíva.
Je potrebné zmeniť správanie zamestancov
Vedomosti v oblasti IT sa u zamestnancoch nemôžu rozvíjať nepravidelnou praxou na občasných školeniach. Aj keď firmy pre svojich zamestancoch poskytujú školenia, ktoré by im mali dať potrebné vedomosti ako nástrahám nepodľahnúť, väčšina z nich nie je vôbec účinná. Školenia sú buď príliš dlhé, alebo priveľmi technicky orientované, a v podstate nie sú vôbec účinné.
„Aby firmy mali zamestnancov, ktorí útokom nepodľahnú, je potrebné doslova zmeniť ich správanie. To znamená, že zamestanci sa potrebujú formou reálnej praxe na základe simulovaných útokov naučiť, čo je škodlivé a čo nie. Takéto simulované útokyprininášajú reálne výsledky, ktoré vedia znížiť finančný objem kybernetických rizík až o 50 – 60 %,“ hovorí Michal Fischer, Sales Director spoločnosti Veracomp Slovakia.
Ako to funguje v praxi?
Počítačový tréning (Proofpoint Security Awarness Training) na základe simulácie pomáha rozlíšiť úroveň zručností a znalostí v oblasti kybernetickej bezpečnosti u každého zamestnanca. Zamestnanec môže napríklad podľa zákaznícky upraviteľných šablón phishingových e-mailu rôzneho stupňa dostať email, kedy po prijatí a kliknutí na odkaz získa podnet k poučeniu.
„Takýto typ školenia pomáha reálne preniknúť do podstaty korporátnej bezpečnosti, pochopiť dôvody prečo je nevyhnutné držať sa bezpečnostných pravidiel vrátane anti-phishingovej ochrany, ako aj ochrany mobilných zariadení, dátovej ochrany, bezpečného prehliadania webových lokalít a pod. Týmto spôsobom sa doslova mení správanie zamestnanca, vďaka čomu sa spoločnostiam môžu znížiť počty bezpečnostných incidentov až o 90%,“ uzatvára M. Fischer.