Pracownicy w firmie mogą nie zdawać sobie z tego sprawy, ale są celem phishingu w domu i w pracy. Ich urządzenia mają wartość dla cyberprzestępców i zrobią oni wszystko co mogą, aby je zhakować. Również Ty, jako użytkownik jesteś najefektywniejszym sposobem, aby wykryć i powstrzymać atak phishingowy. Jeśli zidentyfikujesz email, który jest według Ciebie atakiem hackerskim zgłoś go na publiczne forum lub stronę poświęconą Bezpieczeństwu IT.

Podstawą jest oczywiście odpowiednie przeszkolenie pracowników związane z cyberzagrożeniami (nie tylko związane z atakami wykorzystującymi socjotechnikę), ale także z bezpiecznym przetwarzaniem informacji. Oprócz wiedzy na temat obsługi urządzenia użytkownik powinien wiedzieć jak bezpiecznie z niego korzystać oraz jak nie dać się „zapędzić w kozi róg”.

Od strony pracowników IT w firmie powinniśmy:

  • Aktualizować na bieżąco przeglądarki internetowe, aplikacje, system operacyjny oraz oprogramowanie zabezpieczające urządzenie – zwłaszcza jeśli w firmie stawia się na BYOD czyli pracę na własnych urządzeniach;
  • Nie łączyć się z siecią Internet za pomocą urządzeń, które nie posiadają zaktualizowanego i legalnego oprogramowania zabezpieczającego;
  • Zaimplementować w firmie mechanizm weryfikacji linków i adresów WWW tzw. Web Proxy;
  • Zaimplementować w firmie system do inteligentnego filtrowania poczty użytkowników;
  • Zaimplementować w firmie system Sandbox, do sprawdzania maili i załączników poczty przed dotarciem fizycznie do skrzynki użytkownika;
  • Zaimplementować w firmie system wyłapujący niebezpieczne zachowanie aplikacji klienckich (procesów), które próbują się łączyć z Internetem. W szczególności te, których funkcjonalności są nagminnie stosowane w metodach ataku przez cyberprzestępców np. powershell.exe (skrypty), aplikacje MS Office (makra), Adobe Reader;
  • Rozważyć implementację systemu pozwalającego w bezpieczny sposób współdzielić wymianę dokumentów pomiędzy kontrahentami;
  • Obserwacja behawioralna z elementami sztucznej inteligencji sieci i pracy użytkowników na komputerach – w szczególności podejrzane zachowanie komputera i jego komunikacja z innymi komputerami w sieci oraz Internetem;
  • Monitorowanie logowania pracowników w firmie, w szczególności dostępu do skrzynek pocztowych.

Użytkownicy biurowi powinni:

  • Weryfikować nadawcę (np. adres e-mail), temat i treść wiadomości;
  • Jeśli nie mamy pewności odnośnie maila lepiej przesłać go do IT w firmie celem weryfikacji;
  • Unikać klikania na linki w mailach;
  • Unikać klikania na pliki załączników w formacie RAR, ZIP;
  • Wyłączyć obsługę HTML i obrazów w wiadomości (w tym celu należy skonfigurować odpowiednio pocztę e-mail);
  • Zweryfikować stronę internetową, na której wypełniane są dane w formularzach;
  • Pobierać pliki tylko z zaufanych stron;
  • Pracować tylko w trybie prywatnym i bezpiecznym (oprogramowanie zabezpieczające powinno mieć opcję ustawienia trybu bezpiecznego dla autoryzowanych stron – np. logowania) np. z witryna z zabezpieczona kłódką przy adresie;
  • Unikać automatyzmu w odpowiadaniu, klikaniu lub wypełnianiu formularzy;
  • Nigdy nie dzielić się swoim hasłem. Żadna szanująca się organizacja nigdy nie skontaktuje się z Tobą z prośbą o podanie hasła. Jeśli ktoś prosi o podanie hasła, to jest to próba ataku socjotechnicznego;
  • Nie udostępniać zbyt wiele. Im więcej atakujący wie o Tobie, tym łatwiej jest wprowadzić Cię w błąd i nakłonić do robienia tego, czego chce. Nawet udostępnianie z pozoru nieznaczących szczegółów, które z czasem połączone w całość, może stworzyć kompletny obraz Ciebie. Im mniej udostępniasz publicznie na portalach społecznościowych, w recenzjach produktów lub na publicznych forach i listach mailingowych, tym mniej prawdopodobne, że zostaniesz zaatakowany;
  • Sprawdzać kontakt. Czasami, z uzasadnionych powodów, może zadzwonić do Ciebie ktoś z banku, wydawca karty kredytowej, dostawca usług telefonii komórkowej lub innych organizacji. Jeśli masz jakiekolwiek wątpliwości co do tego, czy pytanie o udzielenie informacji jest uzasadnione, poproś osobę która dzwoni o jej imię i nazwisko i numer telefonu. Następnie weź numer telefonu tej firmy z zaufanego źródła, takiego jak numer na odwrocie karty kredytowej, numer z wyciągu bankowego, albo numer na stronie internetowej firmy (wpisz sam adres URL w przeglądarce). Tym sposobem, kiedy sam wykonujesz telefon, wiesz, że naprawdę rozmawiasz z tym za kogo się podaje. Choć może wydawać się, że czynności te mogą być kłopotliwe, warto jest je wykonać dla ochrony tożsamości i swoich danych osobowych.