Pracownicy w firmie mogą nie zdawać sobie z tego sprawy, ale są celem phishingu w domu i w pracy. Ich urządzenia mają wartość dla cyberprzestępców i zrobią oni wszystko co mogą, aby je zhakować. Również Ty, jako użytkownik jesteś najefektywniejszym sposobem, aby wykryć i powstrzymać atak phishingowy. Jeśli zidentyfikujesz email, który jest według Ciebie atakiem hackerskim zgłoś go na publiczne forum lub stronę poświęconą Bezpieczeństwu IT.
Podstawą jest oczywiście odpowiednie przeszkolenie pracowników związane z cyberzagrożeniami (nie tylko związane z atakami wykorzystującymi socjotechnikę), ale także z bezpiecznym przetwarzaniem informacji. Oprócz wiedzy na temat obsługi urządzenia użytkownik powinien wiedzieć jak bezpiecznie z niego korzystać oraz jak nie dać się „zapędzić w kozi róg”.
Od strony pracowników IT w firmie powinniśmy:
-
Aktualizować na bieżąco przeglądarki internetowe, aplikacje, system operacyjny oraz oprogramowanie zabezpieczające urządzenie – zwłaszcza jeśli w firmie stawia się na BYOD czyli pracę na własnych urządzeniach;
- Nie łączyć się z siecią Internet za pomocą urządzeń, które nie posiadają zaktualizowanego i legalnego oprogramowania zabezpieczającego;
- Zaimplementować w firmie mechanizm weryfikacji linków i adresów WWW tzw. Web Proxy;
- Zaimplementować w firmie system do inteligentnego filtrowania poczty użytkowników;
- Zaimplementować w firmie system Sandbox, do sprawdzania maili i załączników poczty przed dotarciem fizycznie do skrzynki użytkownika;
- Zaimplementować w firmie system wyłapujący niebezpieczne zachowanie aplikacji klienckich (procesów), które próbują się łączyć z Internetem. W szczególności te, których funkcjonalności są nagminnie stosowane w metodach ataku przez cyberprzestępców np. powershell.exe (skrypty), aplikacje MS Office (makra), Adobe Reader;
- Rozważyć implementację systemu pozwalającego w bezpieczny sposób współdzielić wymianę dokumentów pomiędzy kontrahentami;
- Obserwacja behawioralna z elementami sztucznej inteligencji sieci i pracy użytkowników na komputerach – w szczególności podejrzane zachowanie komputera i jego komunikacja z innymi komputerami w sieci oraz Internetem;
- Monitorowanie logowania pracowników w firmie, w szczególności dostępu do skrzynek pocztowych.
Użytkownicy biurowi powinni:
- Weryfikować nadawcę (np. adres e-mail), temat i treść wiadomości;
- Jeśli nie mamy pewności odnośnie maila lepiej przesłać go do IT w firmie celem weryfikacji;
- Unikać klikania na linki w mailach;
- Unikać klikania na pliki załączników w formacie RAR, ZIP;
- Wyłączyć obsługę HTML i obrazów w wiadomości (w tym celu należy skonfigurować odpowiednio pocztę e-mail);
- Zweryfikować stronę internetową, na której wypełniane są dane w formularzach;
- Pobierać pliki tylko z zaufanych stron;
- Pracować tylko w trybie prywatnym i bezpiecznym (oprogramowanie zabezpieczające powinno mieć opcję ustawienia trybu bezpiecznego dla autoryzowanych stron – np. logowania) np. z witryna z zabezpieczona kłódką przy adresie;
- Unikać automatyzmu w odpowiadaniu, klikaniu lub wypełnianiu formularzy;
- Nigdy nie dzielić się swoim hasłem. Żadna szanująca się organizacja nigdy nie skontaktuje się z Tobą z prośbą o podanie hasła. Jeśli ktoś prosi o podanie hasła, to jest to próba ataku socjotechnicznego;
- Nie udostępniać zbyt wiele. Im więcej atakujący wie o Tobie, tym łatwiej jest wprowadzić Cię w błąd i nakłonić do robienia tego, czego chce. Nawet udostępnianie z pozoru nieznaczących szczegółów, które z czasem połączone w całość, może stworzyć kompletny obraz Ciebie. Im mniej udostępniasz publicznie na portalach społecznościowych, w recenzjach produktów lub na publicznych forach i listach mailingowych, tym mniej prawdopodobne, że zostaniesz zaatakowany;
- Sprawdzać kontakt. Czasami, z uzasadnionych powodów, może zadzwonić do Ciebie ktoś z banku, wydawca karty kredytowej, dostawca usług telefonii komórkowej lub innych organizacji. Jeśli masz jakiekolwiek wątpliwości co do tego, czy pytanie o udzielenie informacji jest uzasadnione, poproś osobę która dzwoni o jej imię i nazwisko i numer telefonu. Następnie weź numer telefonu tej firmy z zaufanego źródła, takiego jak numer na odwrocie karty kredytowej, numer z wyciągu bankowego, albo numer na stronie internetowej firmy (wpisz sam adres URL w przeglądarce). Tym sposobem, kiedy sam wykonujesz telefon, wiesz, że naprawdę rozmawiasz z tym za kogo się podaje. Choć może wydawać się, że czynności te mogą być kłopotliwe, warto jest je wykonać dla ochrony tożsamości i swoich danych osobowych.