Cyberbezpieczeństwo – Phishing czym jest i jak się przed nim zabezpieczyć ?

Zgodnie z raportem rocznym wykonanym przez CERT Polska w roku 2020 w Polsce odnotowano 10 420 zdarzeń związanych z cyberbezpieczeństwem. Najczęściej wykorzystywaną metodą ataku, stanowiącą 73%, był atak typu phishing[1]. Dlatego warto zadać sobie pytanie czym jest phishing i jak można się przed nim zabezpieczyć.

 

Co to jest phishing?

 

Phishing to metoda bazująca na socjotechnice polegająca na podszyciu się pod znaną celowi ataku osobę lub organizację w celu wydobycia danych. Mogą to być np. przełożeni, kontrahenci spółki, zaufana instytucja jak bank lub media społecznościowe. Phishing opiera się na wykorzystaniu zależności, uczuć oraz podświadomych zachowań pomiędzy osobami. Może odwoływać się do poczucia zaufania, podległości służbowej, poczucia obowiązku czy też kusić ofertą ograniczoną czasowo. Sam atak polega na przesłaniu wiadomości e-mail lub SMS, w treści której może znajdować się odnośnik do linku. Pod linkiem znajduje się odpowiednio spreparowana strona internetowa mająca imitować prawdziwą stronę banku lub formularza, w którym należy podać dane np. do służbowego konta do pakietu Microsoft Office lub może zachęcać do pobrania załącznika będącego złośliwym oprogramowaniem lub aplikacją. Celem ataku jest zdobycie danych umożliwiających przejęcie konta tj. loginu i hasła np. do konta bankowego lub służbowej poczty. A następnie wykorzystanie przejętego konta w celu zagarnięcia środków finansowych lub pozyskania tajemnic firmowych. Potencjalnymi skutkami udanego ataku phishingowego mogą być:

  1. Utrata kontroli nad danymi.
  2. Kradzież tożsamości.
  3. Starty finansowe.
  4. Utrata dobrego imienia/reputacji przez firmę.

 

Jak chronić się przed phishingiem?

 

Aby zabezpieczyć się przed phishingiem należy zadbać o poziom wiedzy pracowników poprzez dedykowane cyberbezpieczeństwu szkolenia. Phishing jest atakiem skierowanym na ludzi i ich interakcje z otoczeniem. Dlatego zabezpieczenia techniczne nie będą w stanie pomóc w każdym przypadku. Oczywiście zabezpieczenie firewall oraz ustawienie poczty na skanowanie przychodzących wiadomości i załączników pozowali uchronić się przed częścią ataków phishingowych. Jednak szkolenie pracowników i rozwijanie poziomu świadomości o cyberbezpieczeństwie mogą zapewnić bezpieczeństwo organizacji przed cyberatakami wymierzonymi w pracowników.

 

Jak możesz zabezpieczyć się przed phishingiem?

 

Podstawowymi rzeczami, na które należy zwracać podczas korzystania z poczty są:

  1. Wszelkie literówki w nazwach adresów e-mail, załącznikach czy też linkach.
  2. Treść wiadomości – czy nie zachęca do wykonania nietypowej czynności np. kliknięcia w podejrzany link.
  3. Linki – czy nie zachęcają do odwiedzenia nieznanej strony.
  4. Sieć internetowa– należy korzystać jedynie ze znanych i bezpiecznych sieci internetowych oraz unikać sieci publicznych np. w centrach handlowych,.
  5. Nie instalować programów ani aplikacji zamieszczanych w wiadomościach.

 

Podsumowując zabezpieczając organizację przed phishingiem nie należy skupiać się jedynie na zabezpieczeniach technicznych w postaci firewall i ustawień zabezpieczeń poczty.  Są one istotne, jednak nawet najnowocześniejsze rozwiązania techniczne na nic się zdadzą, jeśli organizacja nie zadba o wiedzę i szkolenia pracownika w zakresie cyberbezpieczeństwa. Nie bez powodu mówi się, iż człowiek jest najsłabszym ogniwem systemu bezpieczeństwa informacji. Dlatego istotne jest zadbanie o to, aby pracownicy posiadali wiedzę dotyczycącą podstawowych zasad związanych z cyberbezpieczeństwem i bezpieczeństwem informacji. Ponadto każda organizacją powinna wprowadzić procedury bezpieczeństwa informacji oraz procedurę postępowania w przypadku wykrycia cyberataku lub próby jego dokonania.

 

 

[1] https://cert.pl/posts/2021/09/krajobraz-bezpieczenstwa-polskiego-internetu-w-2020-roku/

Autor

Kamil Bodzak

Prawnik, Inspektor Ochrony Danych. Doświadczenie zdobywał w warszawskich kancelariach oraz spółkach specjalizujących się w ochronie danych osobowych oraz doradztwie prawnym m.in. w zakresie prawa cywilnego oraz prawa spółek handlowych. Posiada doświadczenie w zakresie projektów związanych z danymi osobowymi oraz w zakresie sporządzania dokumentacji zgodnej z przepisami RODO.