Uwaga na wzmożone ataki hakerskie przed świętami! Jak się przed nimi chronić?

W okresie przedświątecznym skrzynki mailowe zapełniają się w szybkim tempie. Hakerzy wykorzystują ten czas do ataków spear phishingowych. Co zrobić, aby nasza e-firma i odbiorcy naszych usług nie stali się ich łatwym celem?

Cyberprzestępcy aktywniejsi przed świętami

Oszuści podszywają się pod firmy i instytucje chcąc pozyskać prywatne dane użytkowników poczty mailowej (np. numery kart kredytowych i kont bankowych) i w konsekwencji czerpać z tego korzyści finansowe.

Natężenie ataków wzrasta zwłaszcza w okresie przedświątecznym. Hakerzy wykorzystują to, że klienci są zasypywani mailami z ofertami promocyjnymi i nieświadomi zagrożeń otwierają linki i załączniki. Firma lub instytucja, która działa w internecie, może stać się „pośrednikiem” w wyłudzaniu danych klientów i jednocześnie ich ofiarą, nie zdając sobie z tego sprawy.

Spear phishing – sprytniejsza odmiana phishingu

Najnowszą metoda ataków na użytkowników poczty elektronicznej nosi nazwę spear phishingu. Czym różni się od phishingu?

Uwaga na wzmożone ataki hakerskie przed świętami! Jak się przed nimi chronić?
Rysunek 1 Przykład e-maila użytego w ataku typu spear phishing Źródło: Unizeto Technologies SA

Obie metody bazują na tej samej koncepcji – cyberprzestępcy wysyłają e-maile do swoich ofiar, podszywając się pod znaną im organizację, firmę lub zaufaną osobę. Wykorzystują ich wizerunek: nazwy, opisy produktów, logo. Zamieszczone w wiadomościach linki prowadzą do fałszywych stron, serwisów i e-sklepów.

W przeciwieństwie do tradycyjnego phishingu, treść maili użytych w ataku spear phishingowym dedykowana jest konkretnym osobom (ang. spear – włócznia). Wiadomość spersonalizowana wydaje się bardziej wiarygodna, więc nieświadomi zagrożeń użytkownicy stają się łatwym celem. Zamiast do milionów ofiar, cyberprzestępcy wysyłają e-maile do nielicznej grupy odbiorców.

Jaki chronić własnych klientów przed spear phishingiem?

Na szczęście właściciele e-biznesów mogą chronić swoją renomę oraz klientów przed atakami.

– Do prowadzenia bezpiecznej korespondencji elektronicznej, wiarygodnej identyfikacji adresu e-mail właściciela, a przede wszystkim – skutecznej ochrony przed przechwyceniem lub sfałszowaniem wiadomości czy dokumentów elektronicznych służy certyfikat ID

– mówi Mariusz Janczak, Menedżer Marketingu Produktowego Unizeto Technologies

– Stosując cyfrowe zabezpieczenie wiadomości, jakim jest certyfikat ID, odbiorca może jednoznacznie zidentyfikować nadawcę. Dodatkowo zyskuje pewność, że wiadomość nie została zmodyfikowana w trakcie jej przesyłki. Certyfikat ID służy również do podpisywania e-faktur wysyłanych przez nas do klientów.

Przykładem firmy, która cyfrowo podpisuje wszystkie wysyłane przez siebie wiadomości e-mail jest serwis LinkedIn. Dostawcom poczty elektronicznej pozwala to zidentyfikować prawdziwe wiadomości i odrzucać te, które stanowią próbę wyłudzenia informacji lub spam.

Edukujmy klientów na temat bezpieczeństwa

Bezpieczna e-faktura i e-maile zabezpieczane certyfikatami ID to klucz do właściwej ochrony danych naszych klientów, jeśli idzie w parze z edukacją. Warto więc regularnie wysyłać mailingi lub publikować na firmowym blogu posty poruszające temat rozpoznawania fałszywych wiadomości. Informowanie o bezpieczeństwie należy do częstych praktyk m.in. banków i dostawców usług mobilnych, jednak mniejsze przedsiębiorstwa również mogą z pozytywnym skutkiem uświadamiać swoich klientów w tym temacie.

- Każdy serwis internetowy czy e-sklep może stać się „pośrednikiem” w ataku typu spear phishing. Z tego względu właściciele e-biznesów powinni informować, że wiadomość przez nich wysłana będzie zawierała bezbłędny adres mailowy nadawcy (literówki albo dziwny ciąg znaków świadczą o tym, że jest fałszywa), prawidłowe dane teleadresowe i link prowadzący tylko do strony szyfrowanej certyfikatem SSL (a więc takiej, która w adresie ma https:// a nie http:// oraz symbol kłódki). Nie będzie natomiast miała załącznika a jej treść nie będzie nakłaniać do szybkiej wpłaty, pobrania e-faktury, zalogowania się na konto czy podania loginu

– mówi Paweł Żal, Lider Zespołu Testów Unizeto Technologies i Ethical Hacker

– W każdym punkcie komunikacji z klientami podkreślajmy, żeby dokładnie przyglądali się otrzymywanym e-mailom, nawet jeśli są na 100% pewni, od kogo pochodzą.

Źródło: Unizeto Technologies