Zašto su phishing obuke ključne za sajber bezbednost vaše kompanije?
Sajber pretnje su postale svakodnevna realnost za sve organizacije, bilo male ili velike. Phishing, kao jedna od najčešćih pretnji, može naneti ozbiljnu štetu ukoliko zaposleni nisu adekvatno obučeni da ga prepoznaju. U ovom tekstu istražićemo zašto su phishing obuka i simulacije phishing napada ključne za jačanje sajber bezbednosti vaše kompanije.
Šta je phishing?
Phishing ili fišing je obmanjujuća i zlonamerna praksa koju koriste sajber kriminalci kako bi prevarili pojedince da otkriju osetljive informacije ili instaliraju malver. Phishing napadi najčešće se sprovode putem emaila, ali nije retkost da se za phishing koriste sms, društvene mreže i telefonski pozivi. U phishing porukama napadač se lažno se predstavlja, najčešće kao poznati brend ili autoritet, navodeći tako žrtvu da mu poveruje.
Pomoću phishinga napadači pokušavaju da ukradu kredencijale za online naloge, finansijske informacije ili lične informacije. Takođe, phishing je efikasan metod za distribuciju malvera. Malver može biti sakriven u linku ili prilogu phishing poruke.
Phishing je jedna od najčešćih i najuspešnijih metoda sajber napada. Samo jedan uspešan phishing napad na jednog zaposlenog može da dovede do ozbiljnih posledica po celu kompaniju.
Zašto je phishing toliko uspešan?
Phishing se zasniva se na socijalnom inženjeringu, odnosno tehnikama psihološke manipulacije pomoću kojih napadači uspevaju da ubede ili prevare žrtvu da uradi nešto što može da bude štetno po nju.
Koliko je lako izmanipulisati ljude govori podatak da je samo 3% od 19.000 učesnika u Intel Security Phishing kvizu iz 2015. prepoznalo svaki phishing email. 80% učesnika nije prepoznalo barem jedan phishing email, a samo jedan email je dovoljan da sajber kriminalci postignu svoj cilj.
Ključ phishing nije u tome da se traže ranjivosti u bezbednosti sistema, ključ je u tome da se iskoristi ljudska priroda.
Za phishing nije potrebno puno tehničkog znanja, naročito danas kada je moguće kupiti alate za phishing, tzv. phishing kits ili phishkits, koji nude gotove šablone i skripte i laki su za upotrebu. To je ujedno i jedan od glavnih razloga zbog kog broj phishing napada iz godine u godinu raste.
Učestalost phishing napada
Ako se uzme u obzir broj žrtava, phishing je najzastupljeniji oblik sajber napada. Prema izveštaju Proofpointa iz 2022. “State of the Phish” čak 83% organizacija pretrpi barem jedan phishing napad u toku godine.
Procenjuje se da će broj phishing napada samo rasti u narednim godinama jer je zbog digitalizacije sve veći broj potencijalnih žrtava, a phishing alati su lako dostupni.
Posledice phishinga
Posledice phishinga mogu biti izuzetno štetne, kako za pojedince tako i za organizacije.
Na primer, phishing napad na neku kompaniju može dovesti do krađe podataka o klijentima, gubitka novca i narušavanja reputacije kompanije. Pored toga, uspešan phishing napad na zaposlenog može da omogući napadaču pristup osetljivim informacijama kompanije, kao što su kredencijali za prijavu, koje mogu da koriste za pokretanje daljih napada.
Phishing napadi mogu biti jako skupi za kompanije, a naročito za manja preduzeća, koja su prema Symantecovom istraživanju, sve češće žrtve.
Cena uspešnog phishing napada može biti značajna, i to ne samo sa direktnog finansijskog aspekta, već i kroz indirektne troškove povezane sa gubitkom produktivnosti, oštećenjem reputacije kompanije i pravnim taksama.
Koliko ljudi se zaista upeca?
Predstavu o tome koliko ljudi se zaista upeca na phishing email daju nam phishing simulacije i kvizovi. Prema jednoj takvoj simulaciji, koju je sprovela kompanija Terranova Security , 1 od 5 zaposlenih klikne na link u phishing emailu, a nešto više 13% njih ostavi kredencijale.
Na testu koji je Net++ technology sproveo 2018, kao deo demonstracije „Upecaj me“ servisa, pokazalo se da je 27% testiranih otvorilo email, 15% njih je kliknulo na link, a 5% je ostavilo kredencijale na phishing sajtu kreiranom za namenu testiranja. Pri tom, važno je napomenuti da su u našoj simulaciji učestvovali IT stručnjaci, štaviše zaposleni u security sektoru, što govori da svako može postati žrtva phishinga.
Ovi rezultati ukazuju na važnost preduzimanja adekvatnih mera zaštite kako bi se sprečili phishing napadi i zaštitili korisnici i organizacije od potencijalne štete.
Naučite zaposlene da prepoznaju phishing
Zaposleni su često prva linija odbrane od phishing napada, zbog čega je njihova obuka neophodna za sajber bezbednost kompanije. Zaposleni koji prolaze obuku o phishingu će biti svesni rizika povezanih sa phishing napadima i moći će lakše da prepoznaju phishing.
Pored toga, veća je verovatnoća da će zaposleni koji prođu obuku o phishingu slediti bezbednosne politike i procedure kompanije, smanjujući rizik od slučajnih povreda podataka izazvanih ljudskom greškom.
Pecajte vaše zaposlene
Više od 70% sajber napada počinje spear-phishingom, odnosno precizno ciljanim phishing kampanjama, a mnogi zaposleni nisu u stanju da razlikuju ove maliciozne poruke od regularnih. Kako bi unapredili edukaciju o sajber bezbednosti, mnoge kompanije se okreću pecanju svojih zaposlenih, to jest phishing testiranju.
Phishing testiranje je vrsta obuke koja podrazumeva simulaciju phishing napada kako bi se testirala svest zaposlenih o phishing pretnjama. Simulacije phishinga su brz i efikasan način za procenu ranjivosti uz podizanje svesti o rizcima.
Istraživanje CyberPilota pokazuje da se procenat “pecanja” nakon phishing testova i obuka smanjio za 60%. Posle prvog testa, urađenog pre obuke, 15% zaposlenih je ostavilo kredencijale. Nakon trećeg testa, koji je usledio posle obuke, taj broj se smanjio na 6%.
Obuka i simulacije phishinga može da se sprovede u kompaniji ili da se poveri provajderu. Net++ technology razvio je servis “Upecaj me”, koji objedinjuje phishing testiranja i obuku. Cilj ovog servisa je da pomogne organizacijama da stvore kulturu svesti o sajber bezbednosti i na taj način ojačaju svoju odbranu.
“Upecaj me” servis
Obuka
“Upecaj me” obuhvata online kurs, koji pokriva najrelevantnije teme sajber bezbednosti – najčešće sajber pretnje, socijalni inženjering, email bezbednost, phishing, bezbednosti lozinki, WiFi bezbednosti itd. Kurs se dakle ne bavi isključivo phishingom, već je podeljen u nekoliko celina, koje zajedno doprinose podizanju svesti o sajber pretnjama i rizicima kojima su svakodnevno izloženi.
Lekcije su kratke i lako razumljive, sa primerima iz stvarnog života i preporukama koje je lako slediti. Kurs sadrži video i tekstualne lekcije, kao i kvizove za proveru znanja.
Našoj online platformi za učenje je moguće pristupiti putem računara ili mobilne aplikacije. Platforma beleži progres učenja, kao i rezultate testova svakog zaposlenog i o svakome je moguće dobiti izveštaj.
Testiranje
Drugi deo “Upecaj me” servisa je phishing simulacija, odnosno phishing testiranje. Kroz simulaciju testirate kako zaposleni primenjuju u praksi znaje stečeno na obuci.
Ova usluga podrazumeva kreiranje i slanje simulirane phishing kampanje vašim zaposlenima. Za razliku od drugih servisa za phishing testiranje, ne koristimo uobičajene šablone, već kreiramo phishing poruku baš za vašu organizaciju. Phishing poruke koje zaposleni dobijaju su ciljane, mogu biti prilagođene njihovim radnim pozicijama i mogu biti na srpskom i na engleskom.
Phishing testiranje ne samo da obučava vaše zaposlene da uoče i prijave phishing napade, već vam daje i uvid u to kako bi se vaše kolege pokazale kad bi se suočile sa stvarnom pretnjom.
“Upecaj me” servis vam omogućava da testirate zaposlene na phishing, edukujete ih o sajber pretnjama i pratite njihov napredak tokom vremena.
Preuzmite Upecaj me brošuru i saznajte više o našim phishing simulacijama i kako mogu pomoći vašoj kompaniji.
Zaključak
Phishing edukacija i simulacija su ključni korak ka stvaranju bezbednijer radnog okruženja. Investiranjem u obuku i simulacije, vaša kompanija može značajno smanjiti rizik od sajber napada.
Ako želite da vidite kako izgleda “Upecaj me” platforma za učenje ili želite da saznate više o našem servisu, kontaktirajte nas.
Ne čekajte da postanete meta – preduzmite korake ka boljoj sajber bezbednosti.