Phishing-ul este, de mai mulți ani consecutiv, una dintre principalele amenințări la adresa securității companiilor. Acesta a devenit o prezență obișnuită în viața de zi cu zi a tuturor, iar multe dintre organizații tind să nu îi mai acorde atenția cuvenită, ceea ce reprezintă o greșeală cu efecte costisitoare.
Statisticile arată că numărul amenințărilor de acest tip crește constant. Conform datelor Anti-Phishing Working Group (APWG), 2022 a fost un an record pentru phishing, consemnându-se peste 4,7 milioane de atacuri (1). Potrivit sursei citate, mai mult de 1,3 milioane de site-uri web unice de phishing au fost depistate numai în trimestrul IV din 2022, ceea ce reprezintă cel mai mare număr înregistrat vreodată de APWG.
Fenomenul este vizibil și în România – Business Internet Security Report 2022 (2) arată că, anul trecut, phishing-ul reprezenta al treilea vector de atac la nivel local (cu 21%). Pe de altă parte, alertele emise de Directoratul Național de Securitate Cibernetică (DNSC) asupra acestui tip de amenințare reprezintă deja o constantă. Încă de la începutul acestui an, DNSC un nou avertisment asupra riscurilor reprezentate de campaniile de phishing, subliniind faptul că mesajele-capcană sunt din ce în ce mai bine scrise în limba română și că tentativele de fraudă devin tot mai credibile (3).
Ignorarea riscurilor generează pagube
Situația este complicată de faptul că, așa cum sublinia și avertismentul DNSC, atacatorii devin tot mai buni în crearea și diversificarea campaniilor de phishing, dar și de faptul că folosesc tot mai multe canale de propagare: email, SMS, social media, clienți de mesagerie.
Pe de altă parte, și metodele de atac se dezvoltă continuu. În prezent nu mai vorbim doar phishing-ul “clasic”, ci și de numeroase alte “produse derivate” destinate mediului enterprise, precum Pharming, Spear phishing, Whaling, Smishing, Vishing, Business Email Compromise, Vendor Email Compromise (VEC) etc.
Nu în ultimul rând, mesajele-capcană, care sunt tot mai credibile, nu pot fi blocate eficient nici de sistemele firewall și nici de soluțiile antivirus.
Ignorarea sau bagatelizarea amenințării reprezentate de phishing este o greșeală costisitoare pentru multe companii – potrivit 2023 Data Breach Investigations Report, mai mult de o treime (36%) din breșele de securitate cu care se confruntă organizațiile au la baza o astfel de amenințare (4).
Cercetările recente efectuate de specialiști în domeniul securității cu privire la impactul atacurilor de phishing arată că:
– 60% dintre întreprinderile afectate au pierdut informații importante,
– 52% s-au confruntat cu compromiterea datelor de acces,
– 47% au fost victima unui atac ransomware,
– 29% au suferit o infecție cu malware,
– 18% au avut pierderi financiare directe.
Pe lista pagubelor se adaugă însă și afectarea reputatiei companiei și chiar implicațiile juridice.
Instruirea pasivă nu dă rezultatele scontate
Pentru a obține aceste rezultate, hackerii exploatează veriga cea mai slabă din sistemul de securitate al organizațiilor – utilizatorii finali, respectiv angajații. Ei sunt cei mai expuși și cei mai vulnerabili la atacurile de phishing, care îi păcălesc să divulge date, să acceseze site-uri malițioase și să descarce programe malware pe dispozitivele lor.
Prin urmare, soluția prevenirii unor astfel de situații critice constă în instruirea angajaților pentru a recunoaște tentativele de phishing. Multe companii o fac și emit periodic informări pentru personal asupra noilor tipuri de amenințări apărute, metodelor de prevenție recomandate etc. Cu toate acestea, așa cum o demonstrează statisticile prezentate, metoda nu da rezultatele așteptate. Principalul motiv este că informarea reprezintă o metodă pasivă de învățare, cu randament scăzut.
O modalitate mai eficientă de a realiza acest lucru constă în efectuarea de teste de phishing și exerciții de simulare. Metoda implică trimiterea de e-mailuri sau alt tip de mesaje false de phishing angajaților pentru a vedea cum reacționează aceștia. Astfel de exerciții pot ajută companiile să identifice rapid utilizatorii finali care au nevoie de pregătire suplimentară și să înțeleaga unde și care sunt vulnerabilitățile ce pot fi exploatate de atacatori.
Testele și simulările permit realizarea unei instruirii dedicate angajaților care au nevoie de ea și care se concentrează pe modul de recunoaștere și de reacție la tentativele de phishing. Metoda optimă recomandată de specialiști este de a efectua în mod regulat teste și simulări de atacuri phishing, urmate de sesiuni interactive de instruire țintite pe aspectele critice depistate.
Phriendly Phishing – testare, simulare, instruire
Pentru a obține o reducere a riscului de phishing este necesară însă realizarea periodică de astfel procese complete de testare, simulare și instruire – cerință care, pentru numeroase organizații reprezintă o provocare. Pe de o parte pentru că nu dețin competențele necesare, iar pe de alta pentru că dezvoltarea acestor abilități necesită timp, efort și bani, investiții dificil de amortizat și care duc la supraîncărcarea resurselor interne.
Pentru a veni în sprijinul companiilor care se confruntă cu astfel de provocări, Safetech Innovations a adus pe piata din România platforma Phriendly Phishing, care integrează mai multe tipuri de soluții și servicii. Platforma este special concepută pentru a crește nivelul de conștientizare a riscurilor în rândul angajaților și a îmbunătăți constant abilitățile acestora în depistarea amenințărilor cu care se confruntă.
Platforma Phriendly Phishing permite automatizarea proceselor de simulare și formare a personalului și oferă informații actualizate în acest domeniu. Conținutul de instruire este relevant și ușor de reținut, iar Safetech poate oferi suportul necesar dezvoltării de metode de învățare graduale personalizabile, exerciții practice de simulare a atacurilor și consolidare a informațiilor.
Soluțiile de analiză integrate în platformă furnizează informații actualizate despre progresul campaniilor de conștientizare derulate, profilul de risc al organizației, performanța personalului, tendințele statistice și îmbunătățirile obținute. Totodată, platforma permite programarea și implementarea cursurilor în avans, beneficiază de funcționalități de înscriere automată, care elimină necesitatea de a scoate și adăuga manual angajați din sistem sau de a crea grupuri, și este actualizată permanent cu noi micromodule pe măsură ce tacticile de atac evoluează.
Eficiența metodelor de învățare furnizate prin intermediul platformei Phriendly Phishing este confirmată de numeroasele premii primite până în prezent, dintre care cele mai recente sunt LearnX Awards 2022, Best Online Learning Model, și Best E-Learning Experience, decernat anul acesta de The International E-Learning Association.
Amenințările la adresa datelor nu se limitează însă doar la phishing. Practicile de lucru necorespunzătoare pot, de asemenea, expune datele sensibile – conform Verizon 2022 Data Breaches Investigations Report, 82% din breșele de securitate de anul trecut au implicat factorul uman (5). Prin intermediul platformei Phriendly Phishing, Safetech oferă companiilor oportunitatea de a crește nivelul de conștientizare a protecției datelor și securității cibernetice în rândul angajaților.
Pentru mai multe informații despre serviciile Safetech Innovations și oferte comerciale, vă invităm să ne contactați prin email la sales@safetech.ro sau prin telefon la 021 316 05 65.
______________________
1. https://apwg.org/trendsreports/
2. https://www.orange.ro/docs/business/pdf/Raport-RO-BIS-2022-update-nl.pdf
3. https://dnsc.ro/citeste/alerta-phishing-2023-romania-banci
4. https://www.verizon.com/business/resources/reports/dbir/
5. https://www.verizon.com/business/resources/reports/dbir/2022/master-guide/