Phishing-aren kontzientzia: nola gertatzen da eta nola saihestu
Zergatik erabiltzen dute kriminalek phishing-eraso bat?
Zein da erakunde bateko segurtasun ahultasun handiena?
Jendea!
Ordenagailu bat kutsatu edo garrantzitsuetarako sarbidea lortu nahi duten bakoitzean informazio kontu-zenbakiak, pasahitzak edo PIN zenbakiak bezala, eskatu besterik ez dute egin behar.
Phishing erasoak ohikoak dira, hauek direlako:
- Erraza egiteko – 6 urteko ume batek phishing-eraso bat egin dezake.
- Eskalagarriak – Pertsona bat jotzen duten spear-phishing-en erasoetatik erakunde oso baten aurkako erasoetaraino.
- Oso eraginkorra - Erakundeen% 74 phishing-eraso arrakastatsua izan dute.
- Gmail kontuaren kredentzialak - $80
- Kreditu txartelaren pina - $20
- Lineako bankuaren kredentzialak dituzten kontuetarako gutxienez 100 $ haietan - $40
- Banku-kontuak batera gutxienez 2,000 $ - $120
Ziurrenik pentsatzen ari zara: "Uau, nire kontuak beheko dolarraren bila doaz!"
Eta hau egia da.
Askoz prezio altuagoa duten beste kontu mota batzuk daude, diru-transferentziak anonimoan mantentzea errazagoa delako.
Kriptografia duten kontuak phishing-iruzurgileentzako jackpot dira.
Hauek dira kriptografia-kontuen prezioak:
- Coinbase - $610
- Blockchain.com - $310
- Binance - $410
Phishing-erasoetarako beste arrazoi ez-finantzarioak ere badaude.
Phishing erasoak nazio-estatuek erabil ditzakete beste herrialde batzuetara hackeatzeko eta haien datuak uzteko.
Erasoak vendetta pertsonaletarako izan daitezke edo baita korporazioen edo etsai politikoen ospea suntsitzeko ere.
Phishing erasoen arrazoiak amaigabeak dira...
Nola hasten da phishing-eraso bat?
Phishing-erasoa normalean gaizkilea berehala atera eta zuri mezuak bidaltzen hasten dira.
Telefono-dei bat, mezu elektroniko bat, berehalako mezu bat edo SMS bat eman diezazukete.
Banku batean, negozio batekin egiten duzun beste enpresa batean, gobernu agentzian edo zure erakundeko norbaiten itxurak egiten ari den norbait dela esan dezakete.
Phishing mezu elektroniko batek esteka batean klik egin edo fitxategi bat deskargatu eta exekutatzeko eskatuko dizu.
Baliteke mezu zilegi bat dela pentsatzea, egin klik haien mezuaren barruko estekan eta hasi saioa fidagarria den erakundearen webgunea dirudienera.
Une honetan phishing iruzurra amaitu da.
Zure informazio pribatua laga diozu erasotzaileari.
Nola saihestu phishing-eraso bat
Phishing-eko erasoak saihesteko estrategia nagusia langileak prestatzea eta erakundearen kontzientzia sortzea da.
Phishing-eraso askok legezko mezu elektronikoak dirudite eta spam-iragazki batetik edo antzeko segurtasun-iragazkietatik pasa daitezke.
Lehen begiratuan, mezuak edo webguneak benetako itxura izan dezake logo ezagun baten diseinua erabiliz, etab.
Zorionez, phishing erasoak detektatzea ez da hain zaila.
Begiratu behar den lehenengo gauza igorlearen helbidea da.
Igorlearen helbidea ohituta egon zaitezkeen webguneko domeinu baten aldakuntza bada, baliteke kontu handiz jarraitu eta ez egin klik mezu elektronikoaren gorputzean ezer.
Estekarik badago, birbideratzen zaituen webgunearen helbidea ere begiratu dezakezu.
Seguru izateko, bisitatu nahi duzun erakundearen helbidea idatzi behar duzu arakatzailean edo arakatzailearen gogokoenak erabili.
Kontuz gainditzen duzunean mezu elektronikoa bidaltzen duen konpainiaren berdina ez den domeinu bat erakusten duten estekekin.
Irakurri arretaz mezuaren edukia, eta izan eszeptikoa zure datu pribatuak bidaltzeko edo informazioa egiaztatzeko, inprimakiak betetzeko edo fitxategiak deskargatzeko eta exekutatzeko eskatzen dizuten mezu guztien aurrean.
Gainera, ez utzi mezuaren edukiak engainatzen.
Erasotzaileak askotan saiatzen dira zu ikaratzen, esteka batean klik egin dezazun edo zure datu pertsonalak lortzeko saritzen zaituzten.
Pandemia edo larrialdi nazional batean, phishing-iruzurgileek jendearen beldurrak aprobetxatuko dituzte eta gai-lerroaren edo mezuaren gorputzaren edukia erabiliko dute neurriak hartzera eta esteka batean klik egitera beldurtzeko.
Era berean, egiaztatu ortografia edo gramatika akats txarrak dauden mezu elektronikoan edo webgunean.
Kontuan izan beharreko beste gauza bat da enpresa fidagarri gehienek ez dizutela eskatuko datu sentikorrak web edo posta bidez bidaltzeko.
Horregatik, ez duzu inoiz klik egin behar esteka susmagarrietan edo datu sentikorrik eman.
Zer egin dezaket Phishing-eko mezu elektroniko bat jasotzen badut?
Phishing-eraso gisa agertzen den mezu bat jasotzen baduzu, hiru aukera dituzu.
- Ezabatu.
- Egiaztatu mezuaren edukia erakundearekin harremanetan jarriz bere ohiko komunikazio-kanalaren bidez.
- Mezua zure IT segurtasun sailera birbidal dezakezu azterketa gehiago egiteko.
Zure konpainiak mezu elektroniko susmagarri gehienak aztertu eta iragazten aritu beharko luke dagoeneko, baina edonor izan daiteke biktima.
Zoritxarrez, phishing iruzurrak gero eta mehatxu handiagoa dira Interneten eta gaiztoak beti ari dira zure sarrera-ontzira sartzeko taktika berriak garatzen.
Kontuan izan, azkenean, phishing saiakeren aurkako defentsa-geruza azken eta garrantzitsuena zarela.
Nola gelditu phishing-eraso bat gertatu baino lehen
Phishing-en erasoak giza akatsetan oinarritzen direnez eraginkorrak izateko, aukerarik onena zure negozioko jendea amua hartzea saihesteko trebatzea da.
Horrek ez du esan nahi phishing-eraso bat saihesteko bilera edo mintegi handi bat egin behar duzunik.
Modu hobeak daude zure segurtasunean hutsuneak aurkitzeko eta phishing-aren aurkako giza erantzuna hobetzeko.
Phishing iruzurra saihesteko har ditzakezun 2 urrats
A phishing simulagailua Zure erakundeko kide guztien aurkako phishing-eraso bat simulatzeko aukera ematen duen softwarea da.
Phishing simulagailuak normalean txantiloiekin datoz posta elektronikoa saltzaile fidagarri gisa mozorrotzen laguntzeko edo barneko posta elektronikoaren formatuak imitatzen laguntzeko.
Phishing simulagailuek ez dute posta elektronikoa soilik sortzen, baizik eta webgune faltsua konfiguratzen laguntzen dute, hartzaileek egiaztagiriak sartuko dituztelako proba gainditzen ez badute.
Tranpan erortzeagatik errieta egin beharrean, egoera kudeatzeko modurik onena etorkizunean phishing mezu elektronikoak ebaluatzeko moduari buruzko informazioa ematea da.
Norbaitek phishing-proba bat huts egiten badu, hobe da phishing-mezu elektronikoak antzemateko aholkuen zerrenda bat bidaltzea.
Artikulu hau zure langileentzako erreferentzia gisa ere erabil dezakezu.
Phishing simulagailu on bat erabiltzearen beste abantaila garrantzitsu bat zure erakundeko giza mehatxua neurtu dezakezula da, askotan zaila da aurreikustea.
Urte eta erdi behar izan daiteke langileak arintze maila segururako trebatzeko.
Garrantzitsua da zure beharretarako phishing simulazio-azpiegitura egokia aukeratzea.
Enpresa batean phishing simulazioak egiten ari bazara, zure zeregina errazagoa izango da
MSP edo MSSP bazara, baliteke phishing probak egin behar izatea hainbat negozio eta kokapenetan.
Hodeian oinarritutako irtenbide bat aukeratzea izango litzateke aukerarik onena kanpaina anitz egiten dituzten erabiltzaileentzat.
Hailbytes-en, konfiguratu dugu GoPhish, kode irekiko phishing esparru ezagunenetako bat instantzia erabiltzeko erraza AWS-n.
Phishing simulatzaile asko Saas eredu tradizionalean datoz eta kontratu estuak dituzte haiekin lotuta, baina GoPhish on AWS hodeian oinarritutako zerbitzu bat da, non 1 edo 2 urteko kontratu bat baino neurtutako tarifa batean ordaintzen duzun.
2. urratsa. Segurtasunaren Sentsibilizazio Prestakuntza
Langileei ematearen abantaila nagusia segurtasun kontzientzia prestakuntzak nortasun lapurretetatik, banku-lapurretetatik eta negozio-kreditazioetatik lapurtutakoetatik babesten ditu.
Segurtasun-sentsibilizazio prestakuntza ezinbestekoa da langileek phishing-saiakerak antzemateko duten gaitasuna hobetzeko.
Ikastaroek langileak trebatzen lagun ditzakete phishing-saiakerak detektatzeko, baina gutxi batzuk soilik negozio txikietara bideratzen dira.
Tentagarria izan daiteke enpresa txikiko jabe gisa ikastaro baten kostuak murriztea segurtasunari buruzko YouTube bideo batzuk bidaliz...
baina langileak gutxitan gogoratzen du prestakuntza mota hori egun batzuk baino gehiagorako.
Hailbytes-ek bideo bizkorrak eta galdetegiak konbinatzen dituen ikastaro bat du, zure langileen aurrerapena jarrai dezazun, segurtasun-neurriak indarrean daudela frogatu eta phishing-iruzur bat jasateko aukerak izugarri murrizteko.
Udemy-n gure ikastaroa ikus dezakezu hemen edo egin klik beheko ikastaroan:
Zure langileak trebatzeko doako phishing simulazio bat martxan jartzea interesatzen bazaizu, zoaz AWSra eta begiratu GoPhish!
Hastea erraza da eta beti jar zaitezke gurekin harremanetan konfiguratzeko laguntza behar baduzu.
