arrow_backVisi straipsniai
Phishing pagrindai

Kas yra phishing ir kaip apsisaugoti įmonėje

schedule8 min skaitymo

Phishing (liet. „duomenų žvejyba") — tai socialinės inžinerijos ataka, kai sukčius apsimeta patikimu siuntėju, kad išgautų slaptažodį, mokėjimą ar priverstų atsisiųsti kenkėjišką failą. Apsisaugoma dviem sluoksniais: technika (2FA, el. pašto apsauga, atnaujinimai) ir apmokyta, budria komanda.

Phishing (liet. „duomenų žvejyba") — tai socialinės inžinerijos ataka, kai sukčius apsimeta patikimu siuntėju ir bando priversti jus atskleisti slaptažodį, atlikti mokėjimą arba atsisiųsti kenkėjišką failą. Tai nėra techninė sistemos spraga — taikinys yra žmogus. Būtent todėl net geriausios antivirusinės ir ugniasienės neapsaugo, jei darbuotojas pats įveda prisijungimo duomenis netikrame puslapyje.

Daugumoje įmonių saugumo incidentų pradžioje yra būtent phishing laiškas. Priežastis paprasta: užpuolikui nereikia laužti sistemos, jei galima apgauti vieną neatidų darbuotoją. Mažoms ir vidutinėms įmonėms tai ypač aktualu — jos dažnai neturi atskiro saugumo specialisto, o vienas pavykęs sukčiavimas gali kainuoti prarastas lėšas, sustabdytą veiklą ar nutekintus klientų duomenis.

Kokios būna phishing atakų rūšys

Phishing terminas apima kelias skirtingas formas. Verta jas žinoti, nes kiekviena taikosi į kitą kanalą ar žmonių grupę.

Masinis phishing
Tūkstančiai vienodų laiškų, siunčiamų atsitiktinai (pvz. „jūsų paketas laukia", „paskyra užblokuota").
Spear phishing
Taikoma ataka konkrečiam darbuotojui, kai laiškas personalizuotas pagal jo vardą, pareigas ar projektus.
Whaling
Spear phishing prieš vadovus ar finansininkus, turinčius teisę tvirtinti mokėjimus.
Smishing
Sukčiavimas per SMS ir žinutes (SMS + phishing).
Vishing
Apgaulė telefonu, kai skambinantysis apsimeta banku ar IT palaikymu.
Quishing
Kenkėjiškas QR kodas, nukreipiantis į netikrą puslapį.

Kodėl žmonės vis dar užkimba

Sukčiai naudoja ne technologijas, o psichologiją: skubą, baimę, autoritetą ir smalsumą. Laiškas „sąskaita neapmokėta, paskyra bus uždaryta šiandien" priverčia veikti greitai ir negalvojant. Kai spaudžia laikas, kritinis mąstymas išsijungia. Todėl apsauga negali remtis vien žiniomis — reikia įpročio stabtelėti prieš spaudžiant nuorodą.

Kaip apsaugoti įmonę: techninis sluoksnis

Technika neatstoja budrumo, bet gerokai sumažina laiškų, kurie apskritai pasiekia darbuotoją, kiekį ir apriboja žalą, jei kažkas suklysta.

  • checkĮjunkite dviejų veiksnių autentifikaciją (2FA) visose svarbiose paskyrose — pavogtas slaptažodis vienas nebeužtenka.
  • checkSukonfigūruokite el. pašto apsaugą (SPF, DKIM, DMARC), kad būtų sunkiau klastoti jūsų domeną.
  • checkReguliariai atnaujinkite operacines sistemas ir programas.
  • checkRibokite prieigos teises — darbuotojas turėtų matyti tik tai, ko reikia darbui.
  • checkDarykite atsargines kopijas ir patikrinkite, ar jos tikrai atsistato.

Kaip apsaugoti įmonę: žmonių sluoksnis

Kadangi phishing taikosi į žmones, stipriausia apsauga yra apmokyta ir budri komanda. Vienkartinė paskaita per metus beveik neveikia — įgūdis pamirštamas per kelias savaites. Veikia reguliarumas: trumpi mokymai plius saugios phishing simuliacijos, kurios parodo, kaip darbuotojai reaguoja iš tikrųjų, o ne teoriškai.

Nuo ko pradėti šiandien

Pirmiausia įsivertinkite realią būklę: paleiskite vieną saugią phishing simuliaciją ir pažiūrėkite, kiek žmonių atidaro laišką, paspaudžia nuorodą ar suveda duomenis. Tai duoda atskaitos tašką. Toliau priskirkite trumpus mokymus tiems, kam labiausiai reikia, ir kartokite procesą reguliariai. Būtent tokią kilpą — simuliacija, pamoka iškart po paspaudimo ir aiškios ataskaitos vienoje vietoje — automatizuoja Opsinel, kad įmonei nereikėtų viso to daryti rankomis.

Dažni klausimai

Kuo phishing skiriasi nuo spam?add

Spam yra tiesiog nepageidaujama reklama, o phishing yra tikslinga apgaulė, siekianti pavogti duomenis, pinigus ar užkrėsti įrenginį. Phishing visada turi kenkėjišką tikslą.

Ar mažai įmonei tikrai gresia phishing?add

Taip. Sukčiai dažnai taikosi būtent į mažas ir vidutines įmones, nes jos turi mažiau apsaugos ir dažnai valdo realius pinigus bei klientų duomenis. Automatizuotoms atakoms įmonės dydis nesvarbus.

Kokia viena efektyviausia apsauga?add

Dviejų veiksnių autentifikacija (2FA) kartu su reguliariai apmokyta komanda. 2FA apsaugo, jei slaptažodis pavagiamas, o budrūs darbuotojai sustabdo ataką dar prieš tai.

Ką reiškia žodis phishing?add

Phishing kilęs iš angliško „fishing" (žvejyba) — sukčius „meškerioja" jūsų duomenis apsimesdamas patikimu siuntėju. Lietuviškai kartais vadinamas duomenų žvejyba arba apgaulingu laišku.

Ar phishing gali ateiti ne el. paštu?add

Taip. Be el. pašto, phishing plinta per SMS (smishing), telefono skambučius (vishing) ir QR kodus (quishing). Principas tas pats — apgaule išgauti duomenis ar mokėjimą.

Skaitykite taip pat