Kas yra phishing ir kaip apsisaugoti įmonėje
Phishing (liet. „duomenų žvejyba") — tai socialinės inžinerijos ataka, kai sukčius apsimeta patikimu siuntėju, kad išgautų slaptažodį, mokėjimą ar priverstų atsisiųsti kenkėjišką failą. Apsisaugoma dviem sluoksniais: technika (2FA, el. pašto apsauga, atnaujinimai) ir apmokyta, budria komanda.
Phishing (liet. „duomenų žvejyba") — tai socialinės inžinerijos ataka, kai sukčius apsimeta patikimu siuntėju ir bando priversti jus atskleisti slaptažodį, atlikti mokėjimą arba atsisiųsti kenkėjišką failą. Tai nėra techninė sistemos spraga — taikinys yra žmogus. Būtent todėl net geriausios antivirusinės ir ugniasienės neapsaugo, jei darbuotojas pats įveda prisijungimo duomenis netikrame puslapyje.
Daugumoje įmonių saugumo incidentų pradžioje yra būtent phishing laiškas. Priežastis paprasta: užpuolikui nereikia laužti sistemos, jei galima apgauti vieną neatidų darbuotoją. Mažoms ir vidutinėms įmonėms tai ypač aktualu — jos dažnai neturi atskiro saugumo specialisto, o vienas pavykęs sukčiavimas gali kainuoti prarastas lėšas, sustabdytą veiklą ar nutekintus klientų duomenis.
Kokios būna phishing atakų rūšys
Phishing terminas apima kelias skirtingas formas. Verta jas žinoti, nes kiekviena taikosi į kitą kanalą ar žmonių grupę.
- Masinis phishing
- Tūkstančiai vienodų laiškų, siunčiamų atsitiktinai (pvz. „jūsų paketas laukia", „paskyra užblokuota").
- Spear phishing
- Taikoma ataka konkrečiam darbuotojui, kai laiškas personalizuotas pagal jo vardą, pareigas ar projektus.
- Whaling
- Spear phishing prieš vadovus ar finansininkus, turinčius teisę tvirtinti mokėjimus.
- Smishing
- Sukčiavimas per SMS ir žinutes (SMS + phishing).
- Vishing
- Apgaulė telefonu, kai skambinantysis apsimeta banku ar IT palaikymu.
- Quishing
- Kenkėjiškas QR kodas, nukreipiantis į netikrą puslapį.
Kodėl žmonės vis dar užkimba
Sukčiai naudoja ne technologijas, o psichologiją: skubą, baimę, autoritetą ir smalsumą. Laiškas „sąskaita neapmokėta, paskyra bus uždaryta šiandien" priverčia veikti greitai ir negalvojant. Kai spaudžia laikas, kritinis mąstymas išsijungia. Todėl apsauga negali remtis vien žiniomis — reikia įpročio stabtelėti prieš spaudžiant nuorodą.
Kaip apsaugoti įmonę: techninis sluoksnis
Technika neatstoja budrumo, bet gerokai sumažina laiškų, kurie apskritai pasiekia darbuotoją, kiekį ir apriboja žalą, jei kažkas suklysta.
- checkĮjunkite dviejų veiksnių autentifikaciją (2FA) visose svarbiose paskyrose — pavogtas slaptažodis vienas nebeužtenka.
- checkSukonfigūruokite el. pašto apsaugą (SPF, DKIM, DMARC), kad būtų sunkiau klastoti jūsų domeną.
- checkReguliariai atnaujinkite operacines sistemas ir programas.
- checkRibokite prieigos teises — darbuotojas turėtų matyti tik tai, ko reikia darbui.
- checkDarykite atsargines kopijas ir patikrinkite, ar jos tikrai atsistato.
Kaip apsaugoti įmonę: žmonių sluoksnis
Kadangi phishing taikosi į žmones, stipriausia apsauga yra apmokyta ir budri komanda. Vienkartinė paskaita per metus beveik neveikia — įgūdis pamirštamas per kelias savaites. Veikia reguliarumas: trumpi mokymai plius saugios phishing simuliacijos, kurios parodo, kaip darbuotojai reaguoja iš tikrųjų, o ne teoriškai.
Nuo ko pradėti šiandien
Pirmiausia įsivertinkite realią būklę: paleiskite vieną saugią phishing simuliaciją ir pažiūrėkite, kiek žmonių atidaro laišką, paspaudžia nuorodą ar suveda duomenis. Tai duoda atskaitos tašką. Toliau priskirkite trumpus mokymus tiems, kam labiausiai reikia, ir kartokite procesą reguliariai. Būtent tokią kilpą — simuliacija, pamoka iškart po paspaudimo ir aiškios ataskaitos vienoje vietoje — automatizuoja Opsinel, kad įmonei nereikėtų viso to daryti rankomis.
Dažni klausimai
Kuo phishing skiriasi nuo spam?add
Spam yra tiesiog nepageidaujama reklama, o phishing yra tikslinga apgaulė, siekianti pavogti duomenis, pinigus ar užkrėsti įrenginį. Phishing visada turi kenkėjišką tikslą.
Ar mažai įmonei tikrai gresia phishing?add
Taip. Sukčiai dažnai taikosi būtent į mažas ir vidutines įmones, nes jos turi mažiau apsaugos ir dažnai valdo realius pinigus bei klientų duomenis. Automatizuotoms atakoms įmonės dydis nesvarbus.
Kokia viena efektyviausia apsauga?add
Dviejų veiksnių autentifikacija (2FA) kartu su reguliariai apmokyta komanda. 2FA apsaugo, jei slaptažodis pavagiamas, o budrūs darbuotojai sustabdo ataką dar prieš tai.
Ką reiškia žodis phishing?add
Phishing kilęs iš angliško „fishing" (žvejyba) — sukčius „meškerioja" jūsų duomenis apsimesdamas patikimu siuntėju. Lietuviškai kartais vadinamas duomenų žvejyba arba apgaulingu laišku.
Ar phishing gali ateiti ne el. paštu?add
Taip. Be el. pašto, phishing plinta per SMS (smishing), telefono skambučius (vishing) ir QR kodus (quishing). Principas tas pats — apgaule išgauti duomenis ar mokėjimą.