Z raportu Proofpoint „2023 State of the Phish report” wynika, że liczba ataków phishingowych za pośrednictwem telefonów, wzrosła do 600 tys. dziennie w sierpniu 2022 roku. W pozostałych miesiącach utrzymywała się ona na poziomie 300-400 tys. dziennie. Oznacza to niemal 100 proc. wzrostu w sezonie urlopowym. Pozwala to przypuszczać, że latem jesteśmy szczególnie rozkojarzeni.

Czytaj w LEX: Tomaszewska Barbara, Używanie sprzętu firmowego przez pracowników >

– To tylko potwierdza fakt, że choć poziom wiedzy na temat ataków wśród pracowników jest niezły, to nadal mamy trochę do nadrobienia w tym zakresie. Dodam, że bardzo łatwo paść ofiarą ataku phishingowego – wystarczy kliknąć w fałszywy link, który otwiera hakerom dostęp nie tylko do naszego urządzenia, ale także danych wrażliwych. W tym przypadku zagrożone mogą być także dane firmowe, nawet jeżeli zainfekowano nasz prywatny sprzęt. Phishing może utorować hakerowi drogę do firmowej sieci IT, jeśli nie dbamy o bezpieczeństwo haseł i danych logowania lub korzystamy ze służbowego sprzętu w celach prywatnych i na odwrót. Ten rodzaj ataku może przybierać różne formy i często poprzedza atak ransomware, czyli zablokowanie dostępu do danych z użyciem złośliwego oprogramowania. W ten sposób przestępcy mogą m.in. żądać okupu za odblokowanie dostępu – mówi Patrycja Tatara, ekspertka ds. cyberbezpieczeństwa w Sprint S.A.

Czytaj w LEX: Bujalski Rafał, Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >

Czy wiemy, co to jest phishing?

W tym samym raporcie czytamy, że 58 proc. ankietowanych pracowników wie, czym jest phishing, choć poziom tej wiedzy i tak spadł o 3 punkty procentowe w stosunku do 2019 roku. A czym jest ten atak? Jego nazwa brzmi podobnie jak angielskie słowo fishing, czyli łowić. Polega ono na pozyskiwaniu danych dostępowych poprzez rozsyłanie wiadomości z fałszywymi linkami. Po kliknięciu ofiara otwiera hakerowi dostęp do swojego urządzenia, a to już prosta droga do wykradania i blokowania rozmaitych danych. Aby oszukać potencjalną ofiarę, cyberprzestępcy stosują wiele praktyk mających na celu uśpienie czujności atakowanej osoby. W tym celu podszywają się np. pod kuriera wysyłającego link do śledzenia paczki przez SMS (smishing), udają pracowników banków lub przełożonych z użyciem programów zmieniających głos (vishing), a nawet dzwonią ze znanego ofierze numeru telefonu (spoofing telefoniczny). Dane wykradzione tymi sposobami służą hakerom do dalszych działań i przeprowadzania głównie ataków ransomware. Według danych „2023 State of the Phish report”, w 2022 roku 76% organizacji odnotowały próby tych ataków, z czego 64 proc. okazało się skutecznych. Co więcej, straty firm z tego tytułu wzrosły o 76% r/r.

Zobacz nagranie szkolenia w LEX: Czub-Kiełczewska Sylwia, Phishing i inne zagrożenia dla ochrony danych osobowych >

Szkolenia zminimalizują ryzyko

Zróżnicowany poziom wiedzy na temat cyberzagrożeń może prowadzić do ryzykownych zachowań lub niewłaściwych praktyk, które mogą zostać wykorzystane przez hakerów. 78 proc.  badanych pracowników używa sprzętu służbowego w celach prywatnych, a 72 proc.  – prywatnego w celach służbowych. Z kolei 48 proc.  pozwala skorzystać ze służbowego telefonu lub komputera członkom rodziny, a nawet znajomym.

Zobacz nagranie szkolenia w LEX: Czub-Kiełczewska Sylwia, Cyberataki - zadania IOD w dobie sytuacji kryzysowych >

Cyberbezpieczeństwo

Cezary Banasiński, Marcin Rojszczak

Sprawdź  

Wiedza na temat bezpieczeństwa haseł w 2022 roku pozostała na tym samym poziomie, co rok wcześniej – 31 proc.  pracowników używa jednego hasła do wszystkich kont służbowych, a 27 proc. robi to samo w przypadku kont do prywatnego użytku. 26 proc. pracowników pozwala też przeglądarkom na używanym w urządzeniach służbowych, do zachowywania danych logowania. I na koniec bezpieczeństwo w pracy hybrydowej lub zdalnej – aż 80 proc. pracowników nie zmienia domyślnych nazw i haseł w domowym routerze WiFi

Czytaj w LEX: Organizacja pracy zdalnej w kontekście technicznego bezpieczeństwa pracy >

Jednym ze sposobów na zmianę wspomnianych zachowań i minimalizację ryzyka ataku, są cykliczne szkolenia pracowników w zakresie cyberbezpieczeństwa. Hakerzy stale doskonalą swoje metody działania, ale też wiedzą sporo o zachowaniu ludzkiej psychiki. Umieją wywierać presję, ale też wzbudzać zaufanie. W czasie szkoleń przeprowadzane są symulowane ataki, które umożliwiają zdobycie wiedzy na temat tego, jak zachować się w takiej sytuacji i nie dać zmanipulować. Kolejny aspekt to informowanie o dobrych praktyk i wskazywanie na popełniane błędy, jak choćby bezpieczeństwo haseł. Ważne, aby szkolenia odbywały się cyklicznie i były przeprowadzane przez specjalistów.