Nie jesteś sam wobec phishingu!

W ostatnich tygodniach mało kto nie zauważył znacznego wzrostu ataków phishingowych w Polsce. Nawet jeśli nie byliście bezpośrednio ofiarą takiego ataku, lub tego nie zauważyliście, z pewnością przeglądając Internet natrafiliście na nagłówki o wyłudzeniach na faktury Play, aktywację usług w mBanku, przesyłki z DHL czy Poczty Polskiej. To tylko czubek góry lodowej, z której niestety już niejeden Polak i niejedna Polka ześlizgnęli się z niejednym guzem.

W odpowiedzi na sytuację, która niestety nie przestaje być istotna nie tylko w wymiarze osobistym ale również służbowym zachęcamy do zapoznania się z naszym najnowszym plakatem:



Jest wiele technik walki z inżynierią społeczną (socjotechnikami), które często używane są w oszustwach phishingowych. Nie omawiamy tutaj wszystkich, zwracamy uwagę na to, co nowe, przynajmniej naszym zdaniem:

Z PHISHINGIEM NIE MUSISZ WALCZYĆ SAMODZIELNIE!

A nawet lepiej gdy nie próbujesz.
Główne zadanie oszusta to odwołanie się do Twoich emocji i za ich pomocą nakłonienie Ciebie do podjęcia decyzji, która w innych warunkach albo nie miałaby miejsca, albo poprzedzona byłaby pytaniami.
Oszuści nie lubią pytań.
Dlatego nie dają Ci czasu na ich wymyślenie.

Nasza rada jest prosta: zapytaj znajomego czy współpracownika, kogoś komu ufasz na tyle, że możesz mu pokazać zawartość otrzymanej wiadomości.
I przy tym nie łudź się - wszystkie wyjątkowe oferty, osobiste szanse to kolejny zabieg, który ma ograniczyć pytania i zintensyfikować Twoje emocje.
Jeśli oferta jest skierowana do Ciebie osobiście i jest prawdziwa, pokazanie jej komuś innemu nie uprawnia tej innej osoby do odebrania jej za Ciebie.

Zapamiętaj i zastosuj na codzień:

Dostajesz wiadomość, polecenie, które wykracza poza to co zazwyczaj dostajesz lub jest wbrew uznanym obyczajom lub normom?
Poproś kogoś komu ufasz, aby spojrzał na tę ofertę.
Jeśli to polecenie od przełożonego, nawet prezesa - zapytaj go innym kanałem (np. telefonicznie na podstawie firmowej książki adresowej).
Jeśli to oferta z firmy czy mailem, czy na facebooku - nie podążaj tą ścieżką samotnie. Zapytaj znajomych. Szansa. że wykryjecie oszustwo rośnie wraz z ilością osób, które wspólnie się kontaktując idą tą samą ścieżką. Ale UWAGA - nie ufaj wpisom, komentarzom i poleceniom/lajkom. Tylko realni ludzie w ramach zasady:

Co dwie głowy - to nie jedna!


SZCZEGÓŁY:

Dla tych co zainteresowani bardziej metodycznym podejściem prezentujemy to jak Osobista Kostka Bezpieczeństwa (Netykieta BBO + NIST CSF) pomaga walczyć z phishingiem:


SZACUNEK czyli zdolność do kulturalnego prowadzenia konwersjacji pozwala łatwo zidentyfikować wiadomości potencjalnie podejrzane. Dowolne odniesienia do naszych emocji, snucie opowieści o bajecznych zyskach, nieprawdopodobnych historiach, czy wydarzeniach z nagłówków gazet, w których mamy wziąć udział to są sygnały braku zwyczajowego dystansu utrzymywanego w korespondencji formalnej lub prowadzonej z nieznajomą osobą. Warto też posiadać szacunek do siebie samego/samej i nie reagować na zaczepki, oferty czy okazje, których zwyczajnie nie potrzebujemy, albo nie byliśmy nimi wcześniej zainteresowani. Inżynieria społeczna posiada narzędzia, których celem jest rozbudzenie w nas potrzeb, o których albo nie wiedzieliśmy, albo uważaliśmy (często racjonalnie i słusznie), że są poza naszym zasięgiem. Warto mieć tę świadomość wcześniej, niż żałować i wstydzić się gdy padniemy ofiarą oszustwa. Przyznanie się do błędu, jakkolwiek trudne jest niestety niezbędne w celu przerwania spirali wykorzystywania przez oszusta. Jeśli ktokolwiek padł ofiarą oszustwa, nawet "ze swojej winy", co nigdy nie jest tym na co wygląda z punktu widzenia ofiary - trzeba szukać pomocy u innych najlepiej znajomych i zaufanych współpracowników.

PRYWATNOŚĆ czyli umiejętność chronienia informacji dla nas istotnych pozwala zrozumieć kiedy pułapka zastawiona przez oszusta żeruje na naszej próżności i potrzebie wyjątkowości. Agresor zwracając się do nas bezpośrednio i budując poczucie wyjątkowej, unikalnej wręcz oferty wiąże nas emocjonalnie z warunkami tej oferty, potencjalnym zyskiem i małym wkładem z naszej strony, który jest wymagany, głównie po to by odróżnić nas od tych, których "nie stać".
Wymóg tajemnicy, gdzie zgodnie ze zdrowym rozsądkiem jej być nie powinno powinien głośno rozbrzmiewać alarmowym dzwonkiem w naszej głowie.

ROZWAGA czyli umiejętność opanowania emocji w sytuacji gdy sytuacja lub wiadomość poddaje nas próbie to najskuteczniejsza broń przeciwko inżynierii społecznej stosowanej w phishingu. Odnotowanie ale nie uleganie presji czasu, dokładne skupienie się na warunkach wymaganych (a nie na zyskach), identyfikacja rozmówcy, możliwość potwierdzenia jego istnienia w niezależnych źródłach (nie wynikających z otrzymanej wiadomości lub kontekstu rozmowy) to są kluczowe narzędzia w walce z mgłą emocji tworzoną przez atakującego. Warto po przeczytaniu wiadomości odłożyć ją na co najmniej pół godziny. Przejść się, a najlepiej porozmawiać na jej temat z kimś komu ufamy. Sprawdzić jakie mamy nastawienie emocjonalne i jak osoba która nam pomaga reaguje na nasz entuzjazm czy też sceptycyzm. Warto też zapytac o radę - "co na moim miejscu byś zrobił/zrobiła z tą wiadomością?". Każde środki przymusu, groźby czy nacisku powinny być traktowane jako sygnały świadczące o oszustwie tak samo jak wyróżnienia tekstu, słowa nacechowane emocjonalnie - mają one odwrócić uwagę od całości przekazu i szczegółów oszustwa.


REAKCJA czyli zdolność do ostrzegania innych przed zbliżającym się niebezpieczeństwem jest kluczowa dla skutecznej obrony przed atakiem phishingowym. Już poznane sztuczki oszusta nie będą tak skuteczne przy kolejnym ataku. Ujawnienie mechanizmu oszustwa w trakcie kampanii i skuteczne powiadomienie potencjalnych ofiar może znacznie skrócić kampanię a nawet przyczynić się do złapania oszusta. Dlatego czas rzeczywiście ma znaczenie - choć w innym sensie niż w zamierzeniach oszusta. Zależy nam, abyś reagował(-a) na podejrzane mejle, kontakty w jak najkrótszym czasie ale nie odpowiadając oszustowi czy spełniając jego żądania tylko informując właściwe jednostki czy w swojej firmie, czy publiczne. Pamiętaj, do ostrzegania przed phishingiem, tym w życiu prywatnym warto używać sieci społecznościowej. Jeśli Ty jesteś ofiarą, prawdopodobnie Twoi znajomi również. Zadbaj przy tym o swoją PRYWATNOŚĆ nie ujawniając w tej komunikacji np. swoich danych. Do zapamiętania: czas ma znaczenie - reaguj na phishing zgłaszając go.


WZÓR  czyli wiedza i umiejętności w działaniu. Proaktywna postawa, inicjowanie rozmów, zainteresowanie się tematem oszustw i schematami używanymi w tych procederach pozwala wykryć atak na wczesnym stadium, nie zostać jego ofiarą i przede wszystkim ostrzec innych przed zagrożeniem. Warto również spojrzeć na siebie, na nasze własne potrzeby społeczne, na współczucie, na oczekiwania i marzenia, są one często punktem zaczepienia dla ataku z użyciem socjotechniki. Warto zwrócić uwagę, że przestępcy nie wchodzą na pole minowe naszej eksperckiej wiedzy, ale eksplorują skutecznie obszary "wspólne" gdzie potrzeba wiedzy i ciekawość (wydarzenia z nagłówków gazet), porady życiowe i "dobre rady" (life-hacki), oferty finansowe (grupony, zniżki, kupony), relacje osobiste (fora, pokoje chatów, serwery gier), kwestie techniczne (technologie których nie ogarniamy albo nie chcemy na nie tracić czasu, np.: szyfrowanie, aktualizacje, pluginy), polityczne i społeczne (nieposłuszeństwo społeczne, ataki anonimowych, bunt przeciw niesprawiedliwości) są naszą słabością. Warto zatem uprzednio wyrobić sobie zdanie na tematy powszechne, nie podążać za ogólną opinią i weryfikować informacje w wielu źródłach budując zaufanie do tych, które najmniej mijają się z ustaloną przez nas wersją wydarzeń. Zdecydowanie jednak warto tego typu tematy przedyskutować osobiście ze znajomymi, daje to szansę na identyfikację ekspertów wśród nich w tematach, na które nie mamy czasu. Takie zaufane osoby, mogą nam pomóc w sytuacjach związanych z zagrożeniem phishingiem.

W pracy warto przemyśleć następujące zachowanie:


POZNAJ typowe schematy phishingu i sytuacje "wrażliwe" na phishing - związane z emocjami i presją czasu czy odpowiedzialnością.


OCHROŃ swoje zasoby stosując się do wymogów, procedur i polityk. Jeśli ktoś zmusza Cię do przekroczenia którejś z nich, upewnij się, że nie robisz tego w pojedynkę i że cała sytuacja jest kontrolowana przez organizację.


WYKRYJ anomalie, sytuacje podejrzane, nie standardowe czy odbiegające od normy. Nie usypiaj zmysłów emocjami. Zasięgnij opinii innego pracownika, takiego na jakiego pozwala sytuacja. 


REAGUJ na zagrożenie, ale przede wszystkim dowiedz się jak to robić skutecznie w swojej organizacji. Komu, gdzie, kiedy i w jaki sposób należy zgłosić podejrzenia i próby oszustwa. Pamiętaj czas ma kluczowe znaczenie. Pomóż innym reagować, nie usypiaj ich czujności bagatelizując sytuację.


ODZYSKAJ zdolność do działania organizacji, przede wszystkim nie utrudniając opanowania sytuacji zagrożenia. Nie ukrywaj incydentów, nie maskuj faktów, nie przenoś odpowiedzialności, nie zacieraj śladów. Unikając odpowiedzialności, ukrywając informacje realnie pomagasz przestępcy i możesz doprowadzić do radykalnego wydłużenia czasu odzyskania działania Twojej organizacji.


Wytrwałym, gratulujemy!

Bądźcie czujni razem.





Popularne posty z tego bloga

[ECSM 2016] tydzień 1 - Bezpieczne finanse w sieci

Nie dać się "złośliwym organizmom"

List w sprawie popularyzacji kampanii Bezpieczeństwa Bardziej Osobistego