Phishing on salakavala ja kyyninen menetelmä, jota käytetään verkkorikollisten häijyn toiminnan edistämiseen. Harva ihminen ei olisi törmännyt phishing-sähköpostiin jossain muodossa. Silti verkkorikolliset käyttävät tätä tekniikkaa asentaakseen haittaohjelmia, varastellakseen tunnistetietoja ja henkilökohtaisia tietoja sekä tehdäkseen huijauksia, kuten BEC-huijauksia ( Business Email Compromise ).
CISCO:n vuonna 2021 julkaisemassa CISCO:n verkkoturvauhkien kehityssuuntauksia käsittelevässä raportissa tietojenkalastelusta ja kryptokaivostoiminnasta muodostuu kaksi suurinta liiketoimintauhkaa. Raportissa todettiin myös, että 86 prosenttia organisaatioiden työntekijöistä napsauttaa phishing-linkkejä.
Suojautuminen phishing-huijauksilta on elintärkeää organisaatiosi turvallisuuden kannalta, sillä 90 prosenttia tietomurroista on peräisin phishing-hyökkäyksistä.
Seuraavassa on 10 tapaa varmistaa, ettei organisaatiosi joudu phishing-huijauksen uhriksi.
10 tapaa estää phishing-huijaukset
Tietokalastushuijauksilta suojautuminen edellyttää monikerroksista suojausta:
Opi, miltä phishing-hyökkäys näyttää
Verkkorikolliset tekevät kovasti töitä saadakseen phishing-sähköpostit näyttämään laillisilta. Tämän seurauksena phishing-huijaukset ovat yhä kehittyneempiä ja kohdistuvat usein tiettyihin yksityishenkilöihin ja yrityksiin. Kohdennettua phishing-kampanjaa kutsutaan spear phishingiksi. Tässä phishing-muodossa kerätään tiedustelutietoja, jotta voidaan räätälöidä phishing-sähköposteja, joita on vaikea erottaa aidoista sähköposteista.
Yrityksen kaikkien yksiköiden työntekijät on koulutettava huomaamaan tietojenkalastelusta kertovat merkit. Räätälöidyissä phishing-kampanjoissa käytetään usein tunnettuja yritysbrändejä, kuten Microsoft Office 365:tä, joiden avulla phishing-huijaus kätketään taitavasti.
Phishing-simulaatioalustat ovat ihanteellinen tapa kouluttaa työntekijöitä huomaamaan phishing-yritykset. Kehittyneiden phishing-simulaatioalustojen avulla yritys voi lisäksi räätälöidä simulaatiot organisaation roolien mukaan, jotta jopa spear phishing -yritykset voidaan estää.
Lue lisätietoja phishingistä MetaCompliance Ultimate Guide to Phishing -oppaasta.
Älä napsauta tuntemattomia linkkejä
Loppukäyttäjät ja kuluttajat on koulutettu käyttökokemuksen ja käyttöliittymätaktiikoiden avulla klikkaamaan linkkejä, jotta heidän elämästään verkossa olisi helpompaa. Tämä on kuitenkin johtanut siihen, että verkkorikolliset käyttävät tätä käyttäytymistä hyväkseen.
Klikkaamisen halu on estettävä verkkohyökkäyksen estämiseksi. Yksinkertainen sääntö voi tehdä eron verkkohyökkäyksen estämisen ja verkkoturvatilastoksi joutumisen välillä: "älä klikkaa sähköpostin linkkiä, ellet ole 100-prosenttisen varma, että se on pätevä". Jos sähköpostiviestissä tai tekstiviestissä on linkki, pysähdy aina ja mieti, ennen kuin napsautat sitä.
Älä lataa tarkistamattomia liitteitä
Se on sanomattakin selvää, mutta silti sitä tapahtuu: työntekijät avaavat liitetiedoston, ja organisaatiosi saa haittaohjelman. Älä lataa liitetiedostoa, jos et ole 100-prosenttisen varma, että se on laillinen.
Äskettäinen phishing-hyökkäys osoittaa, miten kehittyneitä ovat hyökkäykset, joissa käytetään tartunnan saaneita liitetiedostoja. SVCReady-phishing-kampanja käyttää Microsoft Word -asiakirjan sisältämää tiettyä ominaisuutta, niin sanottua shellcodea, siirtääkseen koneelle latausohjelman. Tartunnan saanutta konetta käytetään sen jälkeen arkaluonteisten tietojen keräämiseen, etäohjauskeskuksen perustamiseen ja yleisesti siihen asti, kunnes hyökkääjä päättää hyökätä tappamaan, asentaa lisää haittaohjelmia ja/tai varastaa tietoja.
Älä jaa liikaa sosiaalisessa mediassa
Verkkorikolliset keräävät tietoja kohteestaan, jotta heidän phishing-hyökkäyksensä ovat räätälöityjä ja todennäköisemmin huijaavat vastaanottajia. Sosiaalinen media on ihanteellinen lampi tietojen kalasteluun. Kyberrikolliset tutkivat yritystä ja sen työntekijöitä etsien tietoja, joita voidaan käyttää spear phishing -kampanjoiden luomiseen.
Sosiaalinen media on myös paikka, jossa liiallinen jakaminen voi johtaa salasanojen jakamiseen. Esimerkiksi eräässä raportissa todettiin, että salasanojen jakaminen on laajalle levinnyt turvattomissa yhteistyökanavissa, kuten Slackissa. Varmista, että työntekijäsi tietävät vaarat, jotka liittyvät yksityisten tietojen ja salasanojen luovuttamiseen kanavissa, kuten Slackissa, Discordissa ja sosiaalisen median alustoilla.
Ole tietoinen salasanahygieniasta
Salasanojen jakaminen ja uudelleenkäyttö lisäävät mahdollisuuksia, että tietojenkalastelukampanja johtaa tietojen ja tietojärjestelmien vaarantumiseen. Salasanojen yhteiskäyttö on vakava ongelma organisaatioissa. Googlen tutkimuksen mukaan 62 prosenttia ihmisistä käyttää salasanoja uudelleen, ja 52 prosenttia käyttää salasanoja useiden tilien käyttämiseen.
Lisäksi 34 prosenttia työntekijöistä jakaa salasanoja työtovereiden kanssa. Jos salasanoja "kierrätetään" ja käytetään uudelleen, ihmiset eivät todennäköisesti näe niiden turvallisuusarvoa ja suhtautuvat siksi salasanojen turvallisuuteen laissez-faire -periaatteella. Ota salasanahygienia keskeiseksi teemaksi tietoturvatietoisuuskoulutuksessa.
Patch in Time
Phishing-sähköpostikampanjat ovat usein riippuvaisia hyödynnettävissä olevasta tietoturva-aukosta. Esimerkiksi vuonna 2021 tehdyssä Zimbra-salailuhyökkäyksessä hyödynnettiin Zimbra-sähköpostiohjelman haavoittuvuuksia phishing-sähköpostin avulla. Sen vuoksi ohjelmistosovellusten korjaaminen mahdollisimman pian on elintärkeää jatkuvissa phishingin vastaisissa toimenpiteissä.
Pidä tilit ajan tasalla
Vanhat verkkotilit ovat hyödyllisiä verkkorikollisille, jotka voivat käyttää niitä synteettisten henkilöllisyyksien luomiseen ja petosten tekemiseen. Näitä tilejä voidaan käyttää myös osana BEC-huijausta tai tietojen keräämiseen uusia verkkohyökkäyksiä varten.
Jos sinulla on vanha sähköposti- tai verkkotili, jota et koskaan käytä, sulje tili tai ota se uudelleen käyttöön ja tarkkaile sitä säännöllisesti. Varmista, että vaihdat salasanan usein, ja tarkista HaveIBeenPwnd-ohjelmasta, onko sähköpostitili tai salasana paljastunut tietomurron yhteydessä.
Käytä 2FA:ta (mutta ole silti varovainen)
Paras käytäntö phishing-huijauksilta suojautumiseen on toisen tekijän (2FA) käyttö aina, kun tätä toimenpidettä tuetaan. 2FA ei kuitenkaan takaa, että phishing-hyökkäys ei onnistu, vaan ainoastaan vähentää riskiä.
Huonosti toteutetut 2FA-toimenpiteet voivat esimerkiksi olla hyödyttömiä phishing-hyökkäysten estämisessä. Käytä 2FA:ta, mutta tue sitä tietoturvatietoisuuskoulutuksella.
Ilmoita kaikesta epäilyttävästä
Kannusta työntekijöitä ilmoittamaan epäilyttävästä sähköpostista tai tekstiviestistä, jotta vaaratilanteita ei pääse tapahtumaan. Luo ympäristö, joka kannustaa turvallisuusyhteistyöhön. Pidä ovi ja mieli avoimena työntekijöille, jotka napsauttavat haitallista linkkiä, antamalla heille tilaa tuntea, että he voivat ilmoittaa virheestä.
Tapahtumien raportointi auttaa suojaamaan organisaatiotasi phishing-huijauksilta, mutta raportoinnin on oltava helppoa ja perustuttava kehittyneeseen raportointijärjestelmään, joka on suunniteltu eskaloimaan ja tarjoamaan käsittelyvaihtoehtoja.
Harkitse kalastelunestotyökalujen käyttöä
Tietoturvakoulutus on osa laajempaa toimenpidekokonaisuutta, jolla voidaan suojautua phishing-huijauksilta. Muita toimenpiteitä, joita voidaan käyttää ja jotka lisäävät suojaa, ovat muun muassa seuraavat: DNS-suodatusohjelmisto, joka auttaa estämään työntekijää siirtymästä haitalliselle verkkosivustolle, ja pilvipohjainen sähköpostin roskapostisuodatin, joka voi estää phishing-sähköposteja pääsemästä työntekijän postilaatikkoon.
Nämä turvatoimet eivät kuitenkaan yksin riitä. Phishing-sähköpostiviestejä kehittävät verkkorikolliset suunnittelevat sähköpostiviestit yhä useammin niin, että ne eivät havaitse niitä. Organisaatio voi suojautua phishing-huijauksilta vain käyttämällä monikerroksisia menetelmiä, joihin kuuluu myös työntekijöiden tietämys tietojenkalastelusta.
