Շատ հարձակումներ չեն սկսվում «հաքինգով»։ Դրանք սկսվում են վստահությունից։
Ամենատարածված և արդյունավետ կիբերհարձակումներից մեկը phishing-ն է՝ կեղծ email, հաղորդագրություն, կայք կամ զանգ, որի նպատակը ձեզ ստիպելն է սեղմել հղման վրա, մուտք գործել, կիսվել կոդով կամ գումար ուղարկել։
Phishing-ը դեռ աշխատում է, որովհետև սովորաբար նախ չի հարձակվում համակարգչի վրա։ Այն հարձակվում է ուշադրության, շտապողականության, վախի և սովորության վրա։
Պարզ իրական օրինակ
Դուք ստանում եք հաղորդագրություն, որտեղ գրված է՝
- ձեր բանկային հաշիվը արգելափակվել է
- ձեր առաքումը ձախողվել է
- ձեր աշխատանքային գաղտնաբառը ժամկետանց է
- ձեր ղեկավարը շտապ փոխանցում է պահանջում
Հաղորդագրությունը ծանոթ է թվում։ Լոգոն իրական է թվում։ Տոնն՝ լուրջ։ Դուք զբաղված եք և արագ արձագանքում եք։
Հենց այդ պահն էլ հարձակվողին պետք է։ Նպատակը պարզ է՝ ստիպել ձեզ գործել, մինչև մտածելը։
Ինչու phishing-ը այսքան արդյունավետ է
- Այն ստեղծում է շտապողականություն։ “Act now”-ը անջատում է զգուշավոր մտածելակերպը։
- Այն նմանակում է վստահելի բրենդներին։ Մարդիկ վստահում են ծանոթ բաներին։
- Այն թիրախավորում է սովորական վարքը։ Հղում բացելը և գաղտնաբառ մուտքագրելը ամենօրյա գործողություններ են։
- Այն հեշտ է մասշտաբել։ Հարձակվողները կարող են գրեթե անվճար հազարավոր հաղորդագրություններ ուղարկել։
Ահա թե ինչու նույնիսկ խելացի մարդիկ կարող են ընկնել ծուղակը։ Phishing-ը սովորաբար չի աշխատում, որովհետև մարդը «անուշադիր» է։ Այն աշխատում է, որովհետև հաղորդագրությունը նախագծված է նորմալ մարդկային վարքը ճնշման տակ շահագործելու համար։
Phishing-ի տարածված նշանները
- անսպասելի շտապողականություն
- հղմամբ մուտք գործելու պահանջ
- գաղտնաբառ, OTP կամ վերականգնման կոդ հաստատելու ճնշում
- փոքր ուղղագրական կամ domain-ի տարբերություններ
- անսովոր կցորդներ
- վճարման կամ բանկային տվյալների փոփոխության պահանջներ
Ոչ բոլոր phishing փորձերն են անփույթ տեսք ունենում։ Շատերը polished, անձնավորված և համոզիչ են։
Ինչպես իրականում պաշտպանվել
- Մի սեղմեք անմիջապես։ Դադար առեք, երբ հաղորդագրությունը շտապ է թվում։
- Բացեք կայքը ինքներդ։ Հղումը օգտագործելու փոխարեն իրական կայքը գրեք ձեռքով։
- Ուշադիր ստուգեք ուղարկողին։ Display name-ը կարող է խաբել, email հասցեն՝ կարևոր է։
- Երբեք մի կիսվեք մեկանգամյա կոդերով։ Իրական ընկերությունները գրեթե երբեք չեն խնդրում հետ ուղարկել ձեր login code-ը։
- Օգտագործեք password manager։ Այն օգնում է նկատել կեղծ կայքերը, որովհետև սխալ domain-ում autofill չի անի։
- Միացրեք multi-factor authentication-ը։ Եթե գաղտնաբառը գողացվի, դա լրացուցիչ պաշտպանություն է։
Այս քայլերը փոքր են թվում, բայց ռիսկը կտրուկ նվազեցնում են։
Թաքնված դասը․ կիբերանվտանգությունը հաճախ վարքագծային է
Մարդիկ հաճախ պատկերացնում են կիբերհարձակումները որպես շատ տեխնիկական իրադարձություններ։ Երբեմն այդպես է։ Բայց շատ հաջող հարձակումներ շատ ավելի պարզ են․ դրանք կախված են նրանից, որ մարդը վստահի սխալ հաղորդագրությանը սխալ պահին։
Սա նշանակում է, որ անվտանգությունը միայն ծրագրերի մասին չէ։ Այն նաև սովորությունների մասին է՝
- դանդաղել, երբ ինչ-որ բան շտապ է թվում
- ստուգել նախքան արձագանքելը
- հաղորդագրությունը առանձնացնել իրական ծառայությունից
- անսպասելի հարցումները կասկածելի համարել, մինչև հաստատվեն
Ինչ պետք է դառնա նորմալ թիմերում
- Ստուգման մշակույթ։ Վճարումների և հասանելիության հարցումները կրկնակի ստուգելը պետք է նորմալ լինի։
- Առանց ամոթի report անել։ Եթե մեկը սեղմել է կասկածելի բան, պետք է անմիջապես հայտնի՝ առանց վախենալու։
- Հստակ ներքին կանոններ։ Թիմը պետք է իմանա՝ ինչպես են իրականում կատարվում password reset-երը, invoice change-երը և approvals-ը։
- Security by default։ MFA-ն, password manager-ները և սարքերի պաշտպանությունը չպետք է լինեն երկրորդական բաներ։
Տարածված վտանգավոր սխալը
Տարածված սխալ միտքն է՝ «Ես երբեք դրան չեմ ընկնի»։
Այդ համոզվածությունը ստեղծում է գերգնահատված վստահություն, իսկ դա օգտակար է հարձակվողներին։ Ավելի անվտանգ մտածելակերպն է՝ «Եթե ես շտապում եմ, հոգնած եմ կամ շեղված, սովորականից ավելի խոցելի եմ»։
Եզրակացություն
Phishing-ը աշխատում է, որովհետև թիրախավորում է մարդկային վարքը, ոչ միայն տեխնոլոգիան։ Լավագույն պաշտպանությունը ոչ թե պարանոյան է, այլ կրկնվող փոքր սովորությունները՝ դադար առնել, ստուգել, օգտագործել իրական կայքը, պաշտպանել հաշիվները և երբեք թույլ չտալ, որ շտապողականությունը որոշի ձեր փոխարեն։