Το ηλεκτρονικό phishing αποτελεί μια από τις κορυφαίες μεθόδους που χρησιμοποιούν οι χάκερς έχοντας ως στόχο χρήστες επιχειρήσεων για να διεισδύσουν στον χώρο εργασίας. Το ηλεκτρονικό phishing εξακολουθεί να λειτουργεί με επιτυχία επειδή οι χάκερς μπορούν να αποσπάσουν πολύ εύκολα credentials χρηστών, μελετώντας πρώτα τα υποψήφια θύματά τους και χρησιμοποιώντας συνεχώς νέες τεχνικές.
Γιατί το phishing συνεχίζει να “στοιχειώνει” επαγγελματίες ασφαλείας και τί μπορεί να γίνει για να μειωθεί ή να μετριαστεί η απώλεια ευαίσθητων δεδομένων;
Με την πάροδο του χρόνου, οι επιθέσεις phishing έγιναν πιο δύσκολα εντοπίσιμες, ενώ παράλληλα έχουν αυξηθεί τα μέτρα κυβερνοασφάλειας για την πρόληψη και την αντιμετώπισή τους. Το phishing επηρεάζει την παραγωγικότητα του εργατικού δυναμικού μιας επιχείρησης. Πιο συγκεκριμένα, οι εργαζόμενοι επιθυμούν να φέρνουν εις πέρας οτιδήποτε τους ανατίθεται, θέλοντας να κάνουν σωστά την δουλειά τους. Σε πολλές δουλειές, οι εργαζόμενοι καλούνται να κάνουν “κλικ” σε συνδέσμους και να ανοίξουν συνημμένα. Το phishing βασίζεται στην ανθρώπινη συμπεριφορά διακόπτοντας τη ροή εργασίας των εργαζομένων. Η αυθεντικότητα του αποστολέα, το περιεχόμενο των email και η ενέργεια που ζητείται κάθε φορά τίθενται υπό αμφισβήτηση.
Γενικότερα, οι εργαζόμενοι έχουν την πεποίθηση ότι ο χώρος εργασίας προσφέρει μια ασφαλέστερη εργασιακή εμπειρία σε σύγκριση με το σπίτι, δεδομένου ότι υπάρχουν τα απαραίτητα προστατευτικά μέτρα αλλά και μία ομάδα ασφαλείας στο δυναμικό της επιχείρησης.
Δεν είναι λίγες οι περιπτώσεις που εξαιτίας του phishing κλονίζεται η εμπιστοσύνη ανάμεσα στους εργαζομένους και τους εργοδότες. Επομένως χρειάζεται μια τέτοια προσέγγιση ώστε να συμβαδίζει η στάση που τηρεί μία επιχείρηση σε ζητήματα ασφαλείας με τις προσδοκίες παραγωγικότητας του εργατικού δυναμικού.
Η ψυχολογία πίσω από το phishing είναι μία περίπλοκη υπόθεση. Οι phishers συνήθως χρησιμοποιούν ψυχολογικά κόλπα για να ωθήσουν τους χρήστες επιχειρήσεων να προβούν σε ενέργειες που υπό άλλες συνθήκες δεν θα πραγματοποιούσαν, εκμεταλλευόμενοι την επιθυμία των εργαζομένων να είναι χρήσιμοι και παραγωγικοί στην δουλειά τους και να κάνουν ό,τι τους υποδεικνύει μία “ανώτερη αρχή”.
Ωστόσο, δεν αρκεί μόνο η εκπαίδευση για να προστατευτούν οι χρήστες και οι επιχειρήσεις από το ηλεκτρονικό “ψάρεμα”. Η πρόληψη του phishing απαιτεί μια πολυεπίπεδη προσέγγιση που συνδυάζει τεχνικούς ελέγχους και εκπαίδευση των χρηστών.
Οι αναλυτές ασφαλείας της Forrester καθορίζουν τα επίπεδα ασφαλείας ως εξής:
- Εφαρμογή τεχνικών ελέγχων για την προστασία των χρηστών.
- Λύσεις ασφαλείας email, συμπεριλαμβανομένου του φιλτραρίσματος του περιεχομένου που αποστέλλεται μέσω email και του ελέγχου ταυτότητας email.
- Εκπαίδευση του εργατικού δυναμικού της επιχείρησης ώστε να μπορεί να αναγνωρίζει απόπειρες ηλεκτρονικού “ψαρέματος”.
- Οι επιχειρήσεις θα πρέπει να παρέχουν συνεχή εκπαίδευση και κατάρτιση, να διαθέτουν μηχανισμούς για την αναφορά phishing και να ελέγχουν τις επιδόσεις. Επιπλέον, δεν θα πρέπει σε καμία περίπτωση να εκτίθενται στον χώρο εργασίας οι χρήστες που πέφτουν θύματα αυτών των επιθέσεων, καθώς το συναίσθημα της έκθεσης και της ντροπής αποτρέπει τους εργαζομένους από το να αναφέρουν τις απόπειρες ηλεκτρονικού “ψαρέματος”, ενώ είναι λιγότερο πιθανό να ολοκληρώσουν την εκπαίδευσή τους.
- Οι επιχειρήσεις θα πρέπει, ακόμη, να είναι προετοιμασμένες για ενδεχόμενη τεχνική ή ανθρώπινη αποτυχία. Ακόμα κι αν οι επιχειρήσεις ακολουθήσουν τις βέλτιστες τεχνικές εκπαίδευσης και κατάρτισης των εργαζομένων, πάλι υπάρχει ο κίνδυνος οι χρήστες επιχειρήσεων να πέσουν θύματα phishing. Ωστόσο, οι επιχειρήσεις θα πρέπει να είναι καλά προετοιμασμένες ώστε να περιορίσουν τον αντίκτυπο που θα έχει μια επιτυχημένη επίθεση phishing. Τεχνολογίες όπως η απομόνωση του προγράμματος περιήγησης και ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) μπορούν να συμβάλλουν στον περιορισμό των επιπτώσεων του phishing. Εξοπλισμένες εκ των προτέρων με ένα σχέδιο αντιμετώπισης τέτοιων επιθέσεων, οι επιχειρήσεις θα έχουν μία πιο γρήγορη και καλύτερης ποιότητας αποκατάσταση μετά από μία πιθανή επίθεση.
