fbpx

Dlaczego ludzie wciąż klikają podejrzane linki?

Udostępnij

Phishing - dlaczego na celowniku cyberprzestępców znajdują się użytkownicy?

Atakujący coraz częściej bezpośrednio atakują użytkowników. Dlaczego? Technologie mające nam zapewnić bezpieczeństwo są coraz bardziej skuteczne – oparte na uczeniu maszynowym i sztucznej inteligencji z łatwością powstrzymują nawet najbardziej zaawansowane ataki. Jak donoszą eksperci Proofpoint obecnie aż 94% cyberataków rozpoczyna się za pośrednictwem poczty e-mail, to jasno wskazuje, że cyberprzestępcy zamiast przebijać się przez zabezpieczenia celują w najbardziej wrażliwy punkt – użytkownika. Ostatnie badania wskazują, że zdecydowana większość ataków, aby była skuteczna wymaga interakcji z człowiekiem. Potwierdzają to również ostatnie badania regionalne firmy Proofpoint, z których wynika, że 55% CISO/CSO w Zjednoczonych Emiratach Arabskich uważa, że ​​błąd ludzki jest jednym z najpoważniejszych czynników ryzyka dla ich organizacji.

Sztampowe ataki wciąż są skuteczne - dlaczego nabieramy się na phishing?

Oszuści wykorzystują nasze emocje. Zwykle wyróżnia się trzy główne sposoby, w jakie atakujący próbują nas nabrać – poprzez nakłonienie użytkownika do uruchomienia niebezpiecznego kodu, zachęcanie użytkownika do przekazania poświadczeń bezpieczeństwa lub podżeganie do bezpośredniego transferu pieniędzy lub danych do atakującego. Niepokojące jest również to, że ataki tego typu są coraz bardziej złożone. Cyberprzestępcy robią wszystko, aby podczas ataku pracownicy zapomnieli o szkoleniach w zakresie bezpieczeństwa i podjęli złą decyzję, która umożliwi im przeprowadzenie skutecznego ataku. Istnieją trzy aspekty, które wykorzystują, aby zwiększyć swoje powodzenie – emocje, zaufanie i zmęczenie.

usługa FortiConverter

Sztuka phishingu - emocje, zaufanie i zmęczenie

Dlaczego cyberprzestępcy często dokonują ataków w piątkowe popołudnie? Taka strategia sprawia, że udane naruszenie zapewnia atakującym cały weekend na wykorzystanie swojego dostępu do firmowych zasobów. Ponadto pod koniec tygodnia użytkownicy z większym prawdopodobieństwem dokonają złego wyboru, ponieważ istnieje większe prawdopodobieństwo, że są zwyczajnie zmęczeni. Innym aspektem zmęczenia jest efekt przytłoczenia. Jeśli napastnik wie, że jego działanie wywoła alarm – to najpierw wywołuje dziesiątki fałszywych alarmów, tak aż cel zostanie przytłoczony i przestanie być wyczulony na tego typu działania i dopiero wtedy oszust przeprowadzi prawdziwy atak.

Atakujący bezpardonowo wykorzystują także nasze zaufanie. W obliczu szeregu wyborów zaufanie jest kolejnym skrótem używanym przez nasz mózg do podejmowania szybkich decyzji. Jeśli mamy skojarzenie z marką lub osobą, której ufamy, wówczas komunikacja nabiera większej wiarygodności, a próg wymagany do kliknięcia lub interakcji zostaje obniżony. Stąd też oszuści w fałszywych mailach podają się za instytucje czy marki, którym ufamy – InPost, Netflix czy Allegro

Ponadto atakujący aktywnie wyzwalają reakcje emocjonalne, tak aby użytkownik szybko podejmował decyzje, pomijając racjonalne myśli i zwiększając tym samym prawdopodobieństwo kliknięcia linku znajdującego się w fałszywej wiadomości. Działania cyberprzestępców są tak skonstruowane, aby wywołać w nas poczucie zagrożenia, dezorientację, strach, ale także wykorzystują naszą chciwość, dumę czy wstyd. Jakie tematy wiadomości elektryzują nas najbardziej? Twoja paczka wkrótce zostanie zwrócona do magazynu, Twoje konto Netflix wkrótce zostanie zawieszone, czy Zostałeś jedynym spadkobiercą bogatego krewnego wciąż działają na użytkowników jak magnes. Powyższe przykłady phishingu pokazują nie tylko to, że sztampowe ataki, które znamy od lat są wciąż skuteczne, ale także to, w jaki sposób pilność jest wykorzystywana przez oszustów jako przynęta. 

Jak przygotować pracowników na atak phishingowy?

Aktualnie atakujący koncentrują się szczególnie na ludzkich emocjach, warto przeprowadzić wśród pracowników szkolenie, które uświadomi im jakie metody wykorzystują cyberprzestępcy, aby zdobyć nasze zaufanie. Podczas naszych autorskich szkoleń z tego zakresu ostrzegamy uczestników, że im silniejszy nacisk na wykonanie konkretnego działania w wiadomości e-mail czy podczas rozmowy telefonicznej, tym bardziej powinni być ostrożni i rozważni.

Warto w swojej organizacji wprowadzić model – ufaj, ale weryfikuj za pomocą innego kanału, ilekroć pracownikowi nasuną się jakiekolwiek podejrzenia dotyczące autora wiadomości. 

Nie pozwól, aby napastnicy manipulowali emocjami Twoich pracowników. Ciągła edukacja i podnoszenie świadomości w zakresie zagrożeń to najtańszy sposób na zapobieganie atakom phishingowym.