Pretekstowanie może mieć miejsce w dowolnym miejscu i czasie, dlatego ważne jest, aby zrozumieć, czym jest i jak chronić przed nim pracowników. Możesz chronić swoją firmę przed tym rodzajem oszustwa, nie klikając niechcianych linków, nie udostępniając danych osobowych w Internecie oraz edukując pracowników w zakresie technik pretekstowania.
Czytaj dalej, aby dowiedzieć się więcej o pretekstowaniu, a także technikach wykorzystywanych przez cyberprzestępców, aby nakłonić ofiary do ujawnienia poufnych informacji.
Czym jest pretekstowanie?
Pretekstowanie to rodzaj ataku socjotechnicznego, w którym cyberprzestępca wymyśla historię, aby przekonać ofiarę do ujawnienia poufnych informacji, które dają cyberprzestępcy nieautoryzowany dostęp do systemów.
Może przybierać różne formy, w tym kontakt osobisty, połączenie telefoniczne i wiadomość tekstową. Cyberprzestępca będzie próbował zbudować relacje między sobą a ofiarą, aby zyskać na wiarygodności. Często wykorzystują informacje znalezione w Internecie na temat ofiary, aby przekonać ją, że są tym, za kogo się podają. Wykorzystują historię wcześniejszego zatrudnienia ofiary, aktualne zatrudnienie i inne informacje, aby przekonać ją, że można zaufać osobie nawiązującej kontakt.
Różne techniki oszustw
Istnieje wiele rodzajów technik pretekstowania, które cyberprzestępcy wykorzystują, aby nakłonić ofiary do ujawnienia poufnych informacji i uzyskania nieautoryzowanego dostępu do systemów. Oto niektóre z technik pretekstowania, które wykorzystują cyberprzestępcy.
Piggybacking
Piggybacking to jeden z rodzajów techniki pretekstowania, w której cyberprzestępca próbuje uzyskać dostęp do sieci, systemu lub lokalizacji fizycznej. Cyberprzestępcy mogą uzyskać dostęp do sieci lub systemu, gdy sieci Wi-Fi są niezabezpieczone. Osobiście cyberprzestępcy mogą uzyskać dostęp do budynku, korzystając z życzliwości pracownika, aby przejść przez otwarte drzwi.
Może to być szczególnie niebezpieczne, jeśli cyberprzestępca znajdzie się w budynku, w którym wielu pracowników często odchodzi od swoich urządzeń, gdy są nadal zalogowani. Cyberprzestępca może łatwo wejść i wykraść poufne informacje za pomocą zaledwie kilku kliknięć.
Celem cyberprzestępcy korzystającego z tej techniki jest uzyskanie dostępu do sieci lub budynku fizycznego, aby mógł przeprowadzać swoje działania.
Tailgating
Tailgating, czyli wejście za kimś, jest podobne do poprzedniej techniki z jedną zasadniczą różnicą. Tailgating, podobnie jak piggybacking, obejmuje próby uzyskania dostępu do lokalizacji fizycznej przez cyberprzestępców, z tym że w tym przypadku nie mają dostępu do budynku i mogą uzyskać go bez wiedzy innych osób. Cyberprzestępcy mogą prześlizgnąć się przez otwarte drzwi w trakcie ich domykania, sprawiając wrażenie, jakby ktoś uprawniony uzyskał dostęp do budynku. Ta technika sprawia, że pracownicy nie będą wiedzieć, kto właśnie wszedł do budynku, co naraża wszystkie dane firmowe na ryzyko naruszenia.
Wyłudzanie informacji (ang. phishing)
Phishing jest jedną z najpopularniejszych technik pretekstowania. W trzecim kwartale 2022 r. grupa robocza ds. zwalczania phishingu (APWG) poinformowała, że odnotowano łącznie 1 270 883 ataków phishingowych, co stanowi nowy rekord.
Atak phishingowy ma przekonać osobę będącą celem ataku do ujawnienia poufnych informacji, takich jak dane uwierzytelniające, numery kart kredytowych i inne. Próby phishingu są zazwyczaj maskowane w formie pilnej wiadomości e-mail ze źródła udającego zaufanego nadawcę. Celem ataku phishingowego jest zmuszenie osoby do podjęcia natychmiastowego działania, bez zawahania się, poprzez otwarcie załącznika lub kliknięcie linku. Kliknięcie niechcianych linków i załączników może spowodować infekcję złośliwym oprogramowaniem i narażenie wszystkich informacji użytkownika na ryzyko kradzieży.
Vishing
Vishing to atak phishingowy, ale bardziej wyrafinowany i skuteczny. Jest to atak phishingowy w formie głosowej, podczas którego osoba dzwoni do odbiorcy i podszywa się pod kogoś innego. Cel jest taki sam, jak w przypadku ataku phishingowego – nakłonienie osoby do ujawnienia poufnych informacji, które mogą zostać wykorzystane do celów przestępczych.
Jak chronić siebie i firmę przed pretekstowaniem
Zabezpiecz siebie i swoją firmę przed atakami, postępując zgodnie z tymi wskazówkami.
Nie klikaj linków ani załączników niewiadomego pochodzenia
Jeśli otrzymasz wiadomość e-mail lub wiadomość tekstową, której się nie spodziewasz, nigdy nie klikaj linków ani załączników. Jak już wspomniano powyżej, kliknięcie linków może prowadzić do infekcji złośliwym oprogramowaniem, co daje cyberprzestępcy dostęp do wszystkich informacji.
Obecnie mamy wiele mediów społecznościowych, a udostępnianie tam informacji na temat swojego życia i doświadczeń może być kuszące, ale trzeba to robić z głową. Nie udostępniaj danych osobowych, które cyberprzestępcy mogą wykorzystać przeciwko Tobie osobiście lub w Internecie.
Nie tylko unikaj udostępniania danych informacji w Internecie, lecz także nigdy nie odpowiadaj na prośby innych osób o ujawnienie Twoich danych osobowych. Gdy ktoś prosi Cię o podanie informacji osobistych lub poufnych, zastanów się, dlaczego chce je poznać.
Nie ma obowiązku ujawniania danych poufnych lub osobowych innym ludziom, dlatego nigdy nie poddawaj się presji.
Przeszkol pracowników i naucz ich rozpoznawać techniki pretekstowania
Techniki pretekstowania, takie jak piggybacking i tailgating, mogą się zdarzyć w czasie rzeczywistym. Upewnij się, że pracownicy zawsze zamykają za sobą drzwi wejściowe, aby nikt nieuprawniony nie uzyskał dostępu. Możesz nawet rozważyć zatrudnienie personelu w holu budynku, aby zapobiec wejściu osób nieupoważnionych.
Twoi pracownicy powinni wiedzieć też, że poza technikami pretekstowania we własnej osobie, cyberprzestępcy stosują również inne techniki online, takie jak phishing i vishing. Aby zabezpieczyć się przed atakami phishingowymi, należy przeprowadzić szkolenie pracowników. Szkolenie phishingowe wyposaży pracowników w wiedzę o wiadomościach phishingowych i nauczy rozpoznawania ich. Jednym z programów szkoleniowych poświęconych świadomości bezpieczeństwa jest KnowBe4. KnowBe4 to program szkoleniowy, który możesz wdrożyć w swojej firmie. Obejmuje on różne moduły szkoleniowe dla pracowników, a także wysyła symulowane wiadomości phishingowe, aby pracownicy mogli trenować ich identyfikację.
Stosowanie menedżera haseł w firmie
Jeśli chodzi o pretekstowanie, jednym z najważniejszych rozwiązań w zakresie cyberbezpieczeństwa, które można wdrożyć, aby zapewnić bezpieczeństwo danych firmowych, jest menedżer haseł dla firm. Biznesowy menedżer haseł to narzędzie, które umożliwia egzekwowanie wymagań wobec pracowników w zakresie haseł, a także ich bezpiecznego przechowywania. Menedżer haseł umożliwia bezpieczne udostępnianie poufnych informacji i danych uwierzytelniających bez narażania ich na ryzyko naruszenia.
Jeśli Twoja firma padnie ofiarą pretekstowania, menedżer haseł ułatwia zabezpieczenie kont, umożliwiając generowanie nowych, silnych, unikalnych haseł dla każdego z kont, aby uniknąć dalszych strat.
Ochrona przed pretekstowaniem
Techniki pretekstowania są skuteczne ze względu na aspekt socjotechniczny, ale uświadamianie pracownikom istniejących zagrożeń i przeszkolenie ich w zakresie rozpoznawania ataków może pomóc bronić się przed nimi.
Musisz mieć pewność, że pracownicy wiedzą o ryzyku związanym z udostępnianiem danych osobowych w Internecie, aby zapewnić bezpieczeństwo całej firmie. Zainwestuj w narzędzie cyberbezpieczeństwa, takie jak Keeper, aby Twoje dane poufne były zawsze pod ochroną, dlatego już dziś zamów Keeper dla swojej firmy.