Phishing – furtka do ransomware i wielki problem małych i średnich firm 

Phishing jest jednym z najpoważniejszych zagrożeń, z jakimi borykają się dzisiaj właściciele firm. W ciągu ostatnich kilku lat ataki phishingowe stały się coraz bardziej wyrafinowane i trudne do wykrycia.

Tymczasem badanie “Sposób postrzegania cyberbezpieczeństwa wśród menedżerów polskich firm” zlecone w 2022r. przez Sophos* wykazało, że ponad ¼ polskich firm nie ma budżetu na ochronę przed cyberzagrożeniami. Średnio co trzeci manager narzeka, że zarządy nie są zainteresowane kwestią bezpieczeństwa danych i systemów. 

W tym artykule bierzemy na tapet phishing. Wyjaśnimy, czym jest, jakie metody ataków wykorzystują przestępcy i jakie skutki może wywołać w firmie pojedynczy atak. Na koniec przedstawimy sposoby walki z tym zjawiskiem. 

Co to jest phishing? 

Phishing to technika cyberataków, której celem jest wyłudzenie poufnych informacji, takich jak hasła, dane logowania lub dane finansowe, poprzez podszywanie się pod zaufane źródło lub instytucję. 

Od czasu wybuchu pandemii COVID-19, liczba ataków phishingowych wzrosła ponad dwukrotnie. Na celowniku znaleźli się pracownicy, którzy z dnia na dzień przenieśli się z biur do domów i których firmy nie zdążyły wyposażyć w odpowiednią ochronę, np. w postaci filtrów wykrywających i blokujących dostęp do fałszywych stron. 

Źródłem ataków stały się zorganizowane grupy przestępcze, które dla zysku (a niekiedy na zlecenie) wyłudzają dane, a następnie za ich pomocą dostają się do sieci firmowych, by zaszyfrować dane i zażądać okupu. 

Brzmi jak scenariusz filmu gangsterskiego? Być może. Faktem jest, że na jego podstawie cyberprzestępcy żądają od polskich firm średnio 1,5 mln zł za odszyfrowanie wykradzionych danych. Te, które nie mają odpowiednich zabezpieczeń oraz kopii zapasowych, płacą. 

Konsekwencje cyberataków dla firm 

Badanie SW Research dla Sophos pokazuje, że aż 40% managerów w Polsce najbardziej obawiaja się problemów z płynnością finansową firmy w wyniku cyberataku. Największe obawy towarzyszą kadrze zatrudnionej w przedsiębiorstwach o obrocie do miliona złotych (aż 55%) i powyżej 15 milionów złotych (41%). 

Kwestia zapewnienia ochrony danych i systemów dotyczy więc nie tylko gigantów, ale też sektora MŚP. 

Co może grozić firmie, jeśli wpuści do swojej infrastruktury hakera?  

• Zablokowane konta bankowe wprost przełożą się na brak płynności finansowej; 
• Brak dostępu do systemów uniemożliwi realizację usług i zamówień, co doprowadzi do utraty klientów; 
• Zatrzymanie produkcji spowoduje straty, które trudno będzie odrobić, lub będzie to niemożliwe. Dojdą również koszty przywrócenia działalności; 
• Jeśli dojdzie do wycieku danych objętych RODO, firma będzie narażona na dodatkowe kary finansowe; 
• Wyciek danych objętych umowami o poufności spowoduje kroki prawne ze strony klientów; 
• Straty wizerunkowe przy powyższym stanowią tylko przysłowiowy gwóźdź do trumny. 

Phishing – przykłady i metody ataków 

Ataki z użyciem phishingu mają nas “złowić” w momencie, kiedy się tego nie spodziewamy. Działając z zaskoczenia atakujący będzie chciał nas zmusić do: 

• Podania danych logowania (np. do banku) na spreparowanej stronie www; 
• Podania danych karty płatniczej; 
• Podania danych osobowych (np. numeru dowodu osobistego, numeru PESEL, nazwiska panieńskiego matki i innych danych, które są wykorzystywane przez instytucje finansowe do weryfikacji tożsamości); 
• Pobrania pliku ze złośliwym oprogramowaniem, np. faktury, wezwania do zapłaty, oferty. 

Oto kilka najpopularniejszych metod phishingu 

Phishing e-mailowy 

Phishing e-mailowy to najczęstsza forma phishingu. Właściciel firmy lub pracownik otrzymuje fałszywe e-maile, które wyglądają jak wiadomości od banków, firm lub usługodawców, które proszą o potwierdzenie danych lub wykonanie płatności. Mogą również zawierać linki do fałszywych stron internetowych, które wyglądają tak samo jak prawdziwe strony, ale służą do kradzieży danych użytkowników. 

Phishing e-mailowy jest coraz trudniejszy do wykrycia, ponieważ hakerzy skutecznie imitują wygląd i treść maili transakcyjnych, a także wysyłają je z adresów łudząco podobnych do tych oryginalnych. 

Spear-phishing 

Spear-phishing to specyficzna forma phishingu, w której cyberprzestępcy przeprowadzają ataki na konkretnych pracowników lub grupy pracowników w celu pozyskania poufnych informacji lub uzyskania dostępu do sieci firmy. Ataki spear-phishing wymagają wcześniejszego rozpoznania firmy oraz pracowników, dlatego wykorzystuje się je najczęściej w stosunku do dużych i zamożnych instytucji. Atakujący często stosują techniki inżynierii społecznej, aby uzyskać informacje, które pomogą im oszukać pracowników.  

Vishing 

Vishing, znany również jako voice phishing, to forma phishingu, która wykorzystuje połączenia telefoniczne do wyłudzenia poufnych informacji. Atakujący dzwonią do Twojej firmy i udają pracowników banków, policjantów, dostawców usług lub firm IT, a następnie proszą o podanie poufnych informacji lub zalogowanie na spreparowanej stronie www. 

Smishing (SMS spoofing) 

Smishing, czyli SMS phishing, to forma phishingu, która wykorzystuje wiadomości SMS do wyłudzenia poufnych informacji lub uzyskania dostępu do urządzeń mobilnych. Jeśli kojarzysz alarmująca wiadomość, że masz niezapłacony rachunek i zaraz odetną Ci prąd albo nie dostarczą paczki – to właśnie smishing w praktyce. 

Pharming 

Pharming to forma phishingu, która polega na przechwyceniu ruchu internetowego i przekierowaniu użytkowników na fałszywe strony internetowe. Cyberprzestępcy używają manipulacji DNS lub ataków typu man-in-the-middle, aby przekierować użytkowników na fałszywe strony internetowe. 

Jak się ustrzec przed phishingiem? 

Phishing jest niebezpieczny dla firm i biznesów, ponieważ może prowadzić do wycieku poufnych informacji, a tym samym do utraty reputacji i zaufania klientów. Może także prowadzić do utraty pieniędzy, jeśli cyberprzestępcy uzyskają dostęp do kont bankowych lub innych źródeł finansowania firmy. 

Ochrona przed phishingiem rozpoczyna się od zbudowania i przestrzegania dobrych praktyk bezpieczeństwa. Na co postawić? 

• Stosowanie silnych haseł i wielopoziomowych autoryzacji, 
• Korzystanie z profesjonalnych zapór firewall, 
• Blokowanie fałszywych stron logowania, 
• Szkolenie pracowników w zakresie rozpoznawania phishingu. 

 
Właściciele firm oraz managerowie działów IT muszą być świadomi różnych metod i typów phishingu oraz być w stanie zidentyfikować, które z nich są najbardziej niebezpieczne dla ich organizacji. 

Chcesz skutecznie chronić firmę przed cyberatakami? Porozmawiaj z naszymi ekspertami podczas bezpłatnej konsultacji i dowiedz się więcej o skutecznej cyberochronie.