CYBER SECURITY AWARENESS MONTH
1 października wystartował Cyber Security Awareness Month. W tym roku głównymi tematami były: ransomware oraz phishing. Skoncentrowaliśmy się na “ludzkiej” części cyberbezpieczeństwa i stworzyliśmy “Alfabet Security Awareness”.
A – ATAKI SOCJOTECHNICZE
Polegają na wprowadzeniu w błąd użytkownika, w celu nakłonienie go do działania zgodnego z intencją atakującego. Ataki odbywają się w jednym lub kilku krokach. Sprawca najpierw obserwuje swoją ofiarę, aby zebrać niezbędne informacje potrzebne do przeprowadzenia ataku
B – BAITING
Baiting czyli ataki z przynętą wykorzystujące wabik, aby wzbudzić chciwość lub ciekawość ofiary. Kierują użytkowników w pułapkę, w celu kradzieży ich danych osobowych lub zainfekowania ich systemów złośliwym oprogramowaniem. Częstym przypadkiem przynęty są nośniki fizyczne typu pendrive.. Ofiary biorą przynętę z ciekawości i wkładają ją do komputera w pracy lub w domu, co skutkuje automatyczną instalacją złośliwego oprogramowania w systemie.
A Wy uruchomilibyście taki znaleziony pendrive?
C – CZŁOWIEK
Często mówi się o nim najsłabszy element systemu cyberbezpieczeństwa. Jednak zdecydowanie bardziej pasuje do niego określenie najistotniejszy, ponieważ dobrze wyedukowany i zmotywowany w zakresie Security Awareness może być ostatnim bastionem obrony, gdy cała technologia zawiedzie. Należy pamiętać, że 82% naruszeń bezpieczeństwa według raportu DBIR firmy Verizon miało czynnik ludzki.
Czy Wasi pracownicy zainteresowani są tematami cyberbezpieczeństwa?
Czy dbacie o umiejętności Waszych pracowników w zakresie security awareness?
D – DWUSKŁADNIKOWE UWIERZYTELNIANIE
Dwuskładnikowe uwierzytelnianie (2FA, z ang. Two Factor Authentication, MFA)to warstwowe podejście do zabezpieczania danych i aplikacji, w którym system wymaga od użytkownika przedstawienia dwóch kombinacji uwierzytelniających, w celu zweryfikowania tożsamości użytkownika podczas logowania. Takie uwierzytelnienie zwiększa bezpieczeństwo, ponieważ nawet jeśli jedno poświadczenie zostanie naruszone, nieautoryzowani użytkownicy nie będą w stanie spełnić drugiego wymagania uwierzytelniania i nie będą mogli uzyskać dostępu do urządzenia komputerowego, sieci VPN, poczty elektronicznej lub konta w banku.
Jaki sposób uwierzytelniania wg Was jest lepszy – SMS czy Authenticator?
E – EMAIL SPOOFING
Podszywanie się pod wiadomości e-mail to technika wykorzystywana w atakach spamowych i phishingowych, mająca na celu nakłonienie użytkowników do myślenia, że wiadomość pochodzi od osoby lub podmiotu, które znają lub którym mogą zaufać. W atakach typu spoofing nadawca fałszuje nagłówki wiadomości e-mail, aby oprogramowanie klienckie wyświetlało fałszywy adres nadawcy, który większość użytkowników przyjmuje za dobrą monetę, np. mail informujący o zalegającej płatności
Jeżeli masz wątpliwość, zgłoś na https://incydent.cert.pl/
F – FAŁSZYWA STRONA
Fałszywe strony WWW to wszelkie nielegalne witryny internetowe wykorzystywane do oszukiwania użytkowników w celu wyłudzenia danych lub złośliwych ataków. Oszuści nadużywają anonimowości Internetu, aby zamaskować swoją prawdziwą tożsamość i intencje za różnymi przebraniami. Mogą to być fałszywe strony serwiów transakcyjnych bankowości elektronicznej, strony logowania do portali społecznościowych łudząco podobne do prawidłowych, różniących się jedynie jednym znakiem w adresie. Często takie strony nie mają certyfikatu SSL, ale nie jest to regułą.
Blisko 1,5 mln fałszywych stron powstaje każdego miesiąca! – Uważajmy!
G – GRAMATYKA
Hakerzy często nie zwracają uwagi na gramatykę, dlatego jeżeli otrzymamy emaila, który zawiera błędy gramatyczne, to należy zachować szczególną ostrożność. Lepiej nie klikać w linki oraz załączniki. Warto rozważyć zgłoszenie Incydentu do działu cyberbezpieczeństwa lub IT
H – HASŁO
Hasło to kluczowy element systemu bezpieczeństwa. Nie wolno go nikomu przekazywać. Silne hasło powinno mieć minimum 12 znaków. Nie powinno zawierać ciągów znaków znajdujących się na liście i używanych haseł oraz przewidywalnych członów takich jak nazwa firmy czy usługi. Jeżeli jest silne, nie musi być zmieniane okresowo. Jeżeli istnieje podejrzenie, że hasło zostało skompromitowane lub jest po prostu słabe powinno być zmienione natychmiast. Warto korzystać z menagerów haseł.
I – INCYDENT
Jeżeli coś wygląda choćby trochę inaczej niż powinno, niech wzbudzi to twoją podejrzliwość. Lepiej zgłosić jeden incydent więcej, niż później żałować utraty danych lub innych nieprzyjemności. Poinformuj swój zespół cyberbezpieczeństwa, a jeśli sytuacja dotyczy spraw prywatnych, zgłoś tutaj: https://incydent.cert.pl/
J – JĘZYK
Internet nie ma granic i tą jego właściwość wykorzystują atakujący. Bardzo duża część ataków pochodzi z zagranicy. Do przygotowania materiałów jak na przykład emaile do kampanii phishingowych często wykorzystują translatory, które są jeszcze ułomne – w tym przypadku na szczęście . Jeżeli otrzymasz email, którego treść wygląda jakby była z translatora, zachowaj ostrożność i zgłoś Incydent
K – KUSZĄCE OFERTY
Uważaj na kuszące oferty – jeśli oferta brzmi zbyt kusząco, zastanów się dwa razy, zanim zaakceptujesz ją jako fakt. Googlowanie tematu może pomóc w szybkim ustaleniu, czy masz do czynienia z legalną ofertą, czy pułapką. Jeżeli masz wątpliwości, zgłoś Incydent.
Uważajmy na fałszywe sklepy internetowe, w szale zakupów przedświątecznych, szczególnych okresach promocji (np. Cyber Monday – w tym roku przypada na 28 listopada), oszuści tworzą wiele stron łudząco przypominające wygląd sklepów. Sprawdźmy więc, czy sklep ma opinie, kiedy powstała domena, czy jest regulamin na stronie, jaka jest forma kontaktu. Przy dużych obniżkach zawsze powinna się zapalić czerwona lampka.
L – LUKI BEZPIECZEŃSTWA
Presja oczekiwania coraz to nowych funkcjonalności w systemach i aplikacjach powoduje, że powstają bardzo szybko, a oraz ilość testów jest ograniczona do niezbędnego minimum. W związku z tym do użytkowników trafiają z systemami, które mają luki bezpieczeństwa. Stanowi to duże zagrożenia dla bezpieczeństwa, dlatego gdy tylko pojawiają się aktualizacje do aplikacji i systemów należy je instalować
M – MANIPULACJA
Manipulacja jest formą wywierania wpływu na człowieka w taki sposób, by nieświadomie i z własnej woli realizowała cele manipulatora. Stanowi ona jedną z metod przeprowadzania ataków phishingowych (socjotechnicznych). Ważnym elementem ochrony przed działaniami manipulatorskimi jest poznanie i uświadomienie sobie swoich słabych stron w działaniu w cyberprzestrzeni, które mogą zostać wykorzystane przez manipulatora.
N – NAWYKI
Jednym ze sposobów na ograniczenie ryzyka stania się ofiarą ataku jest wykształcenie w sobie bezpiecznych nawyków. Aby tak się stało trzeba dobre praktyki i zalecenia otrzymane podczas szkoleń zamieniać w czyn. Praktyka czyni mistrza, mistrza dobrych nawyków cyberbezpieczeństwa.
O – OKUP
Główną motywacją cyberprzestępców są pieniądze. Najpopularniejszą, a zarazem najbardziej zyskowną działalnością atakujących są wymuszenia okupu. Najczęstszymi powodami , żądania okupu jest zablokowanie dostępu do danych lub groźba ich ujawniania. Wykorzystywane jest do tego oprogramowanie typu ransomware.
P – PRESJA
Cyberprzestępcy często wywierają presję na użytkownika, aby skłonić go do popełnienia błędu, do wejścia w pułapkę. Może to być presja czasu, oczekiwanie aby użytkownik zrobił coś teraz, aby nie stracić okazji. Może to być również presja wywierana poprzez podszycie się pod przełożonego, szefa firmy, dyrektora. Gdy otrzymasz informacje, która zawiera jakąś formę presji, pospieszania, dobrze się zastanów czy to właśnie nie jest sytuacje wykreowana przez cyberprzestępców.
Q – QR KOD
Kod QR to bardzo wygodna metoda zaczytywania informacji. Niestety może też być wykorzystywana przez kod QR kod mogą wskazywać na fałszywą witrynę np. banku. Po zeskanowaniu kodu QR przenoszeni są na fałszywą stronę bankowości elektronicznej, na której wymagane jest podanie loginu i hasła. Stąd już prosta droga do stracenia wszystkich oszczędności.
R – RYZYKO
Pamiętaj! Nie ma czegoś takiego jak 100% bezpieczeństwo. Wszystkie działania: twarde implementowane w systemach IT oraz miękkie wykształcane w użytkowniku obniżają ryzyko, jednak go nie eliminują. Każde działanie w cyberprzestrzeni jest obarczone ryzykiem i to od ludzi zależy w dużej mierze jak bardzo uda się je ograniczyć.
S – SPRAWDZAJ
Jeżeli masz wątpliwości to sprawdzaj wszystko. Jeżeli email wygląd podejrzanie sprawdź pole nadawcy, przyjrzyj się językowi i gramatyce przesłanej treści wiadomości. Spójrz na powitanie, czy jest ogólne, czy też skierowane do ciebie. Zobacz czy email ma stopkę. Zbierz efekty sprawdzenia. Jeżeli nadal masz wątpliwość to znaczy, że jest coś na rzeczy. Zgłoś Incydent.
T – TEST ODPORNOŚCI
W ramach programu budowania programu Security Awareness w organizacji należy wprowadzić szkolenia ukierunkowane na zmianę postaw użytkowników, mechanizmy wzmacniające, utrwalające oraz weryfikujące. Przykładem tego ostatniego mechanizmu jest test odporności użytkowników na ataki socjotechniczne. Z jednej strony sprawdza nawyki pracowników, z drugiej daje materiał do rozmowy indywidualnej oraz pracy grupowej nad poprawą cyberbezpieczeństwa.
U – UWIERZYTELNIANIE
Uwierzytelnianie to termin, który odnosi się do procesu udowadniania prawdziwości jakiegoś faktu lub dokumentu. W informatyce termin ten zazwyczaj kojarzy się z udowodnieniem tożsamości użytkownika. Zwykle użytkownik potwierdza swoją tożsamość, podając swoje dane uwierzytelniające, czyli uzgodnioną informację udostępnianą między użytkownikiem a systemem. Kombinacja nazwy użytkownika i hasła to najpopularniejszy mechanizm uwierzytelniania. Jeżeli to możliwe należy włączyć do procesu uwierzytelnienie dwuskładnikowe.
W – WYCIEK DANYCH
Wyciek danych następuje wtedy, gdy cyberprzestępcy uzyskują dostęp do bazy danych firmy, w której są zawarte dane użytkowników. Nazwy i hasła użytkowników, numery PESEL, adresy, dane bilingowe mogą znajdować się wśród pozyskanych danych. Takie bazy danych są najczęściej sprzedawane przestępcom w sieci i używane do czerpania korzyści.
Y – YES YOU CAN!
Tak, możesz wygrać z cyberprzestępcami. Dostaniesz wsparcie w ramach programu Security Awareness w twojej organizacji oraz w postaci twojego zespołu bezpieczeństwa. Oni są po twojej stronie. Na końcu sukces zależy od ciebie, twojego zaangażowania. Daj się wkręcić w kulturę cyberbezpieczeństwa. Trzymamy kciuki.
Z – ZAPOMINANIE
Według krzywej zapominania Ebbinghausa nasz mózg zapomina nawet do 90% przyswojonych treści, i to w bardzo krótkim czasie od zakończenia nauki. Już w ciągu kilku dni następuje gwałtowny spadek zapamiętywanych treści. Dlatego ważne jest abyś zmiany w swoim cyberzachowaniu wykonał zaraz po szkoleniu oraz okresowo wracał do materiałów ze szkolenia.
#itchallenge #cybersecurity # awareness # ramsomware #phishing
