יום הגנת הפרטיות: מתקפות פישינג אמינות יותר מתמיד – כך לא תיפלו בפח
דרק מאנקי, אסטרטג אבטחה בכיר ורוב ראשוט, סמנכ"ל תחום ההדרכה הגלובלית בחברת פורטינט מסבירים כיצד ניתן להתמודד עם פישינג
הגנה לישראל
| 28/01/2024
chat.openai.com
פישינג (דיוג) הוא לא דבר חדש. מדובר בשיטת הנדסה חברתית הקיימת בארגזי הכלים של התוקפים מזה עשורים, המאפשרת לגורמים עוינים להתחזות לאנשי קשר אמינים ולהתמקד בקורבנות תמימים באמצעות דוא"ל או הודעות טקסט כדי לגנוב נתונים רגישים.
בעוד כי התוקפים תמיד מנסים לייצר תקשורת שנראית אמיתית, חלק מהם מצטיינים בזה יותר מאחרים. בעבר, תמיד היה קל לזהות תקשורת פישינג בגלל ניסוח רשלני, שגיאות כתיב רבות ודקדוק שגוי.
אולם ככל שכלי תוכן מבוססי בינה מלאכותית הפכו לזמינים באופן נרחב יותר בעלות נמוכה או אף בחינם, פושעי הסייבר פונים לטכנולוגיות אלו כדי לקדם את פעילותם הזדונית.
אחת הדרכים לעשות זאת היא על ידי שימוש בבינה מלאכותית כדי להפוך את ההודעות והמיילים הזדוניים שלהם כך שייראו אמינים יותר מאשר בעבר, מה שמגביר את הסיכויים שלהם להצליח לגרום למשתמשים ללחוץ על הלינק הזדוני.
כאשר אנחנו עומדים בפתחו של עידן חדש של תקשורת אשר נוצרת באמצעות בינה מלאכותית, לעובדים בארגון יש תפקיד חשוב אף יותר בהתגוננות מפני ניסיונות פריצה.
יחד עם זאת, אי אפשר רק לייעץ להם לחפש אחר מאפיינים "מסורתיים" של פישינג כדי לשמור על ביטחון הארגון שלכם. מעבר להשקעה בטכנולוגיות המתאימות – כמו אפשרות לסינון דוא"ל ספאם והטמעת MFA (אימות משתמשים) – הדרכת העובדים יכולה לחזק או להחליש את המאמצים שלכם לשמור על הארגון מפני פישינג ומתקפות כופר.
פישינג – השיטה הנפוצה ביותר להעברה של מתקפות כופר
יש הרבה מידע הממחיש את יעילותה של שיטת תקיפה זו. לפי דוח מתקפות הכופר הגלובלי של פורטינט לשנת 2023, פישינג נמצאה כשיטה העיקרית (56%) שבה משתמשים הגורמים הזדוניים כדי לחדור לארגון ולהשיק מתקפות כופר בצורה מוצלחת.
לפי נתונים של הערכות פישינג שבוצעו על ידי Cybersecurity and Infrastructure Security Agency, בקרב 80% מהארגונים היה לפחות עובד אחד שנפל קורבן בסימולציה לניסיון פישינג.
מתקפות כופר ממשיכות להשפיע על ארגונים בכל הגדלים, התעשיות והאזורים. בעוד כי מרבית המובילים העסקיים מאמינים שהם מוכנים להגן על הארגון מפני מתקפות כופר – כאשר 78% מעידים שהם מוכנים מאוד או מוכנים ברמה גבוהה לסכל את האיום – מחציתם עדיין נפלו קורבן למתקפת כופר ב-12 החודשים האחרונים.
כך תחנכו את העובדים להגן על עצמם והארגון מפני פישינג
היות ומרבית מתקפות הכופר מועברות באמצעות פישינג, הדרכת העובדים חיונית כדי להגן על הארגון שלכם מפני האיומים הללו.
יחד עם זאת, אין תוכנית הדרכה אחת שמתאימה לכולם, אלא מאמצי ההדרכה צריכים להיות מותאמים לצרכים הייחודיים של הארגון שלכם.
לפניכם מספר סוגים של שירותים ותוכניות שמטרתם לעזור למשתמשים להבין ולאתר פישינג ואיומי סייבר נוספים, כאשר כולם יכולים לשמש כנקודת פתיחה טובה לבניית תוכנות מודעות מקיפה לאבטחה עבור העובדים.
הדרכה בנושא מודעות לאבטחה: העובדים שלכם מהווים מטרות בעלות ערך רב עבור גורמי האיום. הטמעת תוכנית הדרכה קבועה בנושא מודעות לאבטחת סייבר – כזו שמתעדכנת באופן תדיר כדי לשקף את האופי המשתנה של נוף האיומים – היא חלק קריטי בשמירה על אבטחת הארגון שלכם.
שירותי סימולציית פישינג: שליחת סימולציה של דוא"ל פישינג לעובדי הארגון שלכם מאפשרת להם להתאמן בזיהוי תקשורת זדונית, כך שהם ידעו מה לעשות ברגע האמת.
הדרכות חינמיות של פורטינט: מוסד ההדרכה של פורטינט מציע קורסי NSE (מומחה אבטחת רשת) מקוונים ללא עלות בלימוד עצמי כדי לעזור למשתמשים ללמוד כיצד לזהות ולהגן על עצמם מפני מגוון סוגים של איומים, כולל מתקפות פישינג.
ניתן להוסיף את הקורסים בקלות לתוכניות הדרכה פנימיות קיימות כדי לחזק את הידע בנוגע למושגים קריטיים.
בדומה להיכרות עם כל טכנולוגיה חדשה, פושעי הסייבר ימשיכו למצוא דרכים להשתמש בכלים הללו למטרותיהם הזדוניות. הדבר מחייב את צוותי האבטחה של הארגון וכל עובדיו להתמיד אף יותר בהתגוננות מפני האיומים.
לכן, יש צורך לבצע הערכה ולפתח את תוכנית המודעות הנוכחית שלכם לאבטחת סייבר ולוודא כי לכל העובדים יש את הידע העדכני והרלוונטי ביותר כדי לשמור עליהם ועל נתוני הארגון שלהם בטוחים.
דרק מאנקי, אסטרטג אבטחה בכיר ורוב ראשוט, סמנכ"ל תחום ההדרכה הגלובלית בחברת פורטינט מסבירים כיצד ניתן להתמודד עם פישינג
chat.openai.com
פישינג (דיוג) הוא לא דבר חדש. מדובר בשיטת הנדסה חברתית הקיימת בארגזי הכלים של התוקפים מזה עשורים, המאפשרת לגורמים עוינים להתחזות לאנשי קשר אמינים ולהתמקד בקורבנות תמימים באמצעות דוא"ל או הודעות טקסט כדי לגנוב נתונים רגישים.
בעוד כי התוקפים תמיד מנסים לייצר תקשורת שנראית אמיתית, חלק מהם מצטיינים בזה יותר מאחרים. בעבר, תמיד היה קל לזהות תקשורת פישינג בגלל ניסוח רשלני, שגיאות כתיב רבות ודקדוק שגוי.
אולם ככל שכלי תוכן מבוססי בינה מלאכותית הפכו לזמינים באופן נרחב יותר בעלות נמוכה או אף בחינם, פושעי הסייבר פונים לטכנולוגיות אלו כדי לקדם את פעילותם הזדונית.
אחת הדרכים לעשות זאת היא על ידי שימוש בבינה מלאכותית כדי להפוך את ההודעות והמיילים הזדוניים שלהם כך שייראו אמינים יותר מאשר בעבר, מה שמגביר את הסיכויים שלהם להצליח לגרום למשתמשים ללחוץ על הלינק הזדוני.
כאשר אנחנו עומדים בפתחו של עידן חדש של תקשורת אשר נוצרת באמצעות בינה מלאכותית, לעובדים בארגון יש תפקיד חשוב אף יותר בהתגוננות מפני ניסיונות פריצה.
יחד עם זאת, אי אפשר רק לייעץ להם לחפש אחר מאפיינים "מסורתיים" של פישינג כדי לשמור על ביטחון הארגון שלכם. מעבר להשקעה בטכנולוגיות המתאימות – כמו אפשרות לסינון דוא"ל ספאם והטמעת MFA (אימות משתמשים) – הדרכת העובדים יכולה לחזק או להחליש את המאמצים שלכם לשמור על הארגון מפני פישינג ומתקפות כופר.
פישינג – השיטה הנפוצה ביותר להעברה של מתקפות כופר
יש הרבה מידע הממחיש את יעילותה של שיטת תקיפה זו. לפי דוח מתקפות הכופר הגלובלי של פורטינט לשנת 2023, פישינג נמצאה כשיטה העיקרית (56%) שבה משתמשים הגורמים הזדוניים כדי לחדור לארגון ולהשיק מתקפות כופר בצורה מוצלחת.
לפי נתונים של הערכות פישינג שבוצעו על ידי Cybersecurity and Infrastructure Security Agency, בקרב 80% מהארגונים היה לפחות עובד אחד שנפל קורבן בסימולציה לניסיון פישינג.
מתקפות כופר ממשיכות להשפיע על ארגונים בכל הגדלים, התעשיות והאזורים. בעוד כי מרבית המובילים העסקיים מאמינים שהם מוכנים להגן על הארגון מפני מתקפות כופר – כאשר 78% מעידים שהם מוכנים מאוד או מוכנים ברמה גבוהה לסכל את האיום – מחציתם עדיין נפלו קורבן למתקפת כופר ב-12 החודשים האחרונים.
כך תחנכו את העובדים להגן על עצמם והארגון מפני פישינג
היות ומרבית מתקפות הכופר מועברות באמצעות פישינג, הדרכת העובדים חיונית כדי להגן על הארגון שלכם מפני האיומים הללו.
יחד עם זאת, אין תוכנית הדרכה אחת שמתאימה לכולם, אלא מאמצי ההדרכה צריכים להיות מותאמים לצרכים הייחודיים של הארגון שלכם.
לפניכם מספר סוגים של שירותים ותוכניות שמטרתם לעזור למשתמשים להבין ולאתר פישינג ואיומי סייבר נוספים, כאשר כולם יכולים לשמש כנקודת פתיחה טובה לבניית תוכנות מודעות מקיפה לאבטחה עבור העובדים.
הדרכה בנושא מודעות לאבטחה: העובדים שלכם מהווים מטרות בעלות ערך רב עבור גורמי האיום. הטמעת תוכנית הדרכה קבועה בנושא מודעות לאבטחת סייבר – כזו שמתעדכנת באופן תדיר כדי לשקף את האופי המשתנה של נוף האיומים – היא חלק קריטי בשמירה על אבטחת הארגון שלכם.
שירותי סימולציית פישינג: שליחת סימולציה של דוא"ל פישינג לעובדי הארגון שלכם מאפשרת להם להתאמן בזיהוי תקשורת זדונית, כך שהם ידעו מה לעשות ברגע האמת.
הדרכות חינמיות של פורטינט: מוסד ההדרכה של פורטינט מציע קורסי NSE (מומחה אבטחת רשת) מקוונים ללא עלות בלימוד עצמי כדי לעזור למשתמשים ללמוד כיצד לזהות ולהגן על עצמם מפני מגוון סוגים של איומים, כולל מתקפות פישינג.
ניתן להוסיף את הקורסים בקלות לתוכניות הדרכה פנימיות קיימות כדי לחזק את הידע בנוגע למושגים קריטיים.
בדומה להיכרות עם כל טכנולוגיה חדשה, פושעי הסייבר ימשיכו למצוא דרכים להשתמש בכלים הללו למטרותיהם הזדוניות. הדבר מחייב את צוותי האבטחה של הארגון וכל עובדיו להתמיד אף יותר בהתגוננות מפני האיומים.
לכן, יש צורך לבצע הערכה ולפתח את תוכנית המודעות הנוכחית שלכם לאבטחת סייבר ולוודא כי לכל העובדים יש את הידע העדכני והרלוונטי ביותר כדי לשמור עליהם ועל נתוני הארגון שלהם בטוחים.
