Fişinq məlumatlılığı: Bu necə baş verir və bunun qarşısını necə almaq olar
Cinayətkarlar niyə fişinq hücumundan istifadə edirlər?
Bir təşkilatda ən böyük təhlükəsizlik zəifliyi nədir?
İnsanlar!
Bir kompüterə yoluxmaq və ya vacib olana giriş əldə etmək istədikləri zaman məlumat hesab nömrələri, parollar və ya PİN nömrələri kimi, onların etməli olduğu tək şey soruşmaqdır.
Phishing hücumlar adi haldır, çünki bunlar:
- Etmək asan – 6 yaşlı uşaq fişinq hücumu edə bilər.
- Ölçeklenebilir – Onlar bir nəfəri vuran nizə fişinq hücumlarından tutmuş bütün təşkilata hücumlara qədər dəyişir.
- Çox təsirli - Təşkilatların 74% -i uğurlu fişinq hücumu ilə qarşılaşdılar.
- Gmail hesabı etimadnamələri – $80
- Kredit kartı pin kodu - $20
- ilə hesablar üçün onlayn bank etimadnaməsini ən azı 100 dollar onlarda - $40
- ilə bank hesabları ən azı 2,000 dollar - $120
Siz yəqin ki, “Vay, mənim hesablarım aşağı dollara gedir!” deyə düşünürsünüz.
Və bu doğrudur.
Pul köçürmələrini anonim saxlamaq daha asan olduğu üçün daha yüksək qiymətə gedən digər hesab növləri də var.
Kripto saxlayan hesablar fişinq fırıldaqçıları üçün cekpotdur.
Kripto hesablar üçün davam edən tariflər:
- Coinbase - $610
- Blockchain.com – $310
- Binance - $410
Fişinq hücumlarının digər qeyri-maliyyə səbəbləri də var.
Fişinq hücumları milli dövlətlər tərəfindən digər ölkələrə müdaxilə etmək və onların məlumatlarını minalamaq üçün istifadə edilə bilər.
Hücumlar şəxsi intiqamlar üçün və ya hətta korporasiyaların və ya siyasi düşmənlərin nüfuzunu məhv etmək üçün ola bilər.
Fişinq hücumlarının səbəbləri sonsuzdur...
Fişinq hücumu necə başlayır?
Fişinq hücumu adətən cinayətkarın dərhal çıxıb sizə mesaj göndərməsi ilə başlayır.
Onlar sizə telefon zəngi, e-poçt, ani mesaj və ya SMS verə bilər.
Onlar bir bankda, işlədiyiniz başqa bir şirkətdə, dövlət qurumunda işləyən və ya hətta öz təşkilatınızdan biri kimi davranan biri olduğunu iddia edə bilərlər.
Fişinq e-poçtu sizdən linkə klikləməyi və ya faylı endirib icra etməyi tələb edə bilər.
Siz bunun qanuni mesaj olduğunu düşünə bilərsiniz, onların mesajındakı linkə klikləyin və etibar etdiyiniz təşkilatın vebsaytı kimi görünən sayta daxil olun.
Bu anda fişinq fırıldaqları tamamlandı.
Siz şəxsi məlumatlarınızı təcavüzkara təhvil verdiniz.
Fişinq hücumunun qarşısını necə almaq olar
Fişinq hücumlarından qaçmağın əsas strategiyası işçilərin təlimi və təşkilati məlumatlılığın artırılmasıdır.
Bir çox fişinq hücumları qanuni e-poçtlara bənzəyir və spam filtrindən və ya oxşar təhlükəsizlik filtrlərindən keçə bilər.
İlk baxışdan mesaj və ya vebsayt tanınmış loqo tərtibatı ilə real görünə bilər və s.
Xoşbəxtlikdən, fişinq hücumlarını aşkar etmək o qədər də çətin deyil.
Diqqət etməli olduğunuz ilk şey göndərənin ünvanıdır.
Göndərən ünvanı istifadə edə biləcəyiniz vebsayt domenində dəyişiklikdirsə, siz ehtiyatla davam edə və e-poçtun mətnində heç nəyə klikləməmək istəyə bilərsiniz.
Hər hansı bir keçid varsa, yönləndirildiyiniz vebsayt ünvanına da baxa bilərsiniz.
Təhlükəsiz olmaq üçün brauzerdə ziyarət etmək istədiyiniz təşkilatın ünvanını yazmalısınız və ya brauzerin sevimlilərindən istifadə etməlisiniz.
Üzərinə qoyulduqda e-poçtu göndərən şirkətlə eyni olmayan domeni göstərən bağlantılara diqqət yetirin.
Mesajın məzmununu diqqətlə oxuyun və şəxsi məlumatlarınızı təqdim etməyi və ya məlumatı yoxlamağı, formaları doldurmağı və ya faylları endirib işə salmağı xahiş edən bütün mesajlara şübhə ilə yanaşın.
Həmçinin, mesajın məzmununun sizi aldatmasına imkan verməyin.
Təcavüzkarlar tez-tez sizi qorxutmağa çalışırlar ki, sizi linkə klikləməyə məcbur etsinlər və ya şəxsi məlumatlarınızı əldə etmək üçün sizi mükafatlandırsınlar.
Pandemiya və ya milli fövqəladə vəziyyət zamanı fişinq fırıldaqçıları insanların qorxularından istifadə edəcək və sizi hərəkətə keçirməyə və linkə klikləməyə qorxutmaq üçün mövzu xəttinin və ya mesajın məzmunundan istifadə edəcəklər.
Həmçinin, e-poçt mesajında və ya veb-saytda pis orfoqrafik və ya qrammatik səhvləri yoxlayın.
Yadda saxlamaq lazım olan başqa bir şey odur ki, əksər etibarlı şirkətlər adətən sizdən həssas məlumatları veb və ya poçt vasitəsilə göndərməyinizi tələb etməyəcəklər.
Buna görə də siz heç vaxt şübhəli keçidlərə klikləməməli və ya hər hansı bir həssas məlumat təqdim etməməlisiniz.
Fişinq e-poçtu alsam nə etməliyəm?
Fişinq hücumu kimi görünən bir mesaj alsanız, üç seçiminiz var.
- Sil.
- Ənənəvi kommunikasiya kanalı vasitəsilə təşkilatla əlaqə saxlayaraq mesajın məzmununu yoxlayın.
- Siz əlavə təhlil üçün mesajı İT təhlükəsizlik departamentinizə yönləndirə bilərsiniz.
Şirkətiniz artıq şübhəli e-poçtların əksəriyyətini yoxlamalı və süzgəcdən keçirməlidir, lakin hər kəs qurban ola bilər.
Təəssüf ki, fişinq fırıldaqları internetdə artan təhlükədir və pis adamlar gələnlər qutunuza daxil olmaq üçün həmişə yeni taktikalar hazırlayırlar.
Nəzərə alın ki, sonda siz fişinq cəhdlərinə qarşı müdafiənin sonuncu və ən vacib təbəqəsisiniz.
Fişinq Hücum Başlamadan Necə Dayandırmaq olar
Fişinq hücumları effektiv olmaq üçün insan səhvinə güvəndiyindən, ən yaxşı seçim işinizdə olan insanlara yemi götürməmək üçün öyrətməkdir.
Bu o demək deyil ki, fişinq hücumundan qaçınmaq üçün böyük bir görüş və ya seminar keçirməlisiniz.
Təhlükəsizliyinizdəki boşluqları tapmaq və fişinqə insan reaksiyasını yaxşılaşdırmaq üçün daha yaxşı yollar var.
Fişinq fırıldaqının qarşısını almaq üçün ata biləcəyiniz 2 addım
A fişinq simulyatoru təşkilatınızın bütün üzvlərinə fişinq hücumunu simulyasiya etməyə imkan verən proqramdır.
Fişinq simulyatorları adətən e-poçtu etibarlı təchizatçı kimi maskalamaq və ya daxili e-poçt formatlarını təqlid etmək üçün şablonlarla gəlir.
Fişinq simulyatorları təkcə e-poçtu yaratmır, həm də alıcıların testdən keçmədikləri təqdirdə öz etimadnaməsini daxil edəcəkləri saxta veb saytı qurmağa kömək edir.
Tələyə düşdükləri üçün onları danlamaq əvəzinə, vəziyyəti idarə etməyin ən yaxşı yolu gələcəkdə fişinq e-poçtlarının necə qiymətləndirilməsi barədə məlumat verməkdir.
Əgər kimsə fişinq testindən keçə bilmirsə, yaxşı olar ki, onlara fişinq e-poçtlarını aşkar etmək üçün məsləhətlər siyahısı göndərsin.
Hətta bu məqaləni işçiləriniz üçün istinad kimi istifadə edə bilərsiniz.
Yaxşı bir fişinq simulyatorundan istifadə etməyin digər əsas üstünlüyü ondan ibarətdir ki, siz təşkilatınızdakı insan təhdidini ölçə biləsiniz, bunu tez-tez proqnozlaşdırmaq çətindir.
İşçiləri təhlükəsiz yumşaldılma səviyyəsinə öyrətmək bir il yarım çəkə bilər.
Ehtiyaclarınız üçün düzgün fişinq simulyasiya infrastrukturunu seçmək vacibdir.
Bir iş üzrə fişinq simulyasiyaları edirsinizsə, tapşırığınız daha asan olacaq
Əgər siz MSP və ya MSSPsinizsə, bir çox müəssisə və məkanda fişinq testləri keçirməli ola bilərsiniz.
Bulud əsaslı həllə üstünlük vermək, çoxsaylı kampaniyalar keçirən istifadəçilər üçün ən yaxşı seçim olardı.
Hailbytes-də biz konfiqurasiya etdik GoPhishkimi ən məşhur açıq mənbəli fişinq Çərçivələrindən biridir AWS-də istifadəsi asan nümunə.
Bir çox fişinq simulyatorları ənənəvi Saas modelində gəlir və onlarla sıx müqavilələr bağlayır, lakin AWS-də GoPhish bulud əsaslı xidmətdir, burada 1 və ya 2 illik müqavilə ilə deyil, ölçülü tariflə ödəyirsiniz.
Addım 2. Təhlükəsizlik Maarifləndirmə Təlimi
İşçilərə verilməsinin əsas faydası təhlükəsizlik şüuru təlim onları şəxsiyyət oğurluğundan, bank oğurluğundan və oğurlanmış biznes məlumatlarından qoruyur.
İşçilərin fişinq cəhdlərini aşkar etmək bacarığını artırmaq üçün təhlükəsizlik məlumatlılığı təlimi vacibdir.
Kurslar personala fişinq cəhdlərini aşkar etmək üçün təlim keçməyə kömək edə bilər, lakin yalnız bir neçəsi kiçik biznesə diqqət yetirir.
Kiçik bir biznes sahibi olaraq təhlükəsizlik məlumatlılığı ilə bağlı bəzi Youtube videoları göndərərək kursun xərclərini azaltmaq sizin üçün cazibədar ola bilər...
lakin heyət nadir hallarda xatırlayır bir neçə gündən çox bu cür təlim.
Hailbytes-da sürətli videolar və testlərdən ibarət kurs var ki, siz əməkdaşlarınızın tərəqqisini izləyə, təhlükəsizlik tədbirlərinin mövcud olduğunu sübut edə və fişinq fırıldaqlarından əziyyət çəkmək şansınızı kütləvi şəkildə azalda bilərsiniz.
Udemy-də kursumuzu burada yoxlaya və ya aşağıdakı kursa klikləyə bilərsiniz:
İşçilərinizi öyrətmək üçün pulsuz fişinq simulyasiyası işlətməkdə maraqlısınızsa, AWS-ə baş çəkin və GoPhish-ə baxın!
Başlamaq asandır və quraşdırma ilə bağlı köməyə ehtiyacınız olarsa, həmişə bizimlə əlaqə saxlaya bilərsiniz.
