Kaip parengti darbuotojus sukčių skambučiams: kibernetinio saugumo ekspertai pateikė 6 žingsnius

Siekiant organizacijoje išvengti šiuolaikinių kibernetinio saugumo grėsmių, paprastai su kolegomis dalijamasi informacija, rengiami specialūs mokymai. Vis tik teorinės paskaitos gali būti rimtai neįvertintos, o masiškai išsiųsti informaciniai elektroniniai laiškai gali pasimesti tarp daugybės kitų, rašoma „NOD Baltic“ pranešime žiniasklaidai.

Asociatyvi „Pixabay“ nuor.

Sulaukus netikėto skambučio neretai užmirštame kritiškai įvertinti situaciją ir skubame vykdyti piktavalių instrukcijas. Visgi, ar yra būdų tapti atspariems šiai socialinės inžinerijos atakai?

Kad ir kokia stipri gali būti jūsų organizacijos programinės įrangos apsauga, ji tampa bejėgė prieš betarpiškai bendraujantį atkaklų užpuoliką, kuris sukčiavimo imasi pasitelkdamas psichologinį manipuliavimą ir kitas individualizuotas specifines gudrybes. „NOD Baltic“ kibernetinio saugumo ekspertai sako, deja, bet nauji sukčiavimo būdai tampa vis išradingesni ir sunkiai identifikuojami, tad įmonės privalo imtis kūrybiškų prevencinių veiksmų siekiant treniruoti darbuotojų budrumą. Šįkart apie vieną iš praktinių priemonių – telefoninių sukčių imitacinius pratimus.

Kas yra višingas?

Fišingas yra socialinės inžinerijos sukčiavimo forma, skirta išvilioti konfidencialius duomenis, o višingas – trumpinys, naudojamas įvardyti sukčiavimą balsu (angl. „voice phishing“). Sukčiavimas balsu yra gudriai apgalvotas būdas, kai užpuolikas manipuliuoja asmenimis, kad jie atskleistų konfidencialią informaciją arba pervestų pinigus. Skirtingai nuo tradicinio sukčiavimo elektroniniu paštu, skambučio metu su asmeniu bendraujama individualizuotai ir betarpiškai.

6 žingsniai, kaip surengti sėkmingą višingo testą

Atlikdami telefoninių sukčių skambučių simuliaciją organizacijoje, savo komandą efektyviai treniruojate atpažinti apsimetėlį. „Planuodami mokymus akcentuojame, kad višingo ar fišingo simuliacijomis siekiama ne bausti suklupusius darbuotojus, o didinti jų kibernetinį sąmoningumą, – sako „NOD Baltic“ mokymų projektų vadovas Domas Brazas.

– Gavus elektroninį laišką žinome, kad privalu tikrinti siuntėjo adresą, teksto rišlumą, atsiųstas nuorodas ar failus, taip ir skambučio atveju darbuotojai mokomi užduoti specifinius klausimus patikrinant skambinančiojo tapatybę ar tikslą. Kiekvieną simuliaciją vertinkite kaip galimybę parengti kolegas atremti tikrą socialinės inžinerijos ataką.“

1. Apibrėžkite tikslus ir apimtį. Pirmiausia nustatykite aiškius simuliacijos tikslus: ar siekiate įvertinti darbuotojų reakciją į įtartinus skambučius ar įvertinti organizacijos saugumo mokymo programos efektyvumą? Nustatykite apimtį: ar tai bus visa įmonė, ar tik kai kurie skyriai, ar tik konkretūs darbuotojai.
2. Gaukite vadovybės patvirtinimą. Paaiškinkite savo įmonės vadovybei testavimo tikslą, naudą ir galimus rezultatus. Išspręskite visus susirūpinimą keliančius klausimus ir paaiškinkite, kaip ši aktyvi priemonė gali padėti nustatyti galimą kibernetinį pažeidžiamumą bei sumažinti realią saugumo pažeidimo riziką.
3. Sukurkite scenarijus. Savarankiškai ar bendradarbiaudami su įmonėmis, teikiančiomis višingo paslaugas, sukurkite realistiškus scenarijus, imituojančius galimas grėsmes, su kuriomis gali susidurti jūsų darbuotojai ar kolegos. Apsvarstykite scenarijus, kai skambinantieji prisistato, tarkime, įmonės IT darbuotojais, paslaugų teikėjais ar net kolegomis, ieškančiais konfidencialios informacijos. Sukurkite įtikinamą ir, kiek įmanoma, patikimą scenarijų, užtikrindami, kad jis turėtų višingo atakoms būdingų bruožų, pavyzdžiui, prašymas skubėti, bauginimas, konfidencialių duomenų prašymas.
4. Informuokite ir apmokykite darbuotojus. Prieš pradedant testuoti darbuotojus ar kolegas, priminkite jiems kibernetinio saugumo suvokimo svarbą ir skatinkite ateityje laikytis nustatytų protokolų, siekiant išaiškinti įtartinus skambučius. Jei reikia, patys įmonėje skaitykite pranešimus ar pasirinkite išorinius kvalifikacijos kėlimo mokymus.
5. Įvertinkite rezultatus. Atlikę simuliacinę višingo ataką, surinkite ir analizuokite turimus duomenis. Nustatykite tendencijas, modelius ir sritis, kurias būtų galima tobulinti. Su testo dalyviais surenkite susitikimą, kuriame apžvelgtumėte simuliacijos tikslą, rezultatus ir išmoktas pamokas. Pateikite konstruktyvų grįžtamąjį ryšį ir naudokite realius pavyzdžius, kad pabrėžtumėte, kaip svarbu identifikuoti sukčiavimo balsu ataką.
6. Nuolat tobulėkite. Pasinaudokite įžvalgomis, gautomis iš sukčių skambučių simuliacijos, kad patobulintumėte savo organizacijos saugumo mokymo programas, politiką ir procedūras. Apsvarstykite galimybę reguliariai atlikti panašius testus, kad išlaikytumėte aukštą darbuotojų budrumo ir prisitaikymo prie kylančių grėsmių lygį.

Kaip netapti sukčiavimo balsu auka?

• Žinokite apie galimus pavojus. Būkite budrūs, kai sulaukiate netikėto skambučio iš bet kokios „institucijos“, pavyzdžiui, banko, neva jūsų organizacijos techninės pagalbos ar kt. Be to, sukčiai elektroniniu laišku ar trumpąja žinute gali jūsų paprašyti jiems paskambinti. Nors asmuo gali būti tas, kuo tvirtina esąs, visada pravartu įvertinti galimą riziką ir bet kokio pokalbio metu elgtis apgalvotai.
• Patvirtinkite skambinančiojo tapatybę. Gavę įtartiną skambutį, skambinančiojo paprašykite pasakyti pilną savo vardą, asmeninę ir organizacijos kontaktinę informaciją pateikiant oficialius šaltinius, pavyzdžiui, svetainę.
• Užduokite sudėtingus klausimus. Siekite sugluminti potencialius užpuolikus keldami klausimus, į kuriuos jie negali lengvai ir tiksliai atsakyti. Atsižvelgdami į kontekstą, teiraukitės apie ankstesnį bendravimą, vadovus ar bendrus pažįstamus.
• Saugokitės skubių prašymų. Dažnai sukčiai prašo tam tikrus duomenis pateikti skubiai. Būkite budrūs ir atidžiai apsvarstykite visus prašymus, kurie verčia jus veikti greitai.
• Patikrinkite ir praneškite. Jei kyla abejonių, nutraukite skambutį ir susisiekite su oficialiu įstaigos atstovu informacijai patikrinti. Net jei esate įsitikinęs, kad su jumis bendravo sukčius, svarbu pranešti apie įtartinus skambučius asmenimis, kuriais buvo apsimetinėjama ar kitiems asmenims, į kuriuos taip pat gali būti nusitaikyta.
• Ugdykite kibernetinį sąmoningumą. Pasidalykite skaitmeninio saugumo įžvalgomis savo organizacijoje, kurkite kibernetinio sąmoningumo kultūrą.