Na czym polega Phishing? Połowa kierowników polskich firm była już atakowana. Kto może być celem phishingu?

OPRAC.:
Mikołaj Wójtowicz
Mikołaj Wójtowicz
Atak z internetu może być przeprowadzony przy pomocy e-maila lub wiadomości SMS.
Atak z internetu może być przeprowadzony przy pomocy e-maila lub wiadomości SMS. unsplash
Phishing jest coraz popularniejszą metodą wyłudzania danych. Atak z internetu może być przeprowadzony przy pomocy e-maila lub wiadomości SMS. Klikanie w podejrzane linki może sprawić, że utracimy wiele cennych dla nas danych. W przypadku firmy może to sparaliżować jej działalność. Celem ataku są nie tylko duże korporacje. To także osoby nieprowadzące działalności gospodarczej i mali przedsiębiorcy.

Spis treści

Aż 68% kadry zarządzającej w polskich firmach zetknęło się ze spamem lub podejrzanymi wiadomościami przychodzącymi na służbową skrzynkę mailową. Z badania firmy Sophos wynika też, że 59% osób na stanowiskach kierowniczych otrzymało fałszywe SMS-y, a połowa spotkała się z próbą wyłudzenia danych logowania.

Phishing – co to jest i na czym polega?

Phishing to jedna z najpopularniejszych technik manipulacyjnych stosowanych przez cyberprzestępców. Polega na przekonaniu ofiary odpowiednio spreparowanymi wiadomościami, do przekazania swoich danych logowania lub wykonania określonych czynności, np. kliknięcia w link do strony infekującej system złośliwym oprogramowaniem. Według badania przeprowadzonego na zlecenie firmy Sophos, w ciągu ostatnich 12 miesięcy aż połowa osób na kierowniczych stanowiskach zetknęła się z phishingiem. W Czechach i na Węgrzech, gdzie również przeprowadzono badanie, odsetek ten wyniósł odpowiednio 60% i 41%.

Kto może być celem phishingu?

Celem phishingu stają się zarówno małe, jak i duże firmy. Z przeprowadzonych badań wynika, że phishing dotknął 55% kadry zarządzającej w firmach zatrudniających powyżej 250 osób.

W przypadku małych przedsiębiorstw, liczących do 50 osób, problem dotyczy 53% pracowników na kierowniczych stanowiskach. Najczęściej próbowano wyłudzić poufne dane od dyrektorów (61%) i menedżerów (46%). W przypadku członków zarządu styczność z wiadomościami od oszustów miały 4 na 10 osób.

Cyberprzestępcy równie często biorą na cel przedsiębiorstwa o niższych obrotach, rzędu miliona złotych rocznie, jak i te, w których wynoszą one powyżej 15 milionów złotych (w obu przypadkach odsetek zaatakowanych wyniósł 44%).

Do najczęściej atakowanych za pomocą phishingu branż należą:

  • usługi (62%),
  • administracja (54%),
  • przemysł (53%).

– Metody socjotechniczne, takie jak phishing, są jednym z najczęstszych sposobów, w jaki przestępcy próbują obejść zabezpieczenia i włamać się do firmowej sieci. Dlatego tak ważna jest świadomość pracowników dotycząca środków ostrożności: nieklikania w podejrzane linki i załączniki, korzystania tylko z programów ze sprawdzonych źródeł, dokonywania regularnych aktualizacji. Ma to kluczowe znaczenie w przypadku pracowników najwyższego szczebla, którzy mają dostęp do wrażliwych i poufnych danych. Należy upewnić się, że każdy – od szeregowego pracownika, aż po dyrektora – zna ścieżkę zgłaszania podejrzanych sytuacji działowi IT lub specjalistom ds. bezpieczeństwa – mówi Grzegorz Nocoń, inżynier systemowy w firmie Sophos.

Ataki cybernetyczne - gdzie zdarzają się częściej?

Średnio co piąty ankietowany miał także bezpośrednią styczność z atakami ransomware, prowadzonymi za pomocą złośliwego oprogramowania szyfrującego dane w celu wyłudzenia okupu. W tym przypadku widać jednak wyraźną korelację między wysokością obrotów firmy, a częstością występowania tego zagrożenia.

Ataku z wykorzystaniem ransomware’u doświadczyło tylko 3% respondentów pracujących w przedsiębiorstwach o rocznych obrotach do miliona złotych. Tam, gdzie obroty sięgają 5 milionów złotych, było to już 17%. W największych firmach (powyżej 15 milionów złotych obrotu) – aż 31%.

- Cyberprzestępcy dokładnie wiedzą, w jakie firmy celować atakami ransomware. Ich ofiarą padają przedsiębiorstwa generujące wysokie obroty, od których potencjalnie mogą żądać najwyższych okupów. Wielkość firmy pod względem zatrudnienia ma mniejsze znaczenie, choć z badań wynika, że najczęściej atakowane są firmy, w których pracuje od 50 do 249 osób – tłumaczy Nocoń.

Co ogranicza podatność na ataki z sieci? To edukacja i cyberhigiena

Według badania Sophos, z cyberbezpieczeństwa przeszkolone zostało 72% kadry zarządzającej w polskich przedsiębiorstwach. Połowa przeszła taki kurs organizowany przez zewnętrznych specjalistów – na to rozwiązanie decydowały się głównie największe firmy.

- Wydarzenia z ostatnich dwóch lat, takie jak pandemia i inwazja Rosji na Ukrainę, sprawiły, że wzrosło zainteresowanie kwestiami bezpieczeństwa danych. Z naszych informacji wynika, że połowa polskich firm ma politykę cyberbezpieczeństwa i procedury na wypadek cyberataku. Pod tym względem wypadamy lepiej niż Czesi i Węgrzy, jednak wciąż jest sporo do poprawy. Aż 28% osób zajmujących kierownicze stanowiska nie przeszło nawet wewnętrznego szkolenia z cyberbezpieczeństwa, a w 13% przedsiębiorstw nie ma specjalistów ds. ochrony przed zagrożeniami. Im mniejsza firma, tym niestety gorsza sytuacja – komentuje ekspert Sophos.

Tam, gdzie zatrudnianych jest powyżej 250 osób, prawie 15% menedżerów, dyrektorów lub członków zarządu nie zostało przeszkolonych z cyberbezpieczeństwa. W średnich firmach było to aż 37%. Problem ten dotyczy też co trzeciej małej firmy, zatrudniającej do 50 pracowników.

Dla porównania z uśrednionymi danymi z Polski (72% przeszkolonych ankietowanych), w Czechach 57% ankietowanych nie miało żadnego szkolenia dotyczącego cyberbezpieczeństwa. Na Węgrzech nie przeszło go aż 83% osób zajmujących kierownicze stanowiska. Jest to wyjątkowo niepokojące, gdyż w co trzeciej tamtejszej firmie to właśnie ci pracownicy są odpowiedzialni za ochronę danych.

W Polsce należy to do obowiązków zaledwie 12% ankietowanych osób na stanowiskach kierowniczych, najczęściej w małych lub średnich przedsiębiorstwach.

Badanie „Sposób postrzegania cyberbezpieczeństwa wśród menedżerów polskich firm” zostało przeprowadzone przez agencję badawczą SW Research w lipcu i sierpniu 2022 r. W jego ramach przeprowadzono wywiady z 310 menedżerami wyższego szczebla pracującymi w małych, średnich i dużych przedsiębiorstwach. Identyczne badanie zrealizowano na terenie Czech i Węgier.

emisja bez ograniczeń wiekowych
Wideo

Jak działają oszuści - fałszywe SMS "od najbliższych"

Dołącz do nas na Facebooku!

Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!

Polub nas na Facebooku!

Kontakt z redakcją

Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?

Napisz do nas!

Polecane oferty

Materiały promocyjne partnera
Wróć na strefabiznesu.pl Strefa Biznesu