English   14447 НПО
ИНФОРМАЦИОНЕН ПОРТАЛ ЗА НЕПРАВИТЕЛСТВЕНИТЕ ОРГАНИЗАЦИИ В БЪЛГАРИЯ




Как гражданските организации могат да се предпазят от фишинг атаки?

 
Как гражданските организации могат да се предпазят от фишинг атаки?

Фишинг атаките напоследък се засилват и при гражданските организации, а те съхраняват чувствителна информация не само за своите служители, но и за хората, на които помагат. 

Нека вземем за пример неправителствена организация, която работи в областта на образованието. 

Административният екип получава имейл, който изглежда сякаш е изпратен от Министерството на образованието. Имейлът съдържа молба за предоставяне на личните данни на всички хора, които организацията е подпомогнала през последната година.

Съобщението е оформено професионално и включва лого, подходящи цветове и шрифтове, които изглеждат автентични. В него се посочва, че информацията е необходима за провеждане на "контрол за качество на предоставяните услуги". Въпреки че екипът се стреми винаги да спазва всички регулации, служителите решават този път да проверят истинността на писмото.

След като се свързват директно с Министерство на образованието по официалните канали, става ясно, че няма такава проверка и че имейлът е бил опит за фишинг. Така организацията избягва потенциално сериозен риск от изтичане на чувствителна информация.

Втори пример за по-зрели и по-сложни фишинг атаки - т. нар. китови атаки.

Елена е изпълнителен директор на неправителствена организация, която се занимава с правата на човека. Тя редовно комуникира с други организации, партньори и донори чрез имейл. Един ден, Елена получава имейл, който изглежда изпратен от добре позната международна фондация, която подкрепя каузи като нейната. Имейлът е адресиран лично до нея, съдържа референции към предишни разговори (които изглежда са били подробно проучени) и предлага голямо финансиране за нов проект.

Съобщението насърчава Елена да кликне на линк, за да предостави повече информация за нейната организация и да обсъди детайлите на потенциалното финансиране. Линкът води до уебсайт, който на пръв поглед изглежда легитимен, но всъщност е фалшив и има за цел да измами Елена да въведе лични и организационни данни.

Но, за късмет, в организацията на Елена вече има установени процедури за проверка на подобни казуси. Тя решава да се консултира с колегите си и да провери автентичността на имейла, като се свърже директно с фондацията чрез официалните ѝ телефон и имейл. Бързо става ясно, че фондацията не е изпращала такъв имейл и че става въпрос за китова фишинг атака.

Този тип китови атаки обикновено са насочени към високопоставени лица – изпълнителни директори, финансови директори и президенти на организации, като при тях се използват по-зрели и по-сложни фишинг тактики от другите схеми. Вместо да се изпращат масови имейли до различни хора или компании, китовите фишинг атаки са добре проучени и насочени към конкретни организации. Използват се имена, адреси, длъжностни наименования и друга лична информация, за да се създаде по-силна и по-достоверна схема за атака.

Какво могат да направят гражданските организации за да се защитят при фишинг атаки?
  • Обучение на персонала: Всички служители трябва да бъдат обучени как да разпознават фишинг имейли и какви стъпки да предприемат при съмнение.
  • Проверка на информацията: Преди да се отговори на всякакви искания за информация, е важно да се провери истинността им, като се свържете директно с институцията или организацията.
  • Технически средства за защита: Инсталирането на качествени антивирусни програми и филтри за имейли може значително да намали риска от фишинг.
  • Политики за безопасност: Разработването и прилагането на строги вътрешни политики може да помогне за защитата на личната и организационната информация.
Гражданските организации не са изключение и те също трябва да обръщат специално внимание на защитата на своята информация. Обучението на персонала за разпознаване на фишинг атаки и установяването на строги процедури за комуникация и обработка на данни са критични. 

Интересува ли се вашата организация от обучение в областта на информационната сигурност?

Сдружение Startup Factory стартира през април серия от безплатни обучения, специално подготвени за служители на НПО сектора. Вижте повече тук.
----

Тази статия е част от серия публикации, създадени от екипа на сдружение Startup Factory в рамките на проект InfoSec Skills+, който се реализира с финансовата подкрепа на Transatlantic Foundation по проект PROTEUS, съфинансиран от Европейския съюз.

Публикациите имат за цел да подобрят уменията на хората и на организациите на гражданското общество в областта на информационната сигурност и да им предложат начини за укрепване на защитните мерки, за да се адаптират към бързо променящата се цифрова среда.



Публикувано от:

Стартъп Фектъри

Сходни публикации

DigiComs - новият сезон на обучението за дигитални комуникатори на каузи е тук!

DigiComs - новият сезон на обучението за дигитални комуникатори на каузи е тук!

В този сезон програмата ни е разделена в четири тематични курса, които могат да се записват индивидуално или като част от

Включете се в безплатното обучение „ПРАВОТО НА СДРУЖАВАНЕ – от обединяването за общи каузи до защитата на демокрацията“

Включете се в безплатното обучение „ПРАВОТО НА СДРУЖАВАНЕ – от обединяването за общи каузи до защитата на демокрацията“

Срокът за кандидатстване е до 28 ноември 2024. Правото на сдружаване е едно от основните наши граждански права, което ни дава

Работилница за журналисти на тема „Роми и дезинформация“

Работилница за журналисти на тема „Роми и дезинформация“

Как достъпът до точна и проверена информация влияе на социалното приобщаване и благосъстоянието? Може ли да бъде причина за