Как гражданските организации могат да се предпазят от фишинг атаки?
19 март 2024 г.
Фишинг атаките напоследък се засилват и при гражданските организации, а те съхраняват чувствителна информация не само за своите служители, но и за хората, на които помагат.
Нека вземем за пример неправителствена организация, която работи в областта на образованието.
Административният екип получава имейл, който изглежда сякаш е изпратен от Министерството на образованието. Имейлът съдържа молба за предоставяне на личните данни на всички хора, които организацията е подпомогнала през последната година.
Съобщението е оформено професионално и включва лого, подходящи цветове и шрифтове, които изглеждат автентични. В него се посочва, че информацията е необходима за провеждане на "контрол за качество на предоставяните услуги". Въпреки че екипът се стреми винаги да спазва всички регулации, служителите решават този път да проверят истинността на писмото.
След като се свързват директно с Министерство на образованието по официалните канали, става ясно, че няма такава проверка и че имейлът е бил опит за фишинг. Така организацията избягва потенциално сериозен риск от изтичане на чувствителна информация.
Втори пример за по-зрели и по-сложни фишинг атаки - т. нар. китови атаки.
Елена е изпълнителен директор на неправителствена организация, която се занимава с правата на човека. Тя редовно комуникира с други организации, партньори и донори чрез имейл. Един ден, Елена получава имейл, който изглежда изпратен от добре позната международна фондация, която подкрепя каузи като нейната. Имейлът е адресиран лично до нея, съдържа референции към предишни разговори (които изглежда са били подробно проучени) и предлага голямо финансиране за нов проект.
Съобщението насърчава Елена да кликне на линк, за да предостави повече информация за нейната организация и да обсъди детайлите на потенциалното финансиране. Линкът води до уебсайт, който на пръв поглед изглежда легитимен, но всъщност е фалшив и има за цел да измами Елена да въведе лични и организационни данни.
Но, за късмет, в организацията на Елена вече има установени процедури за проверка на подобни казуси. Тя решава да се консултира с колегите си и да провери автентичността на имейла, като се свърже директно с фондацията чрез официалните ѝ телефон и имейл. Бързо става ясно, че фондацията не е изпращала такъв имейл и че става въпрос за китова фишинг атака.
Този тип китови атаки обикновено са насочени към високопоставени лица – изпълнителни директори, финансови директори и президенти на организации, като при тях се използват по-зрели и по-сложни фишинг тактики от другите схеми. Вместо да се изпращат масови имейли до различни хора или компании, китовите фишинг атаки са добре проучени и насочени към конкретни организации. Използват се имена, адреси, длъжностни наименования и друга лична информация, за да се създаде по-силна и по-достоверна схема за атака.
Какво могат да направят гражданските организации за да се защитят при фишинг атаки?
- Обучение на персонала: Всички служители трябва да бъдат обучени как да разпознават фишинг имейли и какви стъпки да предприемат при съмнение.
- Проверка на информацията: Преди да се отговори на всякакви искания за информация, е важно да се провери истинността им, като се свържете директно с институцията или организацията.
- Технически средства за защита: Инсталирането на качествени антивирусни програми и филтри за имейли може значително да намали риска от фишинг.
- Политики за безопасност: Разработването и прилагането на строги вътрешни политики може да помогне за защитата на личната и организационната информация.
Гражданските организации не са изключение и те също трябва да обръщат специално внимание на защитата на своята информация. Обучението на персонала за разпознаване на фишинг атаки и установяването на строги процедури за комуникация и обработка на данни са критични.
Интересува ли се вашата организация от обучение в областта на информационната сигурност?
Сдружение Startup Factory стартира през април серия от безплатни обучения, специално подготвени за служители на НПО сектора. Вижте повече тук.
----
Тази статия е част от серия публикации, създадени от екипа на сдружение Startup Factory в рамките на проект InfoSec Skills+, който се реализира с финансовата подкрепа на Transatlantic Foundation по проект PROTEUS, съфинансиран от Европейския съюз.
Публикациите имат за цел да подобрят уменията на хората и на организациите на гражданското общество в областта на информационната сигурност и да им предложат начини за укрепване на защитните мерки, за да се адаптират към бързо променящата се цифрова среда.
Публикувано от:
Стартъп ФектъриСходни публикации
07 ноември 2024 г.
Над 50 проекта е осъществило казанлъшкото сдружение „Взаимопомощ“ за своята 20-годишна дейност
Казанлъшкото сдружение Младежки център за развитие (МЦР) „Взаимопомощ“, което отбелязва своята 20-а годишнина, има над 50
05 ноември 2024 г.
Майсторски клас „Приложна социална и политическа мисъл"
Този майсторски клас кани участниците да изследват социалната и политическата мисъл в действие, като се занимават с неотложните
05 ноември 2024 г.
Покана за Кръгла маса „Медиация и домашно насилие" – 5 декември 2024 (четвъртък) - от 10 до 12 ч.
Уважаеми съмишленици,С настоящото Сдружение „ИМЕУС" отправя покана за участие в кръгла маса на тема Медиация и домашно насилие.