Skoči na vsebino

Najave phishing testiranj

Phishing napadi

Phishing ali ribarjenje za podatki je vrsta napada z lažnim predstavljanjem, najpogosteje v elektronskih sporočilih, ki poskušajo prejemnika prepričati v razkritje občutljivih podatkov. Najpogostejši cilji napadov so gesla za elektronsko pošto, prijavni podatki za spletne banke ter podatki o kreditnih karticah.

Ob zaznavi phishing napada na SI-CERT izvedemo različne ukrepe, s katerimi poskušamo napad zaustaviti ali ga omejiti. Med te ukrepe lahko spadajo:
– uvrstitev phishing spletnega mesta na različne zadrževalne sezname (t.i. blackliste);
– obveščanje ponudnika gostovanja spletne strani oz. domene;
– obveščanje drugih deležnikov v Sloveniji in tujini;
– obveščanje javnosti;
– obveščanje posameznih žrtev napada.

Phishing testiranja

S pojmom phishing testiranja označujemo metodo varnostnega preverjanja, ki ga običajno izvajajo podjetja in organizacije nad njihovimi zaposlenimi oz. člani z namenom iskanja morebitnih pomanjkljivosti v prepoznavanju napadov. Gre za simulacijo phishing napada, ki ga običajno izvaja zunanja pooblaščena organizacija v sodelovanju z vodstvom podjetja oz. organizacije. Ker gre za preskušanje posameznikov, morajo biti taka testiranja podvržena zelo visokim etičnim standardom.

V primeru izvedbe phishing testiranja se lahko zgodi, da testirani posamezniki test zaznajo kot resničen napad in pošljejo prijavo na SI-CERT. Če na SI-CERT nismo predhodno seznanjeni z izvedbo testiranja, lahko izvedemo ukrepe kot v primeru resničnega napada. Taki ukrepi pa lahko škodijo tako izvajalcu testiranja kot SI-CERTu, in imajo lahko negativen vpliv na potek testiranja.

Izvajalcem phishing testiranj svetujemo, da posamezne teste predhodno najavijo na SI-CERT preko naslova cert@cert.si. Najava lahko vsebuje naslednje podatke: časovni obseg testiranja, uporabljena domena, elektronski naslov pošiljatelja ter omrežje, iz katerega se bodo pošiljala testna sporočila.

Izvajalcem testiranj dodatno pojasnjujemo, da SI-CERT ne more posredovati podatkov o prijaviteljih brez njihovega predhodnega soglasja.

Izobraževanje zaposlenih

Podjetja in organizacije, ki želijo zaposlene izobraziti o phishingu in drugih najpogostejših kibernetskih napadih, lahko zaposlenim ponudijo možnost opravljanja brezplačnega tečaja o informacijski varnosti, ki smo ga pripravili na SI-CERT. Tečaj Varni v pisarni je na voljo na spletnem naslovu https://varnivpisarni.si, zasnovan pa je modularno glede na vrsto dela, ki ga zaposleni opravljajo. Učni del, ki obravnava phishing napade, se nahaja v osnovnem modulu, ki je namenjen vsem zaposlenim.

Dodatne informacije o phishing napadih so na voljo na spletnih straneh projekta ozaveščanja Varni na internetu.

Zunanje povezave:

Preberite tudi

SI-CERT išče nove sodelavce

Vas zanima, kako pride do vdora v računalnik? Ali pa kako je sestavljen računalniški virus? Potem vas vabimo, da se pridružite ekipi nacionalnega odzivnega centra za kibernetsko varnost SI-CERT!
Več

Spletni seminar o izvajanju phishing preizkusov

Posnetek spletnega seminarja o izvajanju phishing preizkusov. Uportrabna gradiva in usmeritev, povzetek debate.
Več

Izognite se najslabšemu scenariju

Na SI-CERT pozivamo podjetja, naj poskrbijo za usposabljanje o informacijski varnosti. Vlaganje v programsko in omrežno opremo ne reši vseh težav.
Več