GM Business & Lifestyle-specijal Business Security GM 120 BUSINESS SECURITY | Page 56
i završeci poruka (poštovani, hvala,
srdačan pozdrav itd.), zatim reči na
koje bi obavezno trebalo da obra-
tite pažnju (hitno, upozorenje, pažnja
itd.) i reči koje služe da ubede žrtvu
da izvrši zahtev (nakon verifikacije,
ograničenja će biti uklonjena itd.).
• Personalizovane poruke - Phishing
poruke su nekada personalizovane ili
sadrže tačno određene informacije ko-
jima je cij da korisnika ubedi u kredi-
bilitet poruke. U ciljanim phishing na-
padima (spear-phishing), sajber krimi-
nalci prave profil žrtve koristeći javno
dostupne informacije (sa sajta kom-
panije, društvenih mreža itd.) kako bi
napravili što uverljiviju poruku.
• Strah - Sajber kriminalci često igra-
ju na kartu zastrašivanja kako bi pre-
varili žrtvu. Recimo, pošalju pretnju
da će se korisnik suočiti sa određenim
ograničenjima naloga ukoliko ne po-
stupi po zahtevu ili zloupotrebljavaju
tekuće događaje.
Psihologija iza
phishing napada
Generalno, phishing napadi se o-
slanjaju na kombinaciju bihejvio-
rističkih faktora kako bi uticali na ko-
risnike. Dva najčešća razloga zašto ko-
risnici postaju žrtve phishing prevara
su sledeći:
- Korisnici su uvereni da neće biti
meta sajber napada, što umanjuje
verovatnoću da će potražiti dodatne
informacije kako bi potvrdili legitim-
nost poruke (provera email adrese,
telefonski poziv pošiljaocu itd.)
- Korisnici smatraju da se sajber bez-
bednost njih ne tiče, zbog čega od-
govornost za sajber bezbednost pre-
puštaju drugima u kompaniji
Možemo zaključiti da sprečavanje
phishing napada zahteva promenu
ponašanja korisnika.
Ako želite da unapredite
sajber bezbednost,
pecajte vaše zaposlene
Prema Symantecovom izveštaju
ISTR 23 iz 2018. spear phishing je naj-
popularniji vektor ciljanih napada. Više
od 70% sajber napada počinje spear-
phishingom, odnosno precizno cilja-
nim phishing kampanjama, a mno-
gi zaposleni nisu u stanju da razlikuju
ove maliciozne poruke od regularnih.
Kako bi unapredile edukaciju o saj-
ber bezbednosti, neke kompanije se
okreću pecanju svojih zaposlenih, to
jest phishing testiranju.
Neke kompanije se oslanjaju na sajber
bezbednosne obuke koje se održavaju
jednom godišnje, ali one zbog sta-
lnog porasta pretnji i njihove brze evo-
Internet ogledalo - specijalno izdanje Business Security
lucije ne daju uvek rezultate. Pitanje
odbrane od phishinga nije nešto na
čemu se radi jednom godišnje, već u
kontinuitetu.
S druge strane, phishing testira-
nje daje mogućnost da se uz niske
troškove zaposlenima pruži kontinu-
irana edukacija koja će smanjiti sajber
bezbednosne rizike.
Kako da testirate
zaposlene na phishing?
Interne phishing vežbe odlično su
rešenje i mala investicija koja će podići
nivo sajber bezbednosti firme. Vežbe
ne treba sprovoditi jednom godišnje,
već kontinuirano.
Postoje platforme koje nude uslu-
gu testiranja izloženosti kompanija
phishingu. Prvi takav servis u Srbiji ra-
zvija Net++ technology. Servis se zove
„Upecaj me“ i omogućava da testirate
zaposlene na phishing, edukujete ih o
sajber pretnjama i pratite njihov napre-
dak tokom vremena.
Poruke koje zaposleni dobijaju su
ciljane, prilagođene njihovim radnim
pozicijama i mogu biti na srpskom i na
engleskom. Šabloni poruka se redo-
vno ažuriraju i izgledaju kao legitimne
poruke, ali sa skrivenim malicioznim
sadržajem i manje ili više očiglednim
upozoravajućim znacima da se radi o