GM Business & Lifestyle-specijal Business Security GM 120 BUSINESS SECURITY

i završeci poruka (poštovani, hvala, srdačan pozdrav itd.), zatim reči na koje bi obavezno trebalo da obra- tite pažnju (hitno, upozorenje, pažnja itd.) i reči koje služe da ubede žrtvu da izvrši zahtev (nakon verifikacije, ograničenja će biti uklonjena itd.). • Personalizovane poruke - Phishing poruke su nekada personalizovane ili sadrže tačno određene informacije ko- jima je cij da korisnika ubedi u kredi- bilitet poruke. U ciljanim phishing na- padima (spear-phishing), sajber krimi- nalci prave profil žrtve koristeći javno dostupne informacije (sa sajta kom- panije, društvenih mreža itd.) kako bi napravili što uverljiviju poruku. • Strah - Sajber kriminalci često igra- ju na kartu zastrašivanja kako bi pre- varili žrtvu. Recimo, pošalju pretnju da će se korisnik suočiti sa određenim ograničenjima naloga ukoliko ne po- stupi po zahtevu ili zloupotrebljavaju tekuće događaje. Psihologija iza phishing napada Generalno, phishing napadi se o- slanjaju na kombinaciju bihejvio- rističkih faktora kako bi uticali na ko- risnike. Dva najčešća razloga zašto ko- risnici postaju žrtve phishing prevara su sledeći: - Korisnici su uvereni da neće biti meta sajber napada, što umanjuje verovatnoću da će potražiti dodatne informacije kako bi potvrdili legitim- nost poruke (provera email adrese, telefonski poziv pošiljaocu itd.) - Korisnici smatraju da se sajber bez- bednost njih ne tiče, zbog čega od- govornost za sajber bezbednost pre- puštaju drugima u kompaniji Možemo zaključiti da sprečavanje phishing napada zahteva promenu ponašanja korisnika. Ako želite da unapredite sajber bezbednost, pecajte vaše zaposlene Prema Symantecovom izveštaju ISTR 23 iz 2018. spear phishing je naj- popularniji vektor ciljanih napada. Više od 70% sajber napada počinje spear- phishingom, odnosno precizno cilja- nim phishing kampanjama, a mno- gi zaposleni nisu u stanju da razlikuju ove maliciozne poruke od regularnih. Kako bi unapredile edukaciju o saj- ber bezbednosti, neke kompanije se okreću pecanju svojih zaposlenih, to jest phishing testiranju. Neke kompanije se oslanjaju na sajber bezbednosne obuke koje se održavaju jednom godišnje, ali one zbog sta- lnog porasta pretnji i njihove brze evo- Internet ogledalo - specijalno izdanje Business Security lucije ne daju uvek rezultate. Pitanje odbrane od phishinga nije nešto na čemu se radi jednom godišnje, već u kontinuitetu. S druge strane, phishing testira- nje daje mogućnost da se uz niske troškove zaposlenima pruži kontinu- irana edukacija koja će smanjiti sajber bezbednosne rizike. Kako da testirate zaposlene na phishing? Interne phishing vežbe odlično su rešenje i mala investicija koja će podići nivo sajber bezbednosti firme. Vežbe ne treba sprovoditi jednom godišnje, već kontinuirano. Postoje platforme koje nude uslu- gu testiranja izloženosti kompanija phishingu. Prvi takav servis u Srbiji ra- zvija Net++ technology. Servis se zove „Upecaj me“ i omogućava da testirate zaposlene na phishing, edukujete ih o sajber pretnjama i pratite njihov napre- dak tokom vremena. Poruke koje zaposleni dobijaju su ciljane, prilagođene njihovim radnim pozicijama i mogu biti na srpskom i na engleskom. Šabloni poruka se redo- vno ažuriraju i izgledaju kao legitimne poruke, ali sa skrivenim malicioznim sadržajem i manje ili više očiglednim upozoravajućim znacima da se radi o

GM Business & Lifestyle-specijal Business Security GM 120 BUSINESS SECURITY | Page 56