Huijausviestit tietojenkalastelu simuloidut hyökkäykset
28.11.2023 |  Jarno Hämäläinen - DG Markkinointi

Simuloidut hyökkäykset ja työntekijöiden koulutus parantavat yrityksen tietoturvaa

Yritysten työntekijät saavat jatkuvasti enemmän huijausviestejä, ja osa menee lankaan jossain vaiheessa. Microsoftin tutkimuksen mukaan 46 prosenttia tietoturvatapauksista liittyy huolimattomiin tai tietämättömiin henkilöihin, jotka helpottavat tahattomasti hyökkäystä. 

Huijausviestin linkki johtaa usein hyvin aidon näköiselle kirjautumissivustolle, jossa yritetään saada haltuun käyttäjän identiteetti esimerkiksi Microsoft 365 -palveluun. Identiteetin avulla rikolliset voivat saada haltuunsa yrityksen tietoja ja käyttöoikeuksia, väärinkäyttää niitä ja aiheuttaa sekä yritykselle että henkilöille merkittäviä vahinkoja. 

Esimerkkejä huijausviesteistä

Seuraavat viestit tulevat usein myös suomeksi (esimerkkikuvat Nimblr).

Microsoft 365

Viestissä väitetään, että käyttäjän on kirjauduttava Microsoft Office 365:een ja vahvistettava sähköpostinsa. Hyökkäyksen avulla pyritään yleensä saamaan haltuun käyttäjän kirjautumistiedot.

Office 365 huijausviesti

 

Huijausviesti - Microsoft 365

Oman organisaation sisältä

Viestissä teeskennellään sen tulevan henkilöltä käyttäjän omasta organisaatiosta. Viesteissä hyödynnetään järjestelmään syötettyjä yrityksen tietoja. Tällaisia hyökkäyksiä on käytetty esimerkiksi kiristyshaittaohjelman levittämiseen yrityksen järjestelmiin tai laskuhuijauksiin.

Huijausviesti - Toimitusjohtaja

Salattu sähköposti

Viesti näyttää salatulta sähköpostilta, mutta linkki vie todellisuudessa huijaussivustolle, jossa yritetään kalastella käyttäjän tunnuksia.

Huijausviesti - Salattu sähköposti

Facebook

Viestissä kerrotaan, että joku on maininnut vastaanottajan Facebookissa. Tällaisia hyökkäyksiä käytetään esimerkiksi Facebookin kirjautumistietojen kalasteluun ja haittaohjelmien levitykseen.

Facebook huijausviesti

Työntekijät on tärkeää kouluttaa tunnistamaan kalasteluviestit

Simuloidut hyökkäykset auttavat yritystä ja henkilökuntaa tunnistamaan paremmin tietojenkalasteluyrityksiä. Simuloitu hyökkäys voidaan toteuttaa esimerkiksi sähköpostilla, jossa testataan, kuinka moni yrityksen työntekijöistä klikkaa huijauslinkkiä. Jotta simuloinnit olisivat realistisempia, ne räätälöidään käyttämällä asiakaskohtaisia tietoja, jotka järjestelmänvalvoja syöttää, kuten yrityksen talousjohtajan nimi, asiakkaan oma logo tai tietoja siitä, mitä toimisto-ohjelmistoa yrityksessä käytetään.

Hyökkäykset valitaan käyttäjän historian perusteella. Käyttäjät, joille on aiemmin osoittautunut vaikeaksi tunnistaa vääriä lähettäjiä, saavat enemmän tällaisia simulointeja, kun taas muut käyttäjät, kuten ne, joille on vaikeaa olla napsauttamatta tarjouksia lahjakorteista ja palkinnoista, saavat enemmän simulointeja kyseisestä kategoriasta. Vaikeustaso nousee vähitellen, kun käyttäjä oppii tunnistamaan ja välttämään tietyn tyyppisen hyökkäyksen.

Jokaisen simuloidun hyökkäyksen yhteydessä lankaan menneelle käyttäjälle annetaan räätälöity muistutus. Muistutuksessa näytetään käyttäjää harhauttanut viesti sekä vinkit, mitä hän voi tehdä toisin seuraavalla kerralla. Yhdessä tarkkojen vinkkien kanssa käyttäjä kutsutaan myös aloittamaan vapaaehtoinen peruskoulutus, joka liittyy kyseiseen hyökkäykseen.

Tietoturva ei ole staattinen asia, vaan se vaatii jatkuvaa kehitystä ja sopeutumista

Simuloidut hyökkäykset ja koulutus ovat tehokkaita työkaluja yrityksen tietoturvan parantamiseen. Järjestelmästä saatujen tietojen ja henkilöstön koulutuksen avulla yritykset voivat kehittää vahvoja tietoturvakäytäntöjä, lisätä henkilöstön tietoisuutta ja varmistaa, että he ovat valmiita vastaamaan tuleviin tietoturvauhkiin.

Kysy lisää simuloiduista hyökkäyksistä ja henkilöstön tietoturvaosaamisen parantamisesta.

 

 

 

Lue myös nämä

Milloin oma palvelin on tarpeen? – Kustannukset, tekoälysovellukset ja tietoturva

Lue lisää

Terveisiä DG-päiviltä! - Tekoälyä, tietoturvaa ja mustaamakkaraa

Lue lisää

Data Group vahvistuu! - PH Data Oy liittyy DG-ketjuun 1.3.2024 alkaen

Lue lisää

24/7 infonäyttö yrityksille – Vestel-infonäytöt sopivat monenlaiseen käyttöön

Lue lisää

Ota yhteyttä

Hyväksyn verkkopalvelun käyttöehdot.