Tietojenkalastelu on edelleen yksi yleisimmistä uhkatoimijoiden käyttämistä kyberhyökkäyksistä. Useimmat yritykset ovat nähneet sen toiminnassa: sähköposteissa pyydetään "kiireellisen tehtävän" suorittamista tai "myöhässä maksamista", joskus jopa jäljitellen toimitusjohtajaa tai ylempää johtajaa. Itse asiassa Yhdistyneen kuningaskunnan hallituksen Vuoden 2025 kyberturvallisuusmurtojen kysely havaitsi, että yrityksistä tai hyväntekeväisyysjärjestöistä, jotka olivat kokeneet tietomurron tai hyökkäyksen viimeisen 12 kuukauden aikana, 85 % yrityksistä ja 86 % hyväntekeväisyysjärjestöistä oli kokenut tietojenkalasteluhyökkäyksiä.
Tässä blogissa sukellamme tietojenkalasteluyrityksen hämärään maailmaan: mitä se on, miten tunnistaa mahdolliset tietojenkalasteluyritykset ja miten organisaatiot voivat suojautua siltä.
Yleisiä yrityksiin kohdistuvia tietojenkalasteluhyökkäyksiä
Sähköpostiviestit
Sähköpostihuijaushyökkäyksissä uhkatoimijat lähettävät kohteilleen huijaussähköposteja, jotka usein teeskentelevät olevansa tunnettuja yrityksiä tai toimittajia. Tavoitteena? Huijata uhrit vierailemaan huijaavalla verkkosivustolla, avaamaan viruksen tai haittaohjelman sisältävän liitteen ja jakamaan arkaluonteisia tietoja, kuten pankkitietoja tai yritystilien salasanoja.
Esimerkkejä, joihin kannattaa kiinnittää huomiota, ovat:
- Odottamattomat laskut
- Tuntemattomilta lähettäjiltä tulevat sähköpostit, joissa on liitteitä
- Epätavallisen toiminnan hälytykset, joissa on linkkejä ulkoisille verkkosivustoille.
Keihäshuijaus
Keihästietojenkalastelu on kohdennetumpi lähestymistapa sähköpostitietojenkalasteluun, jossa käytetään helposti saatavilla olevia tietoja yrityksestä, kuten työntekijöiden nimiä, sisäisen viestinnän ja luotettavien lähteiden henkilöllisyyden jäljittelyyn. Lähettäjän henkilöllisyys on tärkeää varmistaa jollakin toisella viestintämenetelmällä, kuten Teamsin kautta tai puhelulla vahvistetusta puhelinnumerosta.
Esimerkkejä, joihin kannattaa kiinnittää huomiota, ovat:
- Odottamattomat "kiireelliset" sähköpostit, jotka väittävät olevansa HR- tai IT-osastoltasi
- Epätavallisia pyyntöjä, oletettavasti joltakulta yrityksesi sisältä.
Yritysten sähköpostikompromissit
Yrityssähköpostin kompromissi (BEC) Hyökkäykset ovat toinen kohdennettu ja ilkeämielinen lähestymistapa tietojenkalasteluun, jossa joskus käytetään väärennettyjä sähköpostiosoitteita tai jopa vaarannetaan työntekijöiden oikeita sähköpostiosoitteita hyökkäyksen toteuttamiseksi. Ne kohdistuvat usein luotettaviin henkilöihin tai budjetin haltijoihin ja yrittävät huijata heitä tekemään vilpillisiä taloudellisia tapahtumia tai paljastamaan arkaluonteisia tietoja. Rikolliset voivat jopa vaarantaa toimittajan tai myyjän lähettämällä laskuja, jotka näyttävät laillisilta. BEC on niin yleistä, että FBI väitti, että BEC-iskut maksoivat Yhdysvalloille ja kansainvälisille organisaatioille lähes 55.5 miljardia dollaria lokakuun 2013 ja joulukuun 2023 välisenä aikana.
Esimerkkejä BEC-yrityksistä ovat:
- Toimitusjohtajan petos: "Kiireelliset" sähköpostit, joiden oletetaan tulevan ylemmän johtajan sähköpostiosoitteesta, mutta joita todellisuudessa hallitsee uhkatoimija
- Laskuhuijaukset: Väärennetyt tai muokatut laskut, jotka ohjaavat maksut hyökkääjän tilille
- Kolmannen osapuolen petos: Odottamattomat laskut tai pyynnöt pankkitietojen muuttamisesta nykyisiltä toimittajiltasi, jotka viittaavat mahdolliseen tietomurtoon.
Kloonaa tietojenkalastelu
Kloonitietojenkalastelua käyttävät hyökkääjät kopioivat aidon sähköpostin lähes identtisesti ja lähettävät sen uudelleen aiotulle uhrille uuden, haitallisen liitteen tai linkin kera. Uhkailijat käyttävät usein väärennettyjä sähköposteja, joiden kirjoitusasu on samanlainen kuin heidän imitoimansa sähköpostin. He saattavat kuitenkin käyttää hienostuneita sähköpostihuijauksia saadakseen sähköpostin näyttämään siltä kuin se olisi lähetetty oikealta lähettäjältä.
Esimerkkejä, joihin kannattaa kiinnittää huomiota, ovat:
- Päällekkäiset sähköpostit, erityisesti ne, joissa on uusia tai muokattuja linkkejä.
Kuinka tunnistaa tietojenkalasteluviestit
Vaikka tietojenkalasteluviestien torjunta voi tuntua ylivoimaiselta tehtävältä, on olemassa useita tapoja tunnistaa tietojenkalastelusähköpostit.
Sähköpostiverkkotunnukset eivät täsmää: Onko sähköpostiosoite sama kuin lähettäjän väittämän yrityksen verkkotunnus? Esimerkiksi ISMS.online-osoitteen virallinen sähköposti olisi muotoa: etunimi.sukunimi@ISMS.online, tuki@isms.online jne.
Kiireellisiä toimintakehotuksia: Kiireellisiä tai välittömiä toimia vaativat sähköpostit voivat olla mahdollisia tietojenkalasteluyrityksiä; väärän kiireellisyyden tunteen tarkoituksena on saada vastaanottaja paniikkiin. Harkitse yhteydenottoa lähettäjään virallisilla keinoilla, esimerkiksi etsimällä puhelinnumero yrityksen viralliselta verkkosivustolta.
Oikeinkirjoitus ja kielioppi: Oikeinkirjoitus- ja kielioppivirheet voivat viitata tietojenkalasteluyritykseen, sillä monilla yrityksillä on oikolukutyökaluja sähköpostiohjelmistoissaan.
Linkit: Viemällä hiiren osoittimen linkin päälle voit nähdä URL-osoitteen, johon linkki ohjaa sinut. Tietojenkalasteluviesteissä tämä on usein eri kuin sähköpostissa näkyvä teksti.
Pyynnöt lähettää henkilökohtaisia tai taloudellisia tietoja: Kirjautumistietoja, maksutietoja ja muita arkaluonteisia tietoja ei tule jakaa sähköpostitse. Samoin, jos sähköposti sisältää linkin ulkoiselle verkkosivustolle tietojen syöttämistä varten, varmista, että verkkosivusto on laillinen.
Organisaatiosi suojaaminen tietojenkalasteluhyökkäyksiltä ISO 27001 -standardin avulla
Kyberturvallisuuden parhaiden käytäntöjen, kuten tietoturvastandardissa esitettyjen, laatiminen ISO 27001, avulla yrityksesi voi vähentää riskejä, parantaa turvallisuutta ja rajoittaa tietojenkalasteluhyökkäysten vaikutusta.
Työntekijöiden koulutus ja tietoisuus
Työntekijäsi ovat ensimmäinen puolustuslinjasi kyberturvallisuuden suhteen. Kyberturvallisuuskoulutus- ja tietoisuusohjelman toteuttaminen voi antaa tiimillesi valmiudet tunnistaa ja ilmoittaa mahdollisista tietojenkalasteluyrityksistä sekä muista kyberhyökkäyksistä.
Koulutus- ja tiedotusohjelmassasi tulisi myös hahmotella noudatettavat prosessit, kuten prosessi, jota työntekijöiden tulisi noudattaa ilmoittaessaan epäillyistä tietojenkalasteluyrityksistä. Henkilöstön kouluttaminen tunnistamaan tietojenkalasteluhyökkäyksen merkit ja sen varmistaminen, että yritykselläsi on tiukat raportointi- ja vasteprosessit, on osa vankkaa tietoturvatilannetta.
Kulunvalvonta
Rajoita työntekijöiden oikeuksia ja etuoikeuksia "vähiten käyttöoikeuksien" periaatteella. Voit esimerkiksi rajoittaa tyypillisen käyttäjän pääsyn vain niihin resursseihin, joita hän tarvitsee työnsä suorittamiseen. Tämä auttaa vähentämään tietojenkalasteluyrityksen vaikutusta organisaatioosi, jos tili vaarantuu.
Lisäksi monivaiheisen todennuksen kaltaisten toimenpiteiden vaatiminen henkilöstötileillä voi tarjota keskeisen suojan luvatonta pääsyä ja vaarantuneita tunnistetietoja vastaan.
Vahinkotapahtuma
ISO 27001 -standardin mukaisten yritysten on luotava prosessit tapaturmien reagoimiseksi. Näihin kuuluvat todisteiden kerääminen, tietoturvallisuuden forensinen analyysi, eskalointi asiakkaiden ja asiaankuuluvien valvontaviranomaisten kanssa, tapaturmien reagointitoiminnan kirjaaminen, sisäinen tapaturmaviestintä, tapausten ratkaisu ja tapauksen jälkeinen analyysi. Tehokas reagointi tapauksiin auttaa varmistamaan nopeamman ratkaisun ja lieventämään onnistuneiden hyökkäysten vaikutuksia.
Suojattu määritys
Standardi edellyttää yrityksiltä tietoturvan sisällyttämistä toimintaansa alusta alkaen sen sijaan, että se tehtäisiin jälkikäteen. Tämä lähestymistapa vähentää uhkatoimijoiden mahdollisia sisäänpääsykohtia esimerkiksi turvattomien sähköpostiyhdyskäytäväratkaisujen kautta.
Kolmannen osapuolen toimittajien hallinta
Yhtiömme Tietoturvan tilaraportti 2024 paljasti, että lähes neljä viidestä (79 %) vastaajista oli kokenut kyber- tai tietoturvahäiriön, jonka aiheutti kolmannen osapuolen toimittaja tai toimitusketjun kumppani. Riskiperusteisen lähestymistavan soveltaminen toimittajasuhteisiin voi auttaa rajoittamaan tällaisten häiriöiden vaikutusta.
Yrityksesi voi esimerkiksi haluta mieluummin työskennellä ISO 27001 -sertifioitujen toimittajien kanssa, rajoittaa toimittajien pääsyä tietoihin tietojen luokittelutasojen perusteella ja seurata toimittajan riskiä, jos toimittajan perehdyttäminen voi vaikuttaa organisaatiosi tietojen tai prosessien luottamuksellisuuteen, eheyteen ja saatavuuteen.
Lopullinen ajatus
Tietojenkalastelu on laajalle levinnyt kyberhyökkäyksen muoto; onneksi organisaatioille monet merkit on helppo havaita. Jatkuva työntekijöiden koulutus, parhaiden tietoturvakäytäntöjen käyttöönotto ja vankka lähestymistapa tietoturvaan voivat vähentää onnistuneiden tietojenkalasteluhyökkäysten todennäköisyyttä – ja vaikutusta. tietojen rikkomukset.
Kyberuhkien kehittyessä proaktiiviset yritykset, jotka toteuttavat monikerroksista lähestymistapaa tietoturvaan ja valtuuttavat työntekijät toimimaan ensimmäisenä ja tärkeimpänä puolustuslinjanaan, hyötyvät epäilemättä siitä.
