Phishing-kanpainen simulazioa

Zer da phishing-a?

Phishing-a iruzur mota bat da, eta helburu nagusia pertsona edo erakunderen bati informazioa eta sarbide-kredentzialak lapurtzea edo biktimaren gailuren bat infektatzea da.

Horretarako, posta elektronikoa erabiltzen da, baina beste baliabide batzuk ere erabil daitezke: SMS mezuak (smishing), sare sozialak, berehalako mezularitzako aplikazioak edo telefono-deiak (vishing). Zibergaizkileek erakunde legitimoa direla simulatzen dute (gizarte-sarea, bankua, erakunde publikoa, etab.) edo pertsona baten nortasuna ordezten dute.

Informazioa lortzeko, esteka bat jarri ohi dute posta elektronikoan, iruzurrezko webgune batera joateko. Normalean, benetako baten erreplika bat izaten da, eta informazio jakin bat eskatzen zaio. Ekipoa infektatzeko, fitxategi erantsiren bat erabili ohi da, eta, harekin interakzionatzean (deskargatzean edo irekitzean), sistema kutsatzen du.

Phishing-kanpainen simulazioa kontratatzearen onurak

• Erabiltzaileak phishing bat dela eta horrelako iruzurrak erabiltzen dituen ingeniaritza sozialeko teknikak erabiltzen dituela modu praktikoan kontzientziatzeko aukera ematen du.
• Erakundearen barruan phishing-eraso potentzialen eragina murrizteko eta,beraz, segurtasuna hobetzeko aukera ematen du.
• Kontzientziazio-kanpainen aurrerapenari buruzko txostenak eta estatistikak egiteko aukera ematen du, eta, beharrezkoa izanez gero, prestakuntzan eragiteko aukera.

Zer da phishing-simulazio bat?

Phishing-simulazioa ariketa praktiko eta kontrolatua da, eta erakunde bateko langileei iruzurrak, identitate ordezpenak, spama, malwarea eta antzeko mehatxuak ezagutzen eta saihesten laguntzen die. Kontzientziazio-ariketa horien helburu nagusia da langileei, praktikaren eta ezagutzaren bidez, mehatxuak identifikatzeko gaitasuna ematea, eta, hartara, zibereraso baten aurrean enpresak duen lehen babes-hesia bihurtzea.

Hona hemen phishing-simulazioen adibideak:

• Iruzur eta ingeniaritza sozialeko teknikak, normalean posta elektronikoaren bidez, informazio pertsonala edo informazio konfidentziala lortzeko.
• Itxuraz kaltegarriak diren lotura edo fitxategi erantsiak erabiltzea.
• Web gune faltsuak erabiltzea, beste benetako batzuen erreplika.
• Nortasun ordezkapenak.

Simulazio-ariketak egiteko urratsak

Erasoak simulatzeko edozein ariketa ongi planifikatu eta bideratu behar da erakundeak proposatutako helburuak lortzera. Era berean, simulazio-ariketa guztiak aurrez erabakitakora mugatu behar dira, eta etengabe monitorizatu behar dira adierazleen bidez (KPIak).

Hauek dira egin beharreko urratsak:

1. Plangintza: Kanpainaren irismena, parte hartzeko arauak eta horretarako behar diren baliabideak zehazten dira.
2. Hedapena: Erakundean egingo den engainu-kanpaina diseinatzen da, eta phishing-kanpaina eraginkorra izan dadin behar diren baliabideak zabaldu eta eratzen dira.
3. Exekuzioa: Mezu elektronikoak bidaltzen dira eta jarduera monitorizatzen da, haren aurrerapena eta irismen-muga egiaztatzeko.
4. Txostenak: Bildutako estatistikak eta jarduera datuak bildu eta aztertzen dira. Kanpaina bukatutakoan eta bildutako datuekin simulazio-prozesu osoa berrelikatu behar da, akatsak, hobetzeko puntuak edo gomendatutako ekintzak atzemateko.

Non jaso aholkularitza edo kontratatu istiluei erantzuteko talde baten zerbitzuak?

BCSCk “Euskadiko Zibersegurtasunaren Liburu Zuria” jarri du enpresen eta herritarren eskura. Bertan, Euskadiko zibersegurtasun-enpresen katalogoa dago, zerbitzu horiek eskaintzen dituztenak.

Liburu Zuri honek Euskadiko zibersegurtasun-merkatuaren laburpen edo bat-bateko gisa balio nahi du. Katalogo bizia da, aldian behin berrikusi eta eguneratzen dena, etengabe aldatzen ari baita zerbitzuen digitalizazioa eta sortzen diren aukerak.