עסקאות או הפרות נתונים? עצור את ה-Black Friday Becoming Hack Friday

עסקאות או הפרות נתונים? תפסיקו את הבלאק פריידיי להפוך ל-Hack Friday

מאת כריסטי ריי • 27 נובמבר 2024

תקופת הבלאק פריידי הפכה לאחת מתקופות הקידום הגדולות של השנה, כאשר המותגים מתרחבים מיום מכירות בודד למבצעים שנמשכים שבוע או יותר. צרכנים חדי עין יכולים לקבל הנחות ענק על כל דבר, מטלוויזיות ועד צעצועים. עם זאת, תקופת ההנחה האינטנסיבית מציעה הזדמנות משמעותית לרמאים המעוניינים לרמות קונים מכספם שהרוויחו קשה. כבר עכשיו, כותרות מזהירות שצרכנים צריכים לשקול אם עסקאות מסוימות באמת טובות מכדי להיות אמיתיות. הגרדיאן אפילו כינה את היום 'יום ההונאה השחורה', עם נתוני Action Fraud שמראים שתקופת ההנחה היא פריים טיים לרמאים.

עבור ארגונים, Black Friday גם מהווה סיכון מוגבר להתקפות סייבר. בנובמבר 2023, יותר מ-32,000 דוחות הונאה ופשעי סייבר נמסרו ל- Action Fraud. יותר מ-3,500 מהדיווחים הללו נעשו על ידי עסקים, שדיווחו על הפסדים כספיים של 30.4 מיליון ליש"ט.

כיצד עסקים יכולים להישאר מאובטחים בתקופה של סיכון מוגבר להתקפות סייבר?

מהם סיכוני אבטחת הסייבר העיקריים?

דיוג

פישינג היא אחת הצורות הנפוצות ביותר של התקפות סייבר כל השנה. ובכל זאת, אירועים כמו בלאק פריידי מציעים הזדמנות רחבה יותר לפושעי סייבר, במיוחד עם הגידול בעסקאות דחיפות ורגישות לזמן שמציעים עסקים לגיטימיים.

רמאים ינצלו את העסקאות והעסקאות המוגדלות על ידי לקוחות פישינג, לעתים קרובות על ידי שליחת מיילים מתוחכמים ופרסומיים שבקושי ניתן להבחין בהם מאימיילים לגיטימיים. בכך הם יכולים ללכוד נתוני לקוחות, פרטי תשלום ועוד.

הצרכנים אינם היחידים בסיכון. במהלך ציד העסקאות שלהם, הצוות שלך עשוי להשתמש במכשירים של החברה או אפילו שלהם עם גישה לחשבונות החברה, מה שמגביר את הסיכון לעסק שלך אם הם יתעסקו בטעות באימייל דיוג.

סיסמאות חלשות 

לפי NordPass, 123456 היא עדיין הסיסמה הנפוצה ביותר שאנשים משתמשים בחשבונות האישיים והארגוניים שלהם. המחקר האחרון של 200 הסיסמאות הנפוצות ביותר של NordPass מצא שהסיסמה הייתה בשימוש יותר משלושה מיליון פעמים, והחברה טוענת שייקח להאקר פחות משנייה לפצח.

יום שישי השחור מציע את ההזדמנות המושלמת עבור שחקני איומים לנסות התקפות בקנה מידה גדול. במתקפת כוח גס, פושעי סייבר מנסים מיליוני שילובי סיסמאות פוטנציאליים עד שהם מקבלים את התוצאה הנכונה, וככל שהסיסמה חלשה יותר, כך ניתן לפצח אותה מהר יותר.

מכיוון שהיגיינת סיסמאות חלשה - כלומר אנשים המשתמשים בסיסמאות או וריאציות של סיסמאות שלהם בחשבונות מרובים - כל כך נפוצה, קל לפושעי רשת לגשת למספר חשבונות לאחר שפצח סיסמה אחת. זה כולל פרופילי דוא"ל, רשתות ארגוניות ומערכות עסקיות, מה שבתורו מגדיל את פרופיל הסיכון של הארגון.

פגיעויות בשרשרת האספקה

את העתיד דוח מצב אבטחת מידע לשנת 2024 מצא שניהול סיכונים של ספקים ושל צד שלישי הוא אתגר אבטחת המידע הגדול ביותר של ארגונים. 79% מהמשיבים אמרו שהם הושפעו מתקרית אבטחת סייבר או אבטחת מידע שנגרמה על ידי ספק צד שלישי או שותף לשרשרת אספקה ב-12 החודשים האחרונים. למעשה, 45% הושפעו ממספר אירועים.

ככל ששרשרות האספקה נעשות יותר ויותר תלויות במערכות IT, ההזדמנות גוברת עבור גורמי איומים להתמקד בחוליות חלשות - ושרשרת האספקה של הארגון שלך חזקה רק כמו החוליה החלשה ביותר שלו. כל ישות בשרשרת האספקה שלך עלולה להפוך בלי משים לשער לתשתית הדיגיטלית שלך.

הנדסה חברתית

הנדסה חברתית היא וקטור התקפה נוסף לעסקים שיש לשים לב אליו. לדוגמה, סביר להניח שעסקי מסחר אלקטרוני יראו שאילתות שירות לקוחות גדלות באופן דרמטי במהלך יום שישי השחור, שאותו פושעי סייבר עשויים לנסות לנצל.

בדרך כלל, שיטת התקפה זו מכוונת לרכוש פרטי לקוחות או לבצע הונאת החזר כספי, אך רמאים שאפתניים ישתמשו בה גם כדי להימנע מחסימות.

הונאות מדיה חברתית נפוצות גם הן, כאשר הצעות ופרסומות מכוונות למשתמשים עם מוצרים ושירותים מזויפים המתמקדות לחלוטין בפגיעה בפרטי כרטיס חיוב או בביצוע הונאה מקוונת.

הונאות מבוססות בינה מלאכותית

בינה מלאכותית (AI) מציעה שיטות התקפה חדשות עבור גורמי איומים, והטכנולוגיה הופכת פופולרית יותר ויותר בקרב רמאים - הדוח שלנו מצא ש-30% מהעסקים הושפעו מתקרית זיוף עמוק ב-12 החודשים האחרונים.

הטכנולוגיה המתקדמת יכולה לשמש ליצירת אתרי הונאה שנראים בדיוק כמו האתרים הלגיטימיים שהם מחקים, והטכנולוגיה יכולה אפילו ליצור זיופים עמוקים של אודיו או וידאו כדי לבצע התקפות בסגנון אימייל עסקי (BEC). עם זאת, ישנם גם מקרי שימוש אפשריים לגניבת מידע/אישורים, נזק למוניטין, או אפילו לעקוף אימות פנים וזיהוי קולי.

עסקים B2B רבים מציעים ללקוחות פוטנציאליים עסקאות או הנחות בבלאק פריידי, מה שפותח עוד אפיק תקיפה פוטנציאלי עבור גורמי איומים. טכנולוגיית בינה מלאכותית מתפתחת, ובין אם היא משמשת ליצירת אימיילים הונאה או כדי להערים על עובדים לבצע העברות כספים ארגוניות, ברור שהונאות מונעות בינה מלאכותית מהוות איום אמיתי לעסקים במהלך הבלאק פריידי ואילך.

הגן על העסק שלך מפני סיכוני אבטחת סייבר של Black Friday

מודעות וחינוך עובדים לאבטחת סייבר

תוכנית הכשרה ומודעות טובה לאבטחת סייבר מאפשרת לעובדים שלך לזהות ולדווח על התקפות סייבר פוטנציאליות. תוכנית ההכשרה והמודעות שלך צריכה גם לתאר תהליכים שיש לעקוב אחריהם, למשל, צוות התהליך צריך לעקוב אחר כדי לדווח על ניסיונות דיוג חשודים. על ידי העצמת הצוות שלך, אתה יכול עוד יותר לאבטח את העסק שלך.

היגיינת סיסמאות טובה

כל העובדים שלך צריכים להשתמש בסיסמאות מורכבות ש:

אינם קשורים למידע אישי

אינם בשימוש באף אתר אחר, לרבות אתרים שאינם עובדים

נשמרים חסויים

אל תכיל את שם החברה או את שם המוצר שלך.

אתה יכול גם להגדיר דרישת תווים מינימלית - השיטה המומלצת מציעה לפחות 12 תווים. עובדים צריכים גם להשתמש באימות רב-גורמי (MFA) ולהחליף סיסמאות באופן קבוע. הארגון שלך צריך להגדיר סיסמה מדיניות עם הדרישות הללו ולהבטיח שכולם ימלאו אחריהם.

ניהול טכנולוגיה ואבטחת מידע איתן

הקמה והטמעה של שיטות אבטחת סייבר חזקות מאפשרות לעסק שלך להפחית סיכונים ולקדם אבטחה וניהול מידע חזק.

ארגונים צריכים לשקול את הדברים הבאים:

ניהול גישה-ניהול יעיל של זכויות המשתמשים והרשאות ושימוש בבקרות כגון MFA בחשבונות צוות יכולים להיות הגנות קריטיות מפני אישורים גנובים וגישה לא מורשית. לדוגמה, גישה עם הרשאות מינימליות מבטיחה שמשתמשים יכולים לגשת רק למשאבים הדרושים לביצוע תפקידם, ומגבילה את ההשפעה על הארגון שלך במקרה של פגיעה בחשבון.

הגנת מידע-תהליכים ובקרות טכניות מתאימים חיוניים לזיהוי, סיווג וטיפול מאובטח בנתונים ארגוניים על כל צורותיהם. כלים כגון מערכות או מסגרות לניהול מידע יכול לעזור לארגונים למנוע מפושעי סייבר לגשת לנתונים ארגוניים באמצעות דואר אלקטרוני, הגדרות שגויות והתנהגויות אבטחה לקויות.

תצורה מאובטחת- התמקד בפתרונות הנדסיים מאובטחים מההתחלה במקום להוסיף אותם מאוחר יותר או לאחר שהתרחש תקרית. גישה זו מפחיתה באופן משמעותי נקודות כניסה חלשות לרשתות עסקיות לניצול של פושעי סייבר.

תיקון ועדכוני תוכנה - לעתים קרובות תוקפים מנצלים נקודות תורפה בתוכנה מיושנת. ודא התקנה קבועה של עדכונים ותיקונים עבור התוכנה בארגון שלך ובמכשירי העובדים שלך. שקול את המדיניות והבקרות של הבאת מכשיר משלך (BYOD) כדי להבטיח את רמת האבטחה החזקה ביותר.

על ידי הטמעת בקרות אפקטיביות ופרופורציונליות לניהול נתונים ומידע ארגוני, אתה יכול להבטיח שהעסק שלך נמצא צעד אחד לפני סיכוני הסייבר המוגברים ביום שישי השחור הזה. בנוסף, הפגנת אישורי ניהול מידע מוצקים וניהול סיכונים תגביר את אמון הלקוחות ותחזק את המוניטין וההצלחה העסקית שלך.

חזקו את ניהול המידע ואת עמדת הסיכון שלכם היום 

אם אתה מחפש להתחיל את המסע שלך לאבטחת מידע ואבטחת סייבר טובה יותר, אנחנו יכולים לעזור.

פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לניהול מידע עם ISO 27001, NIST, 2 שקלים ומסגרות נוספות. פתח את היתרון התחרותי שלך היום - הזמן את ההדגמה שלך.

כריסטי ריי

כריסטי היא מומחית לשיווק תוכן ב-ISMS.online. עם ניסיון של למעלה משבע שנים, היא שואפת לכתוב תוכן אינפורמטיבי ומרתק ועבדה במגוון תעשיות כולל אבטחת סייבר, תוכנה כשירות, טכנולוגיה ותרופות.