Video: Taistelukenttä 2020 | Slagfält 2020 | Battlefield 2020 (Marraskuu 2024)
Tietovakoilijat suunnittelevat yksityiskohtaisia juurikomplektejä ja taitavasti piilotettuja haittaohjelmia salaisuuksien varastamiseksi ja etuoikeutetun viestinnän kuuntelemiseksi. Saadaksesi nämä vakoojatyökalut asennettuna, ne luottavat yleensä turvallisuusalueen heikoimpaan elementtiin; käyttäjä. Koulutuskampanjat turvallisuustietoisuuden lisäämiseksi voivat olla suuri apu, mutta siihen on oikea ja väärä tapa.
Punaisten lippujen nostaminen
Washington Post kertoi viime viikolla, että armeijan taistelukomentaja otti sen itse arvioidakseen yksikkönsä kykyä havaita tietojenkalasteluviestejä. Hänen testiviestinsä ohjasi vastaanottajaa (vähemmän kuin 100 heitä) vierailemaan eläkesuunnitelmansa verkkosivustolla tarvittavan salasanan palauttamiseksi. Viesti kuitenkin linkitettiin väärennettyyn sivustoon, jonka URL-osoite on hyvin samankaltainen kuin viraston todellinen, Thrift Savings Plan.
Vastaanottajat olivat älykkäitä; yksikään heistä ei napsauttanut vääriä linkkejä. He kuitenkin jakoivat epäilyttävän sähköpostin "tuhansien ystävien ja kollegoiden" kanssa aiheuttaen puheluita todelliseen säästösuunnitelmaan, joka kesti viikkoja. Lopulta eläkesuunnitelman turvallisuuspäällikkö jäljitti viestin armeijan alueelle, ja Pentagon jäljitti tekijän. Viestin mukaan nimeämätöntä komentajaa "ei arvosteltu siitä, että hän toimi yksin, koska säännöt olivat epämääräiset".
Se, että säästämissuunnitelmassa todettiin todellinen rikkomus vuonna 2011, lisäsi huolenaiheita asianomaisille liittovaltion työntekijöille. Puolustusministeriö kertoi Postille: "Nämä ovat ihmisten pesämunia, heidän kovalla työllä ansaitut säästönsä. Kun aloitit kuulemaan TSP: n kaikista asioista, huhujen mylly meni riehumaan." Virasto vastaanottaa edelleen huolestuneita puheluita phishing-testin perusteella.
Viesti ilmoittaa, että mahdolliset tulevat tietojenkalastelutestit vaaditaan Pentagonin tiedotusjohtajalta. Kaikki testit, joissa mukana reaalimaailman yksikkö, kuten Thrift Savings Plan, edellyttävät ennakkolupaa kyseiseltä organisaatiolta. TSP: n toimitusjohtaja Greg Long teki selväksi, että hänen organisaationsa ei osallistu.
Täysin väärä
Joten, mihin tämä armeijan komentaja meni pieleen? PhishMe CTO Aaron Higbeen äskettäinen blogin kirjoitus sanoo, hyvin, melkein kaikkialla. "Tämä harjoitus teki jokaisen simuloidun tietojenkalastelun kardinaalisen synnin puuttuen määritellyistä tavoitteista, jättämättä ottamatta huomioon sähköpostilla mahdollisesti olevia seurauksia, jättämättä kommunikoimaan kaikkia mahdollisesti mukana olevia osapuolia ja ehkä väärinkäyttämällä tavaramerkkejä / kaupan pukeutumista tai tekijänoikeuksien alaista materiaalia", sanoi Higbee.
"Ollakseen tehokas, simuloidun tietojenkalasteluhyökkäyksen on tarjottava vastaanottajalle tietoa siitä, miten parantua tulevaisuudessa", sanoi Higbee. "Helppo tapa tehdä tämä on ilmoittaa vastaanottajille, että hyökkäys oli harjoitteluharjoittelua, ja tarjota koulutusta heti, kun he ovat vuorovaikutuksessa sähköpostin kanssa."
"Ihmiset epäilevät usein PhishMen tarjoamaa arvoa sanomalla, että he voivat suorittaa simuloituja tietojenkalasteluharjoituksia talossa", totesi Higbee. "Niiden, joilla on kyseinen ajattelutapa, tulisi ottaa armeijan viimeaikainen gaffe varovaisena tarinaa." Tunnustettuaan PhishMen "kiistattomiksi raskaan painon mestariksi" tietojenkalastelusta koulutuksessa hän päätteli: "Viimeisen 90 päivän aikana PhishMe on lähettänyt 1 790 089 sähköpostiviestiä. Tietokalastelusimulaatiot eivät tee kansallisia otsikoita, koska tiedämme mitä teemme."
Oikea tie
PhishMen kanssa phishing-koulutusta tekevä organisaatio voi valita erilaisia testisähköpostityylejä, joista yksikään ei tarkoita TSP: n kaltaisen kolmannen osapuolen simulointia. Esimerkiksi he voivat luoda viestin, joka tarjoaa työntekijöille ilmaisen lounaan. Heidän on vain kirjauduttava lounastilaussivustolle "käyttämällä verkon käyttäjänimeä ja salasanaa". Toinen lähestymistapa on kaksirintainen hyökkäys, joka käyttää yhtä sähköpostia toisen pätevyyden tukemiseen - taktiikka, jota käytetään reaalimaailman edistyneissä jatkuvien uhkien hyökkäyksissä.
Riippumatta siitä, onko tietojenkalasteluviestin tyyli valittu, kuka tahansa käyttäjän, joka tarvitsee sitä, saa välitöntä palautetta ja koulutusta, ja hallinto saa yksityiskohtaiset tilastot. Toistuvilla testaus- ja koulutuskierroksilla PhishMe pyrki vähentämään verkkoon pääsyn riskiä tietojenkalastelun kautta "jopa 80 prosentilla".
Suurin osa organisaatioista on hyvin suojattu Internet-hyökkäyksiltä. Helpoin tapa tuntea turvallisuus on huijaa epätoivoinen työntekijä. Nykyaikaisiin tietoturvaohjelmistoihin rakennettu tietojenkalastelusuojaus toimii hyvin lähetystyyppisiä huijauksia vastaan, mutta kohdennetut "keihäs phishing" -hyökkäykset ovat toinen tarina.
Jos olet vastuussa organisaatiosi turvallisuudesta, sinun on todella koulutettava kyseisiä työntekijöitä, jotta heitä ei huijata. Voit ehkä hoitaa koulutuksen itse, mutta jos ei, kolmansien osapuolten kouluttajat, kuten PhishMe, ovat valmiita auttamaan.