Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноябрь 2024)
Кибер-шпионы разрабатывают сложные руткиты и хитро спрятанные вредоносные программы, чтобы украсть секреты и прослушать привилегированные сообщения. Чтобы установить эти шпионские инструменты, они обычно полагаются на самый слабый элемент в области безопасности; Пользователь. Образовательные кампании по повышению осведомленности о безопасности могут оказать большую помощь, но есть правильный и неправильный путь.
Поднятие красных флагов
На прошлой неделе газета «Вашингтон пост» сообщила, что боевой командир армии взял на себя задачу оценить способность своего подразделения обнаруживать фишинговые сообщения. Его тестовое сообщение указывало получателям (менее 100) на веб-сайт их пенсионного плана для обязательного сброса пароля. Тем не менее, сообщение связано с поддельным сайтом с URL-адресом, очень похожим на реальный адрес для агентства, Thrift Savings Plan.
Получатели были умными; ни один из них не нажал на поддельную ссылку. Тем не менее, они поделились подозрительной электронной почтой с «тысячами друзей и коллег», что вызвало поток звонков по фактическому Плану сбережений, который длился неделями. В конце концов начальник службы безопасности пенсионного плана отследил сообщение до армейского домена, и Пентагон разыскал преступника. Согласно сообщению, неназванный командир «не получил выговора за действия самостоятельно, потому что правила были расплывчаты».
Тот факт, что в 2011 году сберегательный план столкнулся с фактическим нарушением, добавил фактор беспокойства для пострадавших федеральных служащих. Чиновник обороны сказал Post: «Это яйца людей, их с трудом заработанные сбережения. Когда вы начали слышать TSP обо всем, мельница слухов стала безудержной». Агентство продолжает получать обеспокоенные звонки на основе фишинг-теста.
Почта сообщает, что любые будущие тесты на фишинг потребуют одобрения Главного информационного директора Пентагона. Любой тест с участием реального объекта, такого как Сберегательный план, требует предварительного разрешения этой организации. Исполнительный директор TSP Грег Лонг очень ясно дал понять, что его организация не будет участвовать.
Совершенно неправильно
Так, где этот командующий армией пошел не так? В недавнем сообщении в блоге технического директора PhishMe Аарона Хигби говорится, что почти везде. «Это упражнение совершило каждый кардинальный грех симулированного фишинга, не имея определенных целей, не учтя последствий, которые может иметь электронное письмо, не сообщив всем потенциально вовлеченным сторонам, и, возможно, злоупотребив товарными знаками / товарным знаком или авторским правом материала», - сказал Хигби.
«Чтобы быть эффективной, симулированная фишинговая атака должна предоставить получателю информацию о том, как улучшить ситуацию в будущем», - сказал Хигби. «Простой способ сделать это - сообщить получателям, что атака была тренировочным упражнением, и провести обучение сразу же после взаимодействия с электронной почтой».
«Люди часто подвергают сомнению ценность, которую предоставляет PhishMe, говоря, что они могут проводить симулированные фишинговые упражнения внутри компании», - отметил Хигби. «Те, у кого такое мышление, должны воспринимать недавнюю оплошность армии как предостерегающую историю». Определив PhishMe как «бесспорных чемпионов в тяжелом весе» фишингового образования, он заключил: «За последние 90 дней PhishMe отправил 1 790 089 электронных писем. Причина, по которой наши фишинговые симуляции не попадают в заголовки национальных газет, заключается в том, что мы знаем, что делаем».
Правильный путь
Организация, которая заключает контракт с PhishMe на фишинговое образование, может выбрать различные тестовые стили электронной почты, ни один из которых не включает в себя симуляцию третьей стороны, такой как TSP. Например, они могут сгенерировать сообщение, которое предлагает сотрудникам бесплатный обед. Все, что им нужно сделать, - это зайти на веб-сайт заказа обеда «используя имя пользователя и пароль вашей сети». Другой подход - атака с двумя стволами, которая использует одно электронное письмо для поддержки действительности другого - тактика, используемая в реальных атаках Advanced Persistent Threat.
Какой бы стиль фишинговой почты ни был выбран, любой пользователь, который его выберет, получает немедленную обратную связь и обучение, а руководство получает подробную статистику. С помощью повторяющихся циклов тестирования и обучения PhishMe стремился снизить риск проникновения в сеть посредством фишинга на «до 80 процентов».
Большинство организаций хорошо защищены от сетевых атак, которые проходят через Интернет. Самый простой способ проникнуть в систему безопасности - обмануть доверчивого сотрудника. Защита от фишинга, встроенная в современные наборы средств безопасности, хорошо работает против мошенничества в стиле вещания, но целенаправленные атаки «фишинг-фишинга» представляют собой другую историю.
Если вы отвечаете за безопасность своей организации, вам действительно необходимо обучить этих сотрудников, чтобы их не обманули. Вы можете справиться с обучением самостоятельно, но если нет, то сторонние тренеры, такие как PhishMe, готовы помочь.