Video: Výmena a oprava relé zákrut ZAZ, Tavria, Slavuta (November 2024)
Počítačoví špióni vymýšľajú komplikované rootkity a umelo skrytý malware, aby ukradli tajomstvá a počúvali privilegovanú komunikáciu. Aby boli nainštalované tieto špionážne nástroje, zvyčajne sa spoliehajú na najslabší prvok bezpečnostnej arény; používateľ. Vzdelávacie kampane na zvýšenie informovanosti o bezpečnosti môžu byť veľkou pomocou, ale existuje správny spôsob a nesprávny spôsob, ako to dosiahnuť.
Zvyšovanie červených vlajok
Washington Post minulý týždeň informoval, že veliteľ boja proti armáde vzal na seba, aby vyhodnotil schopnosť svojej jednotky odhaliť phishingové správy. Jeho testovacia správa vyzvala príjemcov (menej ako 100 z nich), aby navštívili web svojho dôchodkového plánu a požiadali ho o obnovenie hesla. Správa však bola prepojená s falošnou stránkou s adresou URL veľmi podobnou skutočnej správe agentúry Thrift Savings Plan.
Príjemcovia boli inteligentní; ani jeden z nich neklikol na falošný odkaz. Podozrivý e-mail však zdieľali s „tisíckami priateľov a kolegov“, čo spôsobilo záplavu hovorov na skutočný sporný plán sporenia, ktorý trval celé týždne. Nakoniec šéf bezpečnosti dôchodkového plánu vystopoval správu k armádnej doméne a Pentagon vystopoval páchateľa. Podľa postu nemenovaný veliteľ „nebol pokarovaný za to, že konal sám, pretože pravidlá boli vágne“.
Skutočnosť, že v roku 2011 došlo k skutočnému porušeniu plánu sporenia Thrift, k znepokojivému faktoru pre postihnutých federálnych zamestnancov prispela. Obhajca povedal pre príspevok: „Toto sú vajcia ľudí, ich ťažko zarobené úspory. Keď ste začali počuť TSP o všetkých veciach, rozbehol sa mučivý mlyn.“ Agentúra naďalej prijíma obavy na základe testu phishingu.
V príspevku sa uvádza, že akékoľvek budúce testy phishingu si budú vyžadovať schválenie vedúceho oddelenia informácií Pentagonu. Akýkoľvek test, ktorý sa týka subjektu v skutočnom svete, ako je napríklad plán úspor sporenia, si vyžaduje predchádzajúce povolenie tejto organizácie. Výkonný riaditeľ TSP Greg Long dal jasne najavo, že jeho organizácia sa nezúčastní.
Úplne nesprávne
Takže, kde sa tento veliteľ armády pokazil? Nedávny blogový príspevok od PhishMe CTO Aarona Higbeeho hovorí, no, takmer všade. „Toto cvičenie spáchalo každý kardinálny hriech simulovaného phishingu tým, že mu chýbali definované ciele, nezohľadňoval dôsledky, ktoré by mohol mať e-mail, neoznámil sa všetkým potenciálne zainteresovaným stranám a možno zneužíval ochranné známky / obchodné šaty alebo materiál chránený autorskými právami, “ uviedol Higbee.
„Aby bol simulovaný phishingový útok efektívny, musí príjemcovi poskytnúť informácie o tom, ako sa v budúcnosti vylepšiť, “ uviedol Higbee. „Ľahký spôsob, ako to urobiť, je informovať príjemcov, že útok bol cvičením, a poskytnúť výcvik bezprostredne po interakcii s e-mailom.“
„Ľudia často spochybňujú hodnotu, ktorú PhishMe poskytuje tým, že hovoria, že môžu vykonávať simulované phishingové cvičenia in-house, “ poznamenal Higbee. „Tí, ktorí majú toto myslenie, by mali brať nedávne gaffy armády ako varovný príbeh.“ Keď PhishMe identifikoval PhishMe ako „nesporných šampiónov v ťažkej váhe“ v phishingovom vzdelávaní, dospel k záveru, že „PhishMe za posledných 90 dní odoslal 1 790 089 e-mailov. Dôvodom, prečo naše phishingové simulácie nevytvárajú národné titulky, je to, že vieme, čo robíme.“
Správna cesta
Organizácia, ktorá uzavrela zmluvu s PhishMe na phishingové vzdelávanie, si môže zvoliť rôzne štýly testovacích e-mailov, z ktorých žiadna nezahŕňa simuláciu tretej strany, ako je TSP. Napríklad môžu generovať správu, ktorá zamestnancom ponúka bezplatný obed. Všetko, čo musíte urobiť, je prihlásiť sa na webovú stránku objednávky obedov „pomocou svojho sieťového mena a hesla.“ Ďalším prístupom je dvojitý sudový útok, ktorý používa jeden e-mail na podporu platnosti iného e-mailu, ktorý sa používa pri útokoch na pokročilé trvalé hrozby v reálnom svete.
Bez ohľadu na to, aký štýl phishingu si vyberiete, každý používateľ, ktorý sa naň dostane, dostane okamžitú spätnú väzbu a školenie a manažment dostane podrobnú štatistiku. Pri opakovaných kolách testovania a školenia sa spoločnosť PhishMe zamerala na zníženie rizika prenikania do siete prostredníctvom phishingu „až na 80 percent“.
Väčšina organizácií je dobre chránená pred sieťovými útokmi prichádzajúcimi cez internet. Najjednoduchší spôsob, ako preniknúť do bezpečia, je oklamať dôverčivého zamestnanca. Ochrana pred neoprávneným získavaním údajov zabudovaná do moderných bezpečnostných balíkov dobre funguje proti podvodom v štýle vysielania, ale cieleným útokom typu „oštep s neoprávneným získavaním údajov“ je ďalší príbeh.
Ak máte na starosti bezpečnosť vašej organizácie, skutočne musíte týchto zamestnancov vzdelávať, aby sa im nepodviedli. Možno budete schopní zvládnuť školenie sami, ale ak nie, tréneri tretích strán ako PhishMe sú pripravení pomôcť.