Εισαγωγή: Συνειδητοποίηση phishing στο χώρο εργασίας
Αυτό το άρθρο διευκρινίζει τι Phishing είναι, και πώς μπορεί να προληφθεί με τα κατάλληλα εργαλεία και εκπαίδευση. Το κείμενο έχει μεταγραφεί από μια συνέντευξη μεταξύ του John Shedd και του David McHale του HailBytes.
Τι είναι το Phishing;
Το phishing είναι μια μορφή κοινωνικής μηχανικής, συνήθως μέσω email ή μέσω SMS ή μέσω τηλεφώνου, όπου οι εγκληματίες προσπαθούν να πάρουν κάποιο είδος πληροφορίες που μπορούν να χρησιμοποιήσουν για πρόσβαση σε πράγματα στα οποία δεν θα έπρεπε να έχουν πρόσβαση.
Για άτομα που δεν γνώριζαν, υπάρχουν δύο διαφορετικοί τύποι επιθέσεων phishing.
Ποια είναι η διαφορά μεταξύ Γενικού Phishing και Spearphishing;
Το γενικό phishing είναι συνήθως μια εξαιρετικά μαζική αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που έχουν την ίδια μορφή για να προσπαθήσουν να κάνουν κάποιον να κάνει κλικ σε αυτό χωρίς πολλή προσπάθεια.
Το γενικό ψάρεμα είναι πραγματικά ένα παιχνίδι αριθμών, ενώ οι εγκληματίες που κάνουν ψάρεμα θα πάνε και θα ερευνήσουν έναν στόχο.
Με το spearphishing, απαιτείται λίγη περισσότερη προετοιμασία και το ποσοστό επιτυχίας τείνει να είναι πολύ υψηλότερο.
Ως αποτέλεσμα, οι άνθρωποι που χρησιμοποιούν το spearphishing συνήθως στοχεύουν σε πιο πολύτιμους στόχους. Μερικά παραδείγματα περιλαμβάνουν λογιστές ή CFO που έχουν την ικανότητα να τους προσφέρουν πραγματικά κάτι πολύτιμο.
Συμπέρασμα: Το γενικό ηλεκτρονικό ψάρεμα είναι σχεδόν αυτονόητο με τον όρο γενικό και το ψάρεμα με δόρυ είναι πιο συγκεκριμένο με τον μεμονωμένο στόχο.
Πώς αναγνωρίζετε μια επίθεση phishing;
Συνήθως αυτό που θα δείτε για το γενικό ηλεκτρονικό ψάρεμα είναι ένα όνομα τομέα που δεν ταιριάζει ή ένα όνομα αποστολέα που δεν είστε εξοικειωμένοι. Ένα άλλο πράγμα που πρέπει να προσέξετε είναι η κακή ορθογραφία ή κακή γραμματική.
Μπορεί να δείτε συνημμένα που δεν έχουν νόημα ή συνημμένα που είναι τύποι αρχείων στους οποίους κανονικά δεν θα είχατε πρόσβαση.
Μπορεί να σας ζητούν να κάνετε κάτι που είναι εκτός της συνήθους διαδικασίας για την εταιρεία σας.
Ποιες είναι μερικές καλές πρακτικές για την αποτροπή επίθεσης phishing;
Είναι σημαντικό να έχουμε καλό πολιτικές ασφάλειας στη θέση.
Θα πρέπει να κατανοήσετε τις διαδικασίες που είναι κοινές δραστηριότητες υψηλού κινδύνου, όπως η αποστολή μισθοδοσίας ή η αποστολή τραπεζικών εμβασμάτων. Αυτοί είναι μερικοί από τους πιο συνηθισμένους φορείς που βλέπουμε για εγκληματίες που βασικά εκμεταλλεύονται αυτή την εμπιστοσύνη και στη συνέχεια βλάπτουν μια εταιρεία.
Θα πρέπει να κατανοήσετε ότι εάν κάτι είναι ύποπτο, θα πρέπει να το αναφέρουν και να έχουν κάποιο είδος διαδικασίας για να διευκολύνουν τους χρήστες να ζητήσουν βοήθεια.
Θα πρέπει να γνωρίζετε τα βασικά πράγματα που πρέπει να ελέγχετε σε κάθε email, επειδή πολλοί χρήστες δεν ξέρουν τι να αναζητήσουν ή απλώς δεν γνωρίζουν.
Πώς βοηθά το Hailbytes με την ευαισθητοποίηση και την εκπαίδευση για το ψάρεμα;
Προσφέρουμε προσομοιώσεις phishing όπου θα στέλνουμε σε εταιρείες μηνύματα ηλεκτρονικού ψαρέματος στα οποία οι χρήστες κάνουν κλικ και μπορούμε να κατανοήσουμε πώς φαίνεται η στάση ασφαλείας τους. Τελικά, είμαστε σε θέση να ανακαλύψουμε ποιοι χρήστες είναι ευάλωτοι στον οργανισμό τους.
Τα εργαλεία μας τους επιτρέπουν να προωθήσουν μηνύματα ηλεκτρονικού ταχυδρομείου και να λάβουν μια αναφορά για να κατανοήσουν τι συμβαίνει με τους επικίνδυνους παράγοντες σε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου και, στη συνέχεια, η ομάδα ασφαλείας εσωτερικά θα λάβουμε επίσης αυτήν την αναφορά.
Έχουμε επίσης βασικές και προηγμένες εκπαιδεύσεις ασφαλείας που θα δείξουν σε αυτούς τους χρήστες πολλές από τις κοινές τακτικές που χρησιμοποιούνται και πολλά από τα κοινά πράγματα που πρέπει να προσέχουν όταν υποψιάζονται ότι ένα μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να περιέχει επίθεση phishing.
Σημεία συμπερασμάτων:
- Το phishing είναι μια μορφή κοινωνικής μηχανικής.
- Το General Phishing είναι μια ευρέως διαδεδομένη μορφή επίθεσης.
- Το Spearphishing περιλαμβάνει έρευνα για τον στόχο phishing και είναι πιο επιτυχημένο για τον απατεώνα.
- έχοντας μια πολιτική ασφαλείας είναι το πρώτο βήμα για τον μετριασμό κυβερνασφάλεια απειλές.
- Το phishing μπορεί να αποτραπεί μέσω της εκπαίδευσης και μέσω προσομοιωτών phishing.
