Nesakykite savo saugumo, mokykite savo vartotojus

Manau, kad pirmą kartą sukčiavimo elektroninį laišką pamačiau 2000 m., Kai dirbau su Oliver Rist, kuris dabar yra PCMag verslo redaktorius, bandymo projektą. Vieną rytą abu gavome el. Laiškus su tema „Aš tave myliu“, kuri taip pat buvo el. Laiško turinys ir priedas. Abu akimirksniu žinojome, kad el. Paštas turi būti fiktyvus, nes mes, kaip žurnalų redaktoriai, žinojome, kad niekas mūsų nemyli. Mes nespustelėjome priedo. Iš tikrųjų mes veikėme kaip žmonių ugniasienės. Mes pastebėjome netikrą el. Laišką, kurį matėme, ir ištrynėme, užuot leidę jo turiniui pasklisti mūsų kompiuteriuose ir likusiame tinkle.

Dar tada tokias atakas hakerių rinkinys pavadino „socialine inžinerija“. Šiandien sukčiavimo el. Laiškai yra bene geriausiai žinoma tokio išnaudojimo versija. Jie daugiausia skirti apsaugoti slaptažodžius, tačiau jie taip pat gali tiekti kitokio pobūdžio kenkėjiškas programas, ypač išpirkos programas. Tačiau verta paminėti, kad be sukčiavimo yra ir kitų socialinės inžinerijos atakų, įskaitant tas, kuriose išpuoliai yra fiziniai, o ne griežtai skaitmeniniai.

Žmonės: vis dar pirmaujantis atakos vektorius

Sukčiavimo el. Laiškai yra tokie žinomi todėl, kad jie tokie paplitę. Iki šiol teisinga sakyti, kad visi, turintys el. Pašto paskyrą, tam tikru metu bus gavę sukčiavimo el. Laišką. El. Paštas dažnai apsimetinėja jūsų banko, kredito kortelių įmonės ar kito jūsų dažnai naudojamo verslo el. Laišku. Tačiau sukčiavimo el. Laiškai taip pat gali kelti grėsmę jūsų organizacijai, nes užpuolikai bando panaudoti jūsų darbuotojus prieš jus. Kita ankstyva šios atakos versija buvo aukso faksogramos amžiuje, kai užpuolikai paprasčiausiai išsiųsdavo sąskaitą faktūrą už paslaugas, kurios niekada nebuvo suteiktos didelėms įmonėms, tikėdamiesi, kad užimti vadovai tiesiog pateiks juos apmokėti.

Sukčiavimas yra stebėtinai efektyvus. Pagal advokatų kontoros „BakerHostetler“ atliktą tyrimą, kuriame praėjusiais metais buvo ištirta 560 duomenų pažeidimų, sukčiavimas yra pagrindinė duomenų saugumo incidentų priežastis šiandien.

Deja, technologija neaplenkė sukčiavimo apsimetant. Nors yra daugybė apsaugos priemonių ir programinės įrangos paketų, skirtų kenksmingiems el. Laiškams filtruoti, blogi vyrukai, kurie rengia sukčiavimo el. Laiškus, sunkiai dirba, kad įsitikintų, jog jų atakos slysta per įtrūkimus. Cyren tyrimas rodo, kad ieškant kenksmingų el. Laiškų nuskaitymo nepavyksta 10, 5 proc. Net ir nedidelėje vidutinio dydžio įmonėje (SMB) tai gali sudaryti daugybę el. Laiškų, o bet kuris iš tų, kuriuose yra socialinės inžinerijos išpuolių, gali kelti grėsmę jūsų organizacijai. Ir ne bendra grėsmė, kokia būtų daugumai kenkėjiškų programų, kurioms pavyko paslėpti jūsų parametrų apsaugos priemones, bet grėsmingesnė rūšis, specialiai skirta jūsų vertingiausiems duomenims ir skaitmeniniams ištekliams.

Mane perspėjo apie Cyren pranešimą per pokalbį su Stu Sjouwerman, „KnowBe4“, įmonės, kuri gali padėti žmogiškųjų išteklių (HR) specialistams mokyti saugumo supratimo, įkūrėju ir generaliniu direktoriumi. Būtent Sjouwermanas iškėlė terminą „žmonių ugniasienė“ ir taip pat aptarė „žmonių įsilaužimą“. Jo patarimas yra tas, kad organizacijos gali užkirsti kelią socialinės inžinerijos išpuoliams ar sumažinti jų efektyvumą, rengdamos nuoseklų mokymą, kuris taip pat įtraukia jūsų darbuotojus į problemos sprendimą.

Žinoma, daugelis organizacijų rengia saugumo supratimo mokymo sesijas. Tikriausiai esate buvęs keliuose iš tų susitikimų, kuriuose sena kava buvo suporuota su pasenusiomis spurgomis, o HR samdytas rangovas 15 minučių praleido liepdamas nenukrypti nuo sukčiavimo elektroninių laiškų - iš tikrųjų nepasakydamas, kas tai yra, ar paaiškinęs, ką daryti, jei manote, kad tokį radote. Taip, tie susitikimai.

Tai, ką „Sjouwerman“ pasiūlė geriau, yra sukurti interaktyvią mokymo aplinką, kurioje galėtumėte naudotis tikrais sukčiavimo el. Laiškais, kur galėtumėte juos išnagrinėti. Galbūt turite grupinių pastangų, kuriose visi bando įžvelgti veiksnius, nurodančius sukčiavimo el. Laiškus, pavyzdžiui, prastą rašybą, adresus, kurie beveik atrodo tikri, arba prašo, kad patikrinus jie neturi prasmės (pvz., Reikalauja nedelsiant perduoti įmonių lėšos nežinomam gavėjui).

Ginasi prieš socialinę inžineriją

Tačiau Sjouwermanas taip pat atkreipė dėmesį, kad yra daugiau nei viena socialinės inžinerijos rūšis. „KnowBe4“ svetainėje jis siūlo nemokamų įrankių rinkinį, kurį įmonės gali naudoti norėdami padėti savo darbuotojams mokytis. Jis taip pat pasiūlė šiuos devynis veiksmus, kuriuos įmonės gali žengti kovojant su socialinės inžinerijos išpuoliais.

• Sukurkite žmonių užkardą, išmokydami savo darbuotojus atpažinti socialinės inžinerijos išpuolius juos pamatę.
• Vykdykite dažnai imituojamus socialinės inžinerijos testus, kad jūsų darbuotojai būtų ant kojų.
• Atlikite sukčiavimo apsimetant apsaugą testą; „Knowbe4“ turi nemokamą.
• Ieškokite generalinio direktoriaus sukčiavimo. Tai yra išpuoliai, kurių metu užpuolikai sukuria apgaulingą el. Laišką, kurį, atrodo, gauna generalinis direktorius arba kitas aukšto rango pareigūnas, nukreipdamas tokius veiksmus, kaip skubus pinigų pervedimas. Galite patikrinti, ar jūsų domenas gali būti apgaulingas, naudodamiesi nemokamu „KnowBe4“ įrankiu.
• Siųskite darbuotojams imitavimo sukčiavimo el. Laiškus ir pridėkite nuorodą, kuri įspės jus, jei ta nuoroda bus spustelėta. Stebėkite, kurie darbuotojai dėl to patenka, ir sutelkite mokymus į tuos, kuriems tai atsitiko ne kartą.
• Būkite pasirengę „matyti“, tai yra balso pašto socialinio inžinerijos rūšis, kurioje paliekamos žinutės, kuriomis bandoma imtis veiksmų iš jūsų darbuotojų. Atrodo, kad tai yra teisėsaugos, Vidaus pajamų tarnybos (IRS) ar net „Microsoft“ techninės pagalbos skambučiai. Įsitikinkite, kad darbuotojai žino, kad tų skambučių negrąžins.
• Įspėkite savo darbuotojus į „teksto sukčiavimą“ arba „SMiShing (SMS sukčiavimas)“, panašų į sukčiavimą el. Paštu, bet tekstiniais pranešimais. Tokiu atveju nuoroda gali būti sukurta norint gauti iš jų mobiliųjų telefonų neskelbtiną informaciją, pavyzdžiui, kontaktų sąrašus. Jie turi būti išmokyti neliesti tekstinių pranešimų nuorodų, net jei jie atrodo iš draugų.
• Universaliosios nuosekliosios magistralės (USB) atakos yra stebėtinai veiksmingos ir yra patikimas būdas įsiskverbti į oro tarpus turinčius tinklus. Tai veikia taip, kad kažkas palieka USB atminties korteles, esančias tualetuose, automobilių stovėjimo aikštelėse ar kitose vietose, kuriose dirba jūsų darbuotojai; galbūt lazda ant jų turi viliojančius logotipus ar etiketes. Kai darbuotojai juos suras ir įdės į patogų kompiuterį - ir jie padarys, jei nebus išmokyti kitaip - tada jų kenkėjiškos programos pateks į jūsų tinklą. Taip „Stuxnet“ kenkėjiškos programos įsiskverbė į Irano branduolinę programą. „Knowbe4“ taip pat turi nemokamą įrankį, kad tai išbandytų.
• Pakuotės ataka taip pat yra stebėtinai efektyvi. Čia kažkas pasirodo su rankomis dėžių (arba kartais picų) ir prašo leisti jas įteikti, kad galėtų jas pristatyti. Kol jūs neieškote, jie įsmeigia USB įrenginį į šalia esantį kompiuterį. Jūsų darbuotojai turi būti mokomi vykdyti imituojamas atakas. Galite paskatinti juos treniruodamiesi ir tada dalydamiesi picomis, jei jiems tai tinka.

Kaip matote, socialinė inžinerija gali būti tikras iššūkis ir ji gali būti daug efektyvesnė, nei norėtumėte. Vienintelis būdas su tuo kovoti yra aktyviai įsitraukti savo darbuotojus į tokių atakų aptikimą ir iškvietimą. Parengta teisingai, jūsų darbuotojai iš tikrųjų mėgaujasi procesu ir galbūt iš to gaus ir keletą nemokamų picų.