Nu sabotați propria securitate, nu instruiți-vă utilizatorii

Cred că prima dată când am văzut un e-mail de tip phishing era încă din 2000, în timp ce lucram la un proiect de testare cu Oliver Rist, care este acum redactorul de afaceri al PCMag. Într-o dimineață amândoi am primit e-mailuri cu subiectul „Te iubesc”, care era și corpul e-mailului și exista un atașament. Amândoi știam imediat că e-mailul trebuie să fie fals, deoarece, în calitate de editori de reviste, știam că nimeni nu ne iubește. Nu am dat clic pe atașament. De fapt, acționam ca firewall-uri umane. Am recunoscut un e-mail fals la vedere și l-am șters mai degrabă decât să lăsăm conținutul său să se răspândească în calculatoarele noastre și în restul rețelei.

Chiar și atunci, atacurile ca acestea au fost numite „inginerie socială” de către setul de hackeri. Astăzi, e-mailurile de tip phishing sunt probabil cea mai cunoscută versiune a acestui tip de exploit. Acestea vizează în principal identificarea certificatelor de securitate, dar sunt capabile să furnizeze și alte tipuri de malware, în special ransomware. Dar merită menționat că există și alte tipuri de atacuri de inginerie socială în afară de phishing, inclusiv unele în care atacul este fizic și nu strict digital.

Oamenii: încă un vector de atac principal

Motivul pentru care e-mailurile de tip phishing sunt atât de cunoscute este că sunt atât de comune. Până acum, este corect să spunem că oricine are un cont de e-mail a primit la un moment dat un e-mail de tip phishing. Adesea, e-mailul pretinde că este de la banca dvs., la compania dvs. de cărți de credit sau la alte activități frecventate. Dar e-mailurile de tip phishing pot fi, de asemenea, o amenințare pentru organizația ta, deoarece atacatorii încearcă să-ți folosească angajații împotriva ta. O altă versiune timpurie a acestui atac a apărut în perioada de aur a faxului, când atacatorii ar fi pur și simplu să trimită prin fax o factură pentru servicii care nu au fost niciodată prestate companiilor mari, în speranța că directorii ocupați le vor depune pur și simplu pentru plată.

Phishingul este surprinzător de eficient. Potrivit unui studiu realizat de firma de avocatură BakerHostetler, care a analizat 560 încălcări ale datelor anul trecut, phishingul este cauza principală a incidentelor de securitate a datelor astăzi.

Din păcate, tehnologia nu a prins atacuri de phishing. În timp ce există o serie de dispozitive de securitate și pachete software concepute pentru a filtra e-mailurile rău intenționate, cei răi care creează e-mailuri de tip phishing lucrează din greu pentru a se asigura că atacurile lor se strecoară prin fisuri. Un studiu realizat de Cyren arată că scanarea prin e-mail are o rată de eșec de 10, 5 la sută în găsirea e-mailurilor dăunătoare. Chiar și într-o afacere mică pentru întreprinderi medii (SMB), care poate adăuga la o mulțime de e-mailuri, și oricare dintre cele care conțin un atac de inginerie socială poate fi o amenințare pentru organizația dvs. Și nu este o amenințare generală, cum ar fi cazul celor mai multe programe malware care au reușit să se strecoare prin măsurile de protecție ale punctelor tale finale, ci tipul mai sinistru, care se adresează în special celor mai valoroase date și resurse digitale.

Am fost alertat la raportul Cyren în timpul unei conversații cu Stu Sjouwerman, fondator și CEO al KnowBe4, o companie care poate ajuta profesioniștii în resurse umane (HR) să învețe conștientizarea securității. Sjouwerman a creat termenul de „firewall uman” și care a discutat și despre „hackingul uman”. Sugestia sa este că organizațiile pot preveni sau reduce eficacitatea atacurilor de inginerie socială cu o pregătire constantă, care se face într-un mod care, de asemenea, implică personalul tău în rezolvarea problemei.

Desigur, multe organizații au sesiuni de formare în sensibilizarea securității. Probabil ați fost la mai multe dintre acele întâlniri în care o cafea veche este împerecheată cu gogoși neplăcute, în timp ce un antreprenor angajat de HR petrece 15 minute spunându-vă să nu vă căutați pentru e-mailuri de tip phishing - fără să vă spună ce sunt ei sau să vă explicați ce trebuie să faceți dacă crezi că ai găsit unul. Da, întâlnirile alea.

Ceea ce a sugerat Sjouwerman funcționează mai bine este să creezi un mediu interactiv de instruire în care să ai acces la e-mailuri reale de phishing unde să le poți examina. Poate faceți un efort de grup în care toată lumea încearcă să vadă factorii care indică e-mailuri de tip phishing, cum ar fi o ortografie deficitară, adrese aproape reale, sau solicitări care, la examinare, nu au sens (cum ar fi solicitarea unui transfer imediat de fonduri corporative pentru un destinatar necunoscut).

Apărarea împotriva ingineriei sociale

Dar Sjouwerman a subliniat, de asemenea, că există mai multe tipuri de inginerie socială. Acesta oferă un set de instrumente gratuite pe site-ul web KnowBe4 pe care companiile le pot utiliza pentru a-și ajuta angajații să învețe. El a sugerat, de asemenea, următorii nouă pași pe care companiile le pot face pentru a lupta împotriva atacurilor de inginerie socială.

• Creați un firewall uman antrenând personalul dvs. să recunoască atacurile de inginerie socială când le văd.
• Efectuați teste de inginerie socială frecvente, simulate, pentru a vă menține angajații pe degetele de la picioare.
• Efectuați un test de securitate pentru phishing; Knowbe4 are unul gratuit.
• Fiți în căutarea fraudei CEO. Acestea sunt atacuri în care atacatorii creează un e-mail rasfatat care pare a fi de la CEO sau alt oficial de rang înalt, direcționând acțiuni precum transferuri de bani în regim de urgență. Puteți verifica dacă domeniul dvs. poate fi răsfățat folosind un instrument gratuit din KnowBe4.
• Trimiteți e-mailuri de tip phishing simulate angajaților dvs. și includeți un link care vă va avertiza dacă faceți clic pe linkul respectiv. Urmăriți care sunt angajații care se ocupă de aceasta și concentrați-vă pe cei care se ocupă de aceasta mai mult de o dată.
• Fii pregătit pentru „vishing”, care este un tip de inginerie de mesagerie vocală în care sunt lăsate mesaje care încearcă să acționeze de la angajații tăi. Acestea pot părea apeluri de la forțele de ordine, Serviciul de venituri interne (IRS) sau chiar asistență tehnică Microsoft. Asigurați-vă că angajații dvs. nu știu să returneze apelurile respective.
• Alertați-vă angajații la „text phishing” sau „SMiShing (SMS phishing)”, care este ca phishingul prin e-mail, dar cu mesaje text. În acest caz, link-ul poate fi proiectat pentru a obține informații sensibile, cum ar fi listele de contacte, de pe telefoanele lor mobile. Trebuie să fie instruiți să nu atingă linkurile din mesajele text, chiar dacă par a fi de la prieteni.
• Atacurile Universal Serial Bus (USB) sunt surprinzător de eficiente și sunt o modalitate fiabilă de a pătrunde în rețelele cu aer. Modul în care funcționează este acela că cineva lasă stick-uri de memorie USB în jurul toaletelor, parcărilor sau altor locuri frecventate de angajații dvs. poate stick-ul are logo-uri sau etichete ispititoare. Când angajații găsesc și îi introduc într-un computer la îndemână - și dacă nu vor fi învățați altfel - atunci malware-ul de pe ei intră în rețeaua ta. Acesta este modul în care malware-ul Stuxnet a pătruns în programul nuclear iranian. Knowbe4 are și un instrument gratuit pentru a testa acest lucru.
• Atacul de pachete este, de asemenea, surprinzător de eficient. Aici se prezintă cineva cu o armă de cutii (sau uneori pizza) și cere să fie lăsate să poată fi livrate. În timp ce nu te uiți, ele introduc un dispozitiv USB într-un computer din apropiere. Angajații dvs. trebuie să fie instruiți efectuând atacuri simulate. Îi puteți încuraja antrenându-vă pentru acest lucru și apoi împărțind pizza dacă o înțeleg.

După cum vedeți, ingineria socială poate fi o adevărată provocare și poate fi mult mai eficientă decât v-ați dori. Singura modalitate de combatere a acestuia este să-ți angajezi activ angajații în depistarea unor astfel de atacuri și chemarea acestora. Bine, angajații tăi se vor bucura de fapt de acest proces, și poate că vor primi și niște pizza gratuite.