Video: QBot Uses Windows Defender as Phishing Bait| AT&T ThreatTraq (Oktober 2024)
Cyber-spioner udarbejder detaljerede rodkits og kunstigt skjulte malware for at stjæle hemmeligheder og lytte til privilegerede kommunikationer. For at få disse spionværktøjer installeret, er de typisk afhængige af det svageste element i sikkerhedsarenaen; brugeren. Uddannelseskampagner for at øge sikkerhedsbevidstheden kan være en stor hjælp, men der er en rigtig måde og en forkert måde at gøre det på.
Raising Røde Flag
Washington Post rapporterede i sidste uge, at en hærkampkommandør påtog sig at evaluere sin enheds evne til at opdage phishing-meddelelser. Hans testmeddelelse rettede modtagere (færre end 100 af dem) til at besøge deres pensionsplans websted for at få en krævet nulstilling af adgangskode. Beskeden er imidlertid knyttet til et falsk websted med en URL, der ligner den rigtige for agenturet, Thrift Savings Plan.
Modtagerne var smarte; ikke en eneste af dem klikkede på falske link. De delede imidlertid den mistænkelige e-mail med "tusind af venner og kolleger", hvilket forårsagede en oversvømmelse af opkald til den faktiske sparsommelsesplan, der varede i uger. Til sidst trak pensionsplanens sikkerhedschef meddelelsen til et hærdomæne, og Pentagon spurgte gerningsmanden. Ifølge posten blev den ikke navngivne kommandør "ikke irettesat for at have handlet på egen hånd, fordi reglerne var vage."
At Thrift Savings Plan oplevede et faktisk brud i 2011 tilføjede bekymringsfaktoren for berørte føderale medarbejdere. En forsvarsmedarbejder sagde til posten, "Dette er folks redenæg, deres hårdt fortjente besparelser. Da du begyndte at høre TSP om alle ting, løb rygteriet ud. Agenturet modtager fortsat bekymrede opkald baseret på phishing-testen.
Stillingen rapporterer, at eventuelle fremtidige phishing-tests kræver godkendelse af Pentagon's Chief Information Officer. Enhver test, der involverer en ægte verden som Thrift Savings Plan, kræver forudgående tilladelse fra denne organisation. TSPs direktør Greg Long gjorde det meget klart, at hans organisation ikke ville deltage.
Helt forkert
Så hvor gik denne hærbefal galt? Et nyligt blogindlæg af PhishMe CTO Aaron Higbee siger, godt, næsten overalt. "Denne øvelse begik enhver kardinal synd ved simuleret phishing ved at mangle definerede mål, undlade at overveje de konsekvenser, e-mailen kunne have, ved at undlade at kommunikere til alle potentielt involverede parter og måske misbruge varemærker / handelsdrag eller copyright-beskyttet materiale, " sagde Higbee.
”For at være effektiv skal et simuleret phishing-angreb give modtageren oplysninger om, hvordan man kan forbedre sig i fremtiden, ” sagde Higbee. "En nem måde at gøre dette på er at lade modtagerne vide, at angrebet var en træningsøvelse, og give træning umiddelbart efter, at de interagerer med e-mailen."
”Folk sætter ofte spørgsmålstegn ved den værdi, PhishMe giver ved at sige, at de kan gennemføre simulerede phishing-øvelser internt, ” bemærkede Higbee. "De med den tankegang bør tage Hærens nylige gaffe som en forsigtighedsfortælling." Han identificerede PhishMe som "de ubestridte tunge vægtmestre" inden for phishing-uddannelse. Han konkluderede, "I de sidste 90 dage har PhishMe sendt 1.790.089 e-mails. Årsagen til, at vores phishing-simuleringer ikke giver nationale overskrifter, er, at vi ved, hvad vi laver."
Den rigtige måde
En organisation, der indgår aftale med PhishMe om phishing-uddannelse, kan vælge en række test-e-mail-stilarter, hvoraf ingen involverer at simulere en tredjepart som TSP. For eksempel kan de generere en meddelelse, der tilbyder medarbejderne en gratis frokost. Alt, hvad de skal gøre, er at logge på frokostbestillingswebsitet "ved hjælp af dit netværksbrugernavn og adgangskode." En anden tilgang er et dobbelt-tønde angreb, der bruger en e-mail til at understøtte gyldigheden af en anden - en taktik, der bruges i virkelige verden Advanced Persistent Threat-angreb.
Uanset hvilken type phishing-mail der vælges, får enhver bruger, der falder for den, øjeblikkelig feedback og træning, og ledelsen får detaljerede statistikker. Med gentagne runder med test og træning havde PhishMe sigte på at reducere risikoen for netværkspenetrering via phishing med "op til 80 procent."
De fleste organisationer er godt beskyttet mod netværksangreb, der kommer ind over Internettet. Den nemmeste måde at trænge ind i sikkerhed på er at narre en godtroende medarbejder. Den phishing-beskyttelse, der er indbygget i moderne sikkerhedssuiter, fungerer godt mod tv-stil-svindel, men målrettede "spyd-phishing" -angreb er en anden historie.
Hvis du har ansvaret for din organisations sikkerhed, skal du virkelig uddanne disse ansatte, så de ikke bliver narret. Du kan muligvis håndtere uddannelsen selv, men hvis ikke, er tredjepartstræner som PhishMe klar til at hjælpe.
