Μια απίστευτα ακριβής σελίδα σύνδεσης Google. Emma Williams, CC BY-NDΜια απίστευτα ακριβής ψεύτικη σελίδα σύνδεσης Google. Έμα Ουίλιαμς, CC BY-ND

Οι εταιρείες βομβαρδίζονται με απάτες phishing κάθε μέρα. Σε μια πρόσφατη έρευνα με περισσότερους από 500 επαγγελματίες ασφάλειας στον κυβερνοχώρο σε όλο τον κόσμο, το 76% αναφερθεί ότι η οργάνωσή τους έπεσε θύμα επίθεσης phishing το 2016. Η Συνομιλία

Αυτές οι απάτες έχουν τη μορφή μηνυμάτων ηλεκτρονικού ταχυδρομείου που προσπαθούν να πείσουν το προσωπικό να κατεβάσει κακόβουλα συνημμένα, να κάνει κλικ σε επισφαλείς συνδέσμους ή να παρέχει προσωπικά στοιχεία ή άλλα ευαίσθητα δεδομένα. Μια στοχευμένη εκστρατεία ηλεκτρονικού ψαρέματος με «δόρυ» κατηγορήθηκε για την υποκίνηση της πρόσφατης κυβερνοεπίθεσης που προκάλεσε μεγάλη διακοπή ρεύματος στην Ουκρανία.

Ακόμη πιο ανησυχητικό είναι ότι οι επιθέσεις phishing είναι πλέον ο πιο δημοφιλής τρόπος παράδοσης ransomware στο δίκτυο ενός οργανισμού. Αυτός είναι ένας τύπος λογισμικού που συνήθως κρυπτογραφεί αρχεία ή κλειδώνει τις οθόνες των υπολογιστών μέχρι να πληρωθούν τα λύτρα. Τα ποσά που ζητούνται είναι γενικά αρκετά μικρό, που σημαίνει ότι πολλοί οργανισμοί θα πληρώσουν απλώς τα λύτρα χωρίς, φυσικά, καμία εγγύηση ότι τα συστήματά τους θα ξεκλειδωθούν. Μπροστά σε αυτές τις επιθέσεις phishing, οι εργαζόμενοι έχουν γίνει το πρώτη γραμμή για την ασφάλεια στον κυβερνοχώρο. Ως εκ τούτου, η μείωση της ευπάθειας τους στα μηνύματα ηλεκτρονικού ψαρέματος έχει γίνει μια κρίσιμη πρόκληση για τις εταιρείες.

Πειθαρχικά προβλήματα

Καθώς οι οργανισμοί αγωνίζονται να περιορίσουν την απειλή, μια ιδέα που κερδίζει έδαφος είναι η πιθανή χρήση της πειθαρχικές διαδικασίες ενάντια στο προσωπικό που κάνει κλικ σε μηνύματα ηλεκτρονικού ψαρέματος. Αυτό κυμαίνεται από την ολοκλήρωση της περαιτέρω εκπαίδευσης έως την επίσημη πειθαρχική δράση, ειδικά για τους λεγόμενους «επαναλαμβανόμενους κλικ» (άτομα που απαντούν σε μηνύματα ηλεκτρονικού ψαρέματος περισσότερες από μία φορές). Αντιπροσωπεύουν α ιδιαίτερο αδύνατο σημείο στην ασφάλεια στον κυβερνοχώρο.

εσωτερικά εγγραφείτε γραφικό

Αυτό δεν είναι απαραίτητο – ούτε, πράγματι, είναι καλή ιδέα. Για αρχή, εξακολουθούμε να μην καταλαβαίνουμε τι είναι αυτό που κάνει τους ανθρώπους να ανταποκρίνονται σε μηνύματα ηλεκτρονικού ψαρέματος αρχικά. Η έρευνα απλώς ξεκαθαρίζει την επιφάνεια του γιατί οι άνθρωποι μπορεί να ανταποκρίνονται σε αυτές. Συνήθειες ηλεκτρονικού ταχυδρομείου, ΧΩΡΟΣ ΕΡΓΑΣΙΑΣ κουλτούρα και κανόνες, ο βαθμός γνώσης που έχει ένα άτομο, είτε ένας εργαζόμενος αποσπάται η προσοχή του είτε υπό υψηλή πίεση – υπάρχει ποικίλη κατανόηση των διαδικτυακών κινδύνων, όλα αυτά μπορεί να επηρεάσουν το εάν οι άνθρωποι είναι σε θέση να αναγνωρίσουν ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος σε μια συγκεκριμένη χρονική στιγμή.

Δυστυχώς, αυτό σημαίνει ότι υπάρχουν ακόμα περισσότερες ερωτήσεις παρά απαντήσεις. Είναι ορισμένοι ρόλοι εργασίας πιο ευάλωτοι λόγω των τύπων εργασιών που αναλαμβάνουν; Είναι η εκπαίδευση αποτελεσματική για την εκπαίδευση του προσωπικού σχετικά με τους κινδύνους των επιθέσεων phishing; Είναι σε θέση οι εργαζόμενοι να δώσουν προτεραιότητα στην ασφάλεια έναντι άλλων απαιτήσεων στο χώρο εργασίας όταν είναι απαραίτητο; Μεταξύ αυτών των αγνώστων, η εστίαση σε μια πειθαρχική προσέγγιση φαίνεται πρόωρη και κινδυνεύει να παραγκωνίσει άλλες προσπάθειες που μπορεί να είναι πιο αποτελεσματικές.

Οι στοχευμένες επιθέσεις phishing γίνονται επίσης όλο και πιο περίπλοκες και δύσκολο να εντοπιστούν, ακόμη και για τεχνικούς χρήστες. Πρόσφατες επιθέσεις (σε PayPal και Google, για παράδειγμα) αποδεικνύουν αυτό.

Είναι πλέον απίστευτα εύκολο να δημιουργήσετε ένα δόλιο email που μοιάζει πολύ, αν όχι σχεδόν πανομοιότυπο, με ένα νόμιμο. Οι πλαστογραφημένες διευθύνσεις email, η ενσωμάτωση ακριβών λογότυπων, σωστών διατάξεων και υπογραφών email, μπορούν όλα να κάνουν δύσκολη τη διάκριση ενός ηλεκτρονικού ηλεκτρονικού ψαρέματος από ένα γνήσιο.

Ηρέμησε και προχώρα

Οι Phishers είναι επίσης πολύ καλοί δημιουργία σεναρίων που μεγιστοποιούν την πιθανότητα να ανταποκριθούν οι άνθρωποι. Ενσταλάζουν μια αίσθηση πανικού και επείγουσας ανάγκης με πράγματα όπως η μίμηση αυθεντιών σε έναν οργανισμό δημιουργούν μια αίσθηση κρίσης. Ή επικεντρώνονται στις πιθανές αρνητικές επιπτώσεις της αποτυχίας να ανταποκριθεί. Όταν αναγνωρίζουμε την αυξημένη πολυπλοκότητα που επιδεικνύεται στο οπλοστάσιο του phisher, γίνεται πιο δύσκολο να δικαιολογήσουμε την τιμωρία των εργαζομένων επειδή έπεσαν θύματα της απάτης τους.

Οι προσομοιωμένες επιθέσεις phishing χρησιμοποιούνται συχνά ως τρόπος αύξησης της ευαισθητοποίησης των εργαζομένων. Ενώ υπήρξαν προτάσεις για βελτιωμένα ποσοστά κλικ ακολουθώντας τέτοια προγράμματα, λείπει μια ολοκληρωμένη αξιολόγηση του φάσματος των πιθανών επιπτώσεων στους εργαζόμενους. Και καποια ερευνα επισημαίνει την πιθανότητα ότι οι εργαζόμενοι απλώς παραιτούνται από την προσπάθεια αντιμετώπισης της απειλής καθώς φαίνεται σαν μια χαμένη μάχη.

Μια κουλτούρα κατηγοριών και θυματοποίησης μπορεί επίσης να κάνει τους εργαζόμενους λιγότερο πρόθυμους να παραδεχτούν τα λάθη τους. Οποιοδήποτε από αυτά τα αποτελέσματα είναι πιθανό να βλάψει τη σχέση μεταξύ του προσωπικού ασφαλείας ενός οργανισμού και των άλλων υπαλλήλων του. Αυτό με τη σειρά του θα έχει αρνητικό αντίκτυπο στην κουλτούρα ασφάλειας του οργανισμού. Προτείνει επιστροφή σε έναν αυταρχικό ρόλο για την ασφάλεια, η οποία έρευνα δείχνει είναι ένα βήμα προς τα πίσω εάν θέλουμε να δεσμεύσουμε πλήρως τους εργαζομένους σε πρωτοβουλίες ασφάλειας.

Ο μετριασμός της έκθεσης ενός οργανισμού σε επιθέσεις phishing αντιπροσωπεύει μια πολύπλοκη και εξελισσόμενη πρόκληση. Το πρόσφατο #AskOutLoud εκστρατεία της αυστραλιανής κυβέρνησης Το να ενθαρρύνετε τους ανθρώπους να ζητούν μια δεύτερη γνώμη όταν λαμβάνουν ένα ύποπτο email παρέχει ένα καλό παράδειγμα για το πώς μπορεί να αρχίσει να αντιμετωπίζεται αυτή η πρόκληση. Ενθαρρύνει τη συζήτηση και τις κοινές εμπειρίες. Η χρήση αυτής της προσέγγισης μπορεί να διασφαλίσει ότι οι εργαζόμενοι αισθάνονται ενδυναμωμένοι και ενθαρρύνονται να αναφέρουν υποψίες, ένα ζωτικό στοιχείο για τη διατήρηση της ασφάλειας στον κυβερνοχώρο.

Η έρευνα είναι καθαρός ότι η ασφάλεια στον κυβερνοχώρο εξαρτάται από τον ανοιχτό διάλογο, τη συμμετοχή των εργαζομένων όσον αφορά την ανάπτυξη λύσεων και την εμπιστοσύνη μεταξύ του προσωπικού ασφαλείας ενός οργανισμού και του λοιπού προσωπικού. Όπως λέει το παλιό κλισέ: είσαι τόσο δυνατός όσο ο πιο αδύναμος κρίκος σου. Ως εκ τούτου, είναι επιτακτική ανάγκη να υποστηρίζονται όλοι οι εργαζόμενοι προκειμένου να αποτελούν αποτελεσματική πρώτη γραμμή στην άμυνα του οργανισμού τους.

Σχετικά με το Συγγραφέας

Emma Williams, Ερευνήτρια, Πανεπιστήμιο του Μπαθ και Debi Ashenden, Καθηγήτρια Κυβερνοασφάλειας, Πανεπιστήμιο του Πόρτσμουθ

Αυτό το άρθρο δημοσιεύθηκε αρχικά στις Η Συνομιλία. Διαβάστε το αρχικό άρθρο.

Σχετικά βιβλία

at InnerSelf Market και Amazon