Video: BTS DIY | BTS Jewelry/Jewellery Tutorial (reupload) (Oktober 2024)
Cyber-spies utvikler omfattende rootkits og kunstig skjult malware for å stjele hemmeligheter og lytte til privilegerte kommunikasjoner. For å få installert disse spionverktøyene, er de vanligvis avhengige av det svakeste elementet i sikkerhetsarenaen; brukeren. Utdanningskampanjer for å øke sikkerhetsbevisstheten kan være en stor hjelp, men det er en riktig måte og en feil måte å gjøre det på.
Heve røde flagg
Washington Post rapporterte i forrige uke at en hærkampkampfører tok det på seg å evaluere enhetens evne til å oppdage phishing-meldinger. Testmeldingen hans ledet mottakere (færre enn 100 av dem) til å besøke nettstedet til pensjonsplanen for å få en tilbakestilling av passordet. Meldingen er imidlertid koblet til et falsk nettsted med en URL som er veldig lik den virkelige for byrået, Thrift Savings Plan.
Mottakerne var smarte; ikke en eneste av dem klikket på den falske lenken. Imidlertid delte de den mistenkelige e-posten med "tusen venner og kolleger", noe som forårsaket en flom av samtaler til den faktiske sparsommens plan som varte i flere uker. Til slutt sporet pensjonsplanens sikkerhetssjef meldingen til et hærens domene, og Pentagon sporet opp gjerningsmannen. I følge innlegget ble den ikke navngitte sjefen "irettesatt for å ha opptrådt på egen hånd, fordi reglene var vage."
At Thrift Savings Plan opplevde et faktisk brudd i 2011, bidro til bekymringsfaktoren for berørte føderale ansatte. En forsvarsmann sa til posten, "Dette er folks reiregg, deres hardt opptjente besparelser. Da du begynte å høre TSP om alle ting, løp ryktemøllen ut." Byrået mottar fortsatt bekymrede samtaler basert på phishing-testen.
Innlegget rapporterer at eventuelle fremtidige phishing-tester vil kreve godkjenning av Pentagon's Chief Information Officer. Enhver test som involverer en ekte verden som Thrift Savings Plan, vil kreve forhåndsgodkjenning fra den organisasjonen. TSPs administrerende direktør Greg Long gjorde det veldig tydelig at organisasjonen hans ikke ville delta.
Helt feil
Så, hvor gikk denne hærføreren galt? Et fersk blogginnlegg av PhishMe CTO Aaron Higbee sier, vel, omtrent overalt. "Denne øvelsen begikk hver kardinal synd av simulert phishing ved å mangle definerte mål, unnlate å vurdere konsekvensene e-posten kunne ha, unnlatt å kommunisere til alle potensielt involverte parter, og kanskje misbruke varemerker / varekjole eller opphavsrettsbeskyttet materiale, " sa Higbee.
"For å være effektiv, må et simulert phishing-angrep gi mottakeren informasjon om hvordan han kan forbedre seg i fremtiden, " sa Higbee. "En enkel måte å gjøre dette på er å gi mottakerne beskjed om at angrepet var en treningsøvelse, og gi trening umiddelbart etter at de har interaksert med e-posten."
"Folk stiller ofte spørsmål ved verdien PhishMe gir ved å si at de kan utføre simulerte phishing-øvelser internt, " bemerket Higbee. "De med den tankegangen bør ta Hærens nylige gaffe som en advarsel." Han identifiserte PhishMe som "de ubestridte tunge vektmesterne" innen phishing-utdanning, og konkluderte med at "De siste 90 dagene har PhishMe sendt 1.790.089 e-poster. Årsaken til at phishing-simuleringene våre ikke gir nasjonale overskrifter er at vi vet hva vi gjør."
Den riktige måten
En organisasjon som kontrakter med PhishMe for phishing-utdanning, kan velge en rekke test-e-poststiler, og ingen av dem innebærer å simulere en tredjepart som TSP. For eksempel kan de generere en melding som tilbyr de ansatte en gratis lunsj. Alt de trenger å gjøre er å logge seg på lunsjbestillingsnettstedet "ved å bruke ditt nettverks brukernavn og passord." En annen tilnærming er et dobbeltfat-angrep som bruker en e-post for å støtte gyldigheten til en annen - en taktikk som brukes i virkelige verden Advanced Persistent Threat-angrep.
Uansett hvilken type phishing-post som er valgt, vil enhver bruker som faller for den få umiddelbar tilbakemelding og opplæring, og ledelsen får detaljert statistikk. Med gjentatte runder med testing og trening siktet PhishMe å redusere risikoen for penetrering av nettverk via phishing med "opptil 80 prosent."
De fleste organisasjoner er godt beskyttet mot nettangrep som kommer over Internett. Den enkleste måten å trenge gjennom sikkerhet er å lure en godtroende ansatt. Phishing-beskyttelsen innebygd i moderne sikkerhetssuiter fungerer godt mot svindel i kringkastingsstil, men målrettede "spyd-phishing" -angrep er en annen historie.
Hvis du har ansvaret for organisasjonens sikkerhet, må du virkelig utdanne de ansatte slik at de ikke lar seg lure. Du kan være i stand til å håndtere treningen selv, men hvis ikke, er tredjeparts trenere som PhishMe klare til å hjelpe.
