สารบัญ:
วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
ฉันคิดว่าครั้งแรกที่ฉันเห็นอีเมลฟิชชิ่งกลับมาในปี 2000 ขณะที่ฉันกำลังทำงานในโครงการทดสอบกับ Oliver Rist ซึ่งตอนนี้เป็น Business Editor ของ PCMag เช้าวันหนึ่งเราทั้งสองได้รับอีเมลพร้อมหัวเรื่อง "I Love You" ซึ่งเป็นเนื้อหาของอีเมลและมีไฟล์แนบ เราทั้งคู่รู้ได้ทันทีว่าอีเมลต้องเป็นของปลอมเพราะในฐานะบรรณาธิการนิตยสารเรารู้ว่าไม่มีใครรักเรา เราไม่ได้คลิกที่ไฟล์แนบ ผลก็คือเราทำหน้าที่เป็นไฟร์วอลล์ของมนุษย์ เรารับรู้อีเมลปลอมเมื่อเห็นและเราลบมันแทนที่จะปล่อยให้เนื้อหาแพร่กระจายไปยังคอมพิวเตอร์ของเราและเครือข่ายที่เหลือ
ถึงแม้ในตอนนั้นการโจมตีแบบนี้ถูกเรียกว่า "วิศวกรรมสังคม" โดยชุดแฮ็กเกอร์ วันนี้อีเมล์ฟิชชิ่งน่าจะเป็นเวอร์ชันที่เป็นที่รู้จักกันดีที่สุดของการโจมตีแบบนี้ พวกเขามีจุดประสงค์หลักเพื่อตรวจสอบข้อมูลรับรองความปลอดภัย แต่พวกเขายังสามารถส่งมัลแวร์ประเภทอื่น ๆ โดยเฉพาะอย่างยิ่ง ransomware แต่ก็น่าสังเกตว่ามีการโจมตีทางวิศวกรรมรูปแบบอื่นนอกเหนือจากฟิชชิ่งรวมถึงบางส่วนที่การโจมตีนั้นมีอยู่จริงมากกว่าที่จะเป็นระบบดิจิตอล
มนุษย์: ยังคงเป็น Vector โจมตีชั้นนำ
เหตุผลที่ทำให้อีเมลฟิชชิงเป็นที่รู้จักอย่างกว้างขวางก็เพราะว่าเป็นเรื่องธรรมดา ถึงตอนนี้ก็พอจะกล่าวได้ว่าทุกคนที่มีบัญชีอีเมลจะได้รับอีเมลฟิชชิ่งในบางครั้ง อีเมลมักจะอ้างว่ามาจากธนาคารของคุณ บริษัท บัตรเครดิตหรือธุรกิจอื่น ๆ ที่คุณใช้บ่อย แต่อีเมลฟิชชิ่งอาจเป็นภัยคุกคามต่อองค์กรของคุณในขณะที่ผู้โจมตีพยายามใช้พนักงานของคุณกับคุณ การโจมตีครั้งนี้เกิดขึ้นอีกครั้งในช่วงยุคทองของการรับส่งแฟกซ์เมื่อผู้โจมตีเพียงส่งใบแจ้งหนี้สำหรับบริการที่ไม่เคยแสดงผลให้กับ บริษัท ขนาดใหญ่ด้วยความหวังว่าผู้บริหารที่ไม่ว่างก็จะส่งเงินให้พวกเขา
ฟิชชิงมีประสิทธิภาพอย่างน่าประหลาดใจ จากการศึกษาโดย บริษัท กฎหมาย BakerHostetler ซึ่งมองว่ามีการละเมิดข้อมูล 560 ครั้งในปีที่แล้วฟิชชิ่งเป็นสาเหตุหลักของเหตุการณ์ความปลอดภัยของข้อมูลในปัจจุบัน
น่าเสียดายที่เทคโนโลยียังไม่ทันกับการโจมตีแบบฟิชชิง ในขณะที่มีอุปกรณ์รักษาความปลอดภัยและแพคเกจซอฟต์แวร์จำนวนมากที่ออกแบบมาเพื่อกรองอีเมลที่เป็นอันตราย แต่ผู้ร้ายที่สร้างอีเมลฟิชชิ่งกำลังทำงานอย่างหนักเพื่อให้แน่ใจว่าการโจมตีของพวกเขาผ่านการแตก การศึกษาโดย Cyren แสดงให้เห็นว่าการสแกนอีเมลมีอัตราความล้มเหลว 10.5 เปอร์เซ็นต์ในการค้นหาอีเมลที่เป็นอันตราย แม้ในธุรกิจขนาดเล็กถึงขนาดกลาง (SMB) ที่สามารถเพิ่มอีเมลได้มากและสิ่งใดก็ตามที่มีการโจมตีทางวิศวกรรมสังคมอาจเป็นภัยคุกคามต่อองค์กรของคุณ และไม่ใช่ภัยคุกคามทั่วไปที่เกิดขึ้นกับมัลแวร์ส่วนใหญ่ที่จัดการโดยมาตรการป้องกันปลายทางของคุณ แต่ประเภทที่น่ากลัวยิ่งกว่านั้นคือเป้าหมายที่เฉพาะเจาะจงกับข้อมูลและทรัพยากรดิจิทัลที่มีค่าที่สุดของคุณ
ฉันได้รับการแจ้งเตือนไปยังรายงาน Cyren ระหว่างการสนทนากับ Stu Sjouwerman ผู้ก่อตั้งและซีอีโอของ KnowBe4 บริษัท ที่สามารถช่วยให้ผู้เชี่ยวชาญด้านทรัพยากรมนุษย์ (HR) สอนความปลอดภัย มันคือ Sjouwerman ที่เลี้ยงคำว่า "ไฟร์วอลล์มนุษย์" และใคร ๆ ก็พูดถึง "แฮ็คมนุษย์" ข้อเสนอแนะของเขาคือองค์กรสามารถป้องกันหรือลดประสิทธิภาพของการโจมตีทางวิศวกรรมสังคมด้วยการฝึกอบรมที่สอดคล้องซึ่งดำเนินการในลักษณะที่ทำให้พนักงานของคุณมีส่วนร่วมในการแก้ปัญหา
แน่นอนว่าหลาย ๆ องค์กรมีการฝึกอบรมด้านความปลอดภัย คุณอาจเคยอยู่ในการประชุมหลายครั้งที่มีการจับคู่กาแฟเก่ากับโดนัทเก่าในขณะที่ผู้รับเหมาจ้างโดยฝ่ายทรัพยากรบุคคลใช้เวลา 15 นาทีในการบอกคุณว่าอย่าตกหลุมอีเมลฟิชชิ่ง - โดยไม่บอกคุณว่าพวกเขากำลังทำอะไร คุณคิดว่าคุณได้พบ ใช่การประชุมเหล่านั้น
สิ่งที่ Sjouwerman แนะนำทำงานได้ดีขึ้นคือการสร้างสภาพแวดล้อมการฝึกอบรมแบบโต้ตอบที่คุณสามารถเข้าถึงอีเมลฟิชชิ่งที่แท้จริงที่คุณสามารถตรวจสอบได้ อาจมีความพยายามของกลุ่มที่ทุกคนพยายามดูปัจจัยที่ชี้ไปที่อีเมลฟิชชิงเช่นการสะกดที่ไม่ดีที่อยู่ที่เกือบจะดูเหมือนจริงหรือคำขอที่ตรวจสอบไม่สมเหตุสมผล (เช่นการขอโอนทันที กองทุนของ บริษัท ไปยังผู้รับที่ไม่รู้จัก)
ปกป้องต่อต้านวิศวกรรมสังคม
แต่ Sjouwerman ยังชี้ให้เห็นว่ามีวิศวกรรมทางสังคมมากกว่าหนึ่งประเภท เขาเสนอชุดเครื่องมือฟรีบนเว็บไซต์ KnowBe4 ที่ บริษัท สามารถใช้เพื่อช่วยให้พนักงานเรียนรู้ นอกจากนี้เขายังแนะนำเก้าขั้นตอนต่อไปนี้ที่ บริษัท สามารถดำเนินการเพื่อต่อสู้กับการโจมตีทางวิศวกรรมสังคม
- สร้างไฟร์วอลล์ของมนุษย์โดยการฝึกอบรมพนักงานของคุณให้ตระหนักถึงการโจมตีทางวิศวกรรมสังคมเมื่อพวกเขาเห็นพวกเขา
- ทำการทดสอบทางวิศวกรรมสังคมจำลองบ่อยครั้งเพื่อให้พนักงานของคุณอยู่ในสภาพที่ดี
- ทำการทดสอบความปลอดภัยของฟิชชิ่ง Knowbe4 มีหนึ่งฟรี
- ระวังการฉ้อโกงของ CEO สิ่งเหล่านี้คือการโจมตีที่ผู้โจมตีสร้างอีเมลปลอมที่ดูเหมือนว่ามาจาก CEO หรือเจ้าหน้าที่ระดับสูงอื่น ๆ ซึ่งเป็นผู้ดำเนินการเช่นโอนเงินอย่างเร่งด่วน คุณสามารถตรวจสอบเพื่อดูว่าโดเมนของคุณสามารถปลอมแปลงโดยใช้เครื่องมือฟรีจาก KnowBe4
- ส่งอีเมลฟิชชิ่งจำลองไปยังพนักงานของคุณและมีลิงก์ที่จะแจ้งเตือนคุณหากมีการคลิกลิงก์นั้น ติดตามดูว่าพนักงานคนใดตกหล่นและมุ่งเน้นการฝึกอบรมผู้ที่ตกหลุมรักมันมากกว่าหนึ่งครั้ง
- เตรียมพร้อมสำหรับ "vishing" ซึ่งเป็นประเภทของวอยซ์เมลโซเชียลที่มีข้อความเหลืออยู่ซึ่งพยายามที่จะรับการกระทำจากพนักงานของคุณ ซึ่งอาจดูเหมือนว่าเป็นการโทรจากการบังคับใช้กฎหมาย, Internal Revenue Service (IRS) หรือแม้แต่การสนับสนุนทางเทคนิคของ Microsoft ตรวจสอบให้แน่ใจว่าพนักงานของคุณรู้ว่าจะไม่โทรกลับ
- แจ้งเตือนพนักงานของคุณเกี่ยวกับ "การฟิชชิ่งข้อความ" หรือ "SMiShing (SMS ฟิชชิง)" ซึ่งเหมือนกับอีเมลฟิชชิง แต่มีข้อความตัวอักษร ในกรณีนี้ลิงก์อาจถูกออกแบบมาเพื่อรับข้อมูลที่ละเอียดอ่อนเช่นรายชื่อผู้ติดต่อจากโทรศัพท์มือถือ พวกเขาจะต้องได้รับการฝึกฝนไม่ให้แตะลิงก์ในข้อความแม้ว่าจะดูเหมือนมาจากเพื่อนก็ตาม
- การโจมตี Universal Serial Bus (USB) นั้นมีประสิทธิภาพอย่างน่าประหลาดใจและเป็นวิธีที่เชื่อถือได้ในการเจาะเครือข่ายที่มีช่องโหว่ทางอากาศ วิธีการทำงานคือมีคนทิ้งหน่วยความจำ USB ไว้รอบ ๆ ในห้องน้ำที่จอดรถหรือสถานที่อื่น ๆ ที่พนักงานของคุณแวะเวียนมา บางทีไม้อาจล่อลวงโลโก้หรือฉลากบนพวกเขา เมื่อพนักงานค้นหาและใส่ลงในคอมพิวเตอร์ที่มีประโยชน์ - และพวกเขาจะทำหากไม่ได้รับการสอนเป็นอย่างอื่น - มัลแวร์ที่พวกเขาเข้าไปในเครือข่ายของคุณ นี่คือวิธีที่มัลแวร์ Stuxnet เจาะเข้าไปในโครงการนิวเคลียร์ของอิหร่าน Knowbe4 มีเครื่องมือฟรีสำหรับทดสอบสิ่งนี้เช่นกัน
- การโจมตีบรรจุภัณฑ์นั้นมีประสิทธิภาพอย่างน่าประหลาดใจเช่นกัน นี่คือที่ที่มีบางคนปรากฏตัวพร้อมกับกล่องแขน (หรือบางครั้งพิซซ่า) และขอให้ปล่อยให้พวกเขาสามารถส่ง ในขณะที่คุณไม่ได้มองหาพวกเขาส่งอุปกรณ์ USB ไปยังคอมพิวเตอร์ใกล้เคียง พนักงานของคุณจำเป็นต้องได้รับการฝึกอบรมโดยดำเนินการโจมตีจำลอง คุณสามารถส่งเสริมให้พวกเขาด้วยการฝึกอบรมสำหรับสิ่งนี้แล้วแบ่งปันพิซซ่าหากพวกเขาทำให้ถูกต้อง
อย่างที่คุณเห็นวิศวกรรมสังคมเป็นความท้าทายที่แท้จริงและมีประสิทธิภาพมากกว่าที่คุณต้องการ วิธีเดียวในการต่อสู้คือการให้พนักงานของคุณมีส่วนร่วมในการตรวจจับการโจมตีและเรียกพวกเขาออกมา ถูกต้องแล้วพนักงานของคุณจะสนุกกับกระบวนการจริง ๆ และบางทีพวกเขาอาจได้รับพิซซ่าฟรีจากมันเช่นกัน