Vídeo: RECEPTIONNAIRE (De novembre 2024)
Els ciber-espies elaboren arrels elaborats i programari maliciós amagat per robar secrets i escoltar comunicacions privilegiades. Per instal·lar aquestes eines d’espionatge, normalment es basen en l’element més feble de l’àmbit de seguretat; l’usuari. Les campanyes educatives per sensibilitzar sobre la seguretat poden ser de gran ajuda, però hi ha un camí correcte i un camí equivocat.
Elevació de banderes vermelles
El Washington Post va informar la setmana passada que un comandant de combat de l'exèrcit es va prendre per ell mateix per avaluar la capacitat de la seva unitat de detectar missatges de pesca. El seu missatge de prova va dirigir els destinataris (menys de 100) a visitar el lloc web del seu pla de pensions per restablir la contrasenya necessària. Tot i això, el missatge es va vincular a un lloc fals amb una URL molt similar a la real de l'agència, Thrift Savings Plan.
Els destinataris eren intel·ligents; ni un sol d'ells no va fer clic a l'enllaç fals. Tot i això, van compartir el correu electrònic sospitós amb "milers d'amics i col·legues", provocant una inundació de trucades al pla d'estalvi de Thrift real que va durar setmanes. Al capdavall, el cap de seguretat del pla de pensions va localitzar el missatge a un domini de l'Exèrcit i el Pentàgon va fer un seguiment de l'autor. Segons el càrrec, el comandant sense nom "no va ser reprimit per actuar pel seu compte, perquè les regles eren vagues".
El fet que el Pla d’estalvi d’estalvi va experimentar un incompliment real el 2011 va afegir el factor de preocupació per als empleats federals afectats. Un funcionari de la defensa va dir a Post: "Es tracta dels ous de niu de la gent, els seus estalvis molt guanyats. Quan vas començar a escoltar TSP de tot això, el molí de rumors va sorprendre." L’agència continua rebent trucades preocupades basades en la prova de pesca.
La publicació publica que qualsevol futura prova de phishing requerirà l'aprovació del responsable d'informació del Pentàgon. Qualsevol prova que impliqui una entitat del món real com Thrift Savings Plan requerirà un permís previ d’aquesta organització. El director executiu de TSP, Greg Long, va deixar molt clar que la seva organització no participaria.
Completament incorrecte
Aleshores, on va anar malament aquest comandant de l'exèrcit? Aaron Higbee, una publicació recent al blog de PhishMe CTO, diu que, a tot arreu. "Aquest exercici va cometre tots els pecats cardinals de phishing simulat en no tenir objectius definits, no considerant les ramificacions que podria tenir el correu electrònic, no comunicant-se a totes les parts potencialment implicades i potser abusant de marques comercials / vestits de comerç o material amb drets d'autor", va dir Higbee.
"Per ser efectiu, un atac de phishing simulat ha de proporcionar al destinatari informació sobre com millorar en el futur", va dir Higbee. "Una manera fàcil de fer-ho és fer saber als destinataris que l'atac era un exercici d'entrenament i proporcionar formació immediatament després d'interactuar amb el correu electrònic."
"Les persones sovint qüestionen el valor que proporciona PhishMe dient que poden realitzar exercicis simulats de phishing a casa", va assenyalar Higbee. "Aquells amb aquesta mentalitat haurien de prendre la recent gafa de l'Exèrcit com a història prudent". En identificar PhishMe com "els indiscutibles campions de pes pesat" de l'educació contra la pesca, va concloure: "En els últims 90 dies PhishMe ha enviat 1.790.089 correus electrònics. La raó per la qual les nostres simulacions de phishing no fan titulars nacionals és saber què fem."
El camí correcte
Una organització que contracti amb PhishMe per a la formació de phishing pot triar una varietat d’estils de correu electrònic de prova, cap dels quals implica la simulació d’un tercer com TSP. Per exemple, poden generar un missatge que ofereixi als empleats un dinar gratuït. Tot el que necessiten fer és iniciar la sessió al lloc web de la comanda de dinar "utilitzant el nom d'usuari i la contrasenya de la xarxa". Un altre enfocament és un atac de doble canó que utilitza un correu electrònic per donar suport a la validesa d’un altre: una tàctica que s’utilitza en atacs de amenaça persistent avançada del món real.
Qualsevol estil de correu electrònic que es tria, qualsevol usuari que necessita obtenir informació i formació immediata, i la direcció obté estadístiques detallades. Amb diverses rondes de proves i entrenaments, PhishMe tenia com a objectiu reduir fins a un 80 per cent el risc de penetració de la xarxa mitjançant phishing.
La majoria de les organitzacions estan ben protegides contra atacs de xarxa que es produeixen per Internet. La manera més fàcil de penetrar en la seguretat és enganyar a un empleat gullible. La protecció contra el phishing integrada a les suites de seguretat modernes funciona bé contra les estafes en estil de difusió, però els atacs dirigits a "spear-phishing" són una altra història.
Si teniu la seguretat de la vostra organització, realment heu d'educar els empleats perquè no es deixin enganyar. És possible que pugueu gestionar la formació, però si no, entrenadors de tercers com PhishMe estan preparats per ajudar-vos.