Video: Erklärvideo: Phishing (Dezember 2024)
Cyberspione entwickeln ausgefeilte Rootkits und versteckte Malware, um Geheimnisse zu stehlen und privilegierte Kommunikationen mitzuhören. Um diese Spionagetools zu installieren, stützen sie sich normalerweise auf das schwächste Element in der Sicherheitsarena. der Benutzer. Aufklärungskampagnen zur Sensibilisierung für die Sicherheit können eine große Hilfe sein, aber es gibt einen richtigen und einen falschen Weg, dies zu tun.
Rote Fahnen hissen
Die Washington Post berichtete letzte Woche, dass es ein Armeekampfkommandant auf sich genommen habe, die Fähigkeit seiner Einheit zu bewerten, Phishing-Nachrichten zu erkennen. Seine Testnachricht wies Empfänger (weniger als 100 von ihnen) an, die Website ihrer Pensionskasse zu besuchen, um das erforderliche Passwort zurückzusetzen. Die Nachricht ist jedoch mit einer gefälschten Website verknüpft, deren URL der tatsächlichen für die Agentur, Thrift Savings Plan, sehr ähnlich ist.
Die Empfänger waren schlau; Keiner von ihnen klickte auf den falschen Link. Sie teilten die verdächtige E-Mail jedoch mit "Tausenden von Freunden und Kollegen", was zu einer Flut von Anrufen beim eigentlichen Sparplan führte, die wochenlang anhielt. Schließlich verfolgte der Sicherheitschef des Pensionsplans die Nachricht auf eine Armee-Domäne, und das Pentagon spürte den Täter auf. Dem Posten zufolge wurde der namenlose Kommandant "nicht wegen eigenmächtigen Handelns gerügt, weil die Regeln vage waren".
Die Tatsache, dass der Thrift Savings Plan im Jahr 2011 tatsächlich verletzt wurde, hat die Sorge der betroffenen Bundesangestellten noch verstärkt. Ein Verteidigungsbeamter sagte der Post: "Dies sind die Notgroschen der Menschen, ihre schwer verdienten Ersparnisse. Als Sie angefangen haben, ausgerechnet TSP zu hören, war die Gerüchteküche weit verbreitet." Die Agentur erhält weiterhin besorgte Anrufe aufgrund des Phishing-Tests.
Der Post berichtet, dass künftige Phishing-Tests die Genehmigung des Chief Information Officer des Pentagon erfordern. Jeder Test, an dem ein reales Unternehmen wie der Thrift Savings Plan beteiligt ist, erfordert eine vorherige Genehmigung dieser Organisation. Greg Long, Executive Director von TSP, machte deutlich, dass seine Organisation nicht teilnehmen würde.
Komplett falsch
Also, wo ist dieser Armeekommandant schief gelaufen? Ein kürzlich veröffentlichter Blog-Beitrag von PhishMe-CTO Aaron Higbee sagt, nun, fast überall. "In dieser Übung wurde jede Hauptsünde des simulierten Phishing dadurch begangen, dass definierte Ziele fehlten, die möglichen Auswirkungen der E-Mail nicht berücksichtigt, nicht an alle potenziellen Beteiligten kommuniziert wurden und möglicherweise Marken / Handelskleidung oder urheberrechtlich geschütztes Material missbraucht wurden", sagte Higbee.
"Um effektiv zu sein, muss ein simulierter Phishing-Angriff dem Empfänger Informationen darüber liefern, wie er sich in Zukunft verbessern kann", sagte Higbee. "Eine einfache Möglichkeit, dies zu tun, besteht darin, den Empfängern mitzuteilen, dass es sich bei dem Angriff um eine Schulungsübung handelte, und das Training unmittelbar nach der Interaktion mit der E-Mail durchzuführen."
"Die Leute hinterfragen häufig den Wert, den PhishMe bietet, indem sie sagen, dass sie im eigenen Haus simulierte Phishing-Übungen durchführen können", bemerkte Higbee. "Diejenigen, die diese Einstellung haben, sollten die jüngste Gaffe der Armee als warnende Geschichte betrachten." Er identifizierte PhishMe als "den unbestrittenen Schwergewichts-Champion" der Phishing-Ausbildung und schloss daraus: "In den letzten 90 Tagen hat PhishMe 1.790.089 E-Mails verschickt. Der Grund, warum unsere Phishing-Simulationen keine nationalen Schlagzeilen machen, ist, dass wir wissen, was wir tun."
Der richtige Weg
Eine Organisation, die mit PhishMe einen Vertrag über Phishing-Schulungen abschließt, kann verschiedene Test-E-Mail-Stile auswählen, bei denen keine Simulation eines Drittanbieters wie TSP erforderlich ist. Beispielsweise können sie eine Nachricht generieren, die den Mitarbeitern ein kostenloses Mittagessen bietet. Alles, was sie tun müssen, ist sich auf der Website von lunch-order "mit Ihrem Netzwerk-Benutzernamen und Passwort" anzumelden. Ein weiterer Ansatz ist ein Double-Barrel-Angriff, bei dem eine E-Mail die Gültigkeit einer anderen unterstützt - eine Taktik, die bei echten Advanced Persistent Threat-Angriffen angewendet wird.
Unabhängig davon, welche Art von Phishing-E-Mail gewählt wird, erhält jeder Benutzer, der darauf hereinfällt, sofort Feedback und Schulungen. Das Management erhält detaillierte Statistiken. Mit wiederholten Test- und Schulungsrunden wollte PhishMe das Risiko einer Netzwerkpenetration durch Phishing um "bis zu 80 Prozent" senken.
Die meisten Organisationen sind gut gegen Netzwerkangriffe geschützt, die über das Internet eingehen. Der einfachste Weg, in die Sicherheit einzudringen, besteht darin, einen leichtgläubigen Mitarbeiter zu täuschen. Der in modernen Sicherheitssuiten integrierte Phishing-Schutz funktioniert gut gegen Betrug im Broadcast-Stil, aber gezielte "Spear-Phishing" -Angriffe sind eine andere Geschichte.
Wenn Sie für die Sicherheit Ihres Unternehmens verantwortlich sind, müssen Sie diese Mitarbeiter wirklich schulen, damit sie nicht betrogen werden. Möglicherweise können Sie das Training selbst durchführen. Wenn nicht, stehen Trainer von Drittanbietern wie PhishMe bereit, um Ihnen zu helfen.
