Inhaltsverzeichnis:
Video: Wie man die Schule überlebt || Streng geheime Schul-Hacks und Schummeleien (November 2024)
Ich glaube, das erste Mal, dass ich eine Phishing-E-Mail sah, war im Jahr 2000, als ich mit Oliver Rist, dem heutigen Business Editor von PCMag, an einem Testprojekt arbeitete. Eines Morgens erhielten wir beide E-Mails mit dem Betreff "I Love You", der auch der Hauptteil der E-Mail war, und es gab einen Anhang. Wir wussten beide sofort, dass die E-Mail gefälscht sein musste, weil wir als Herausgeber von Zeitschriften wussten, dass uns niemand liebte. Wir haben nicht auf den Anhang geklickt. Wir fungierten quasi als menschliche Firewalls. Wir haben eine gefälschte E-Mail sofort erkannt und sie gelöscht, anstatt ihren Inhalt auf unsere Computer und den Rest des Netzwerks zu übertragen.
Menschen: Immer noch ein führender Angriffsvektor
Der Grund, warum Phishing-E-Mails so weit verbreitet sind, ist, dass sie so häufig sind. Inzwischen kann man mit Recht sagen, dass jeder mit einem E-Mail-Konto irgendwann eine Phishing-E-Mail erhalten hat. Die E-Mail-Adresse stammt häufig von Ihrer Bank, Ihrem Kreditkartenunternehmen oder einem anderen Geschäft, das Sie häufig betreiben. Phishing-E-Mails können jedoch auch eine Bedrohung für Ihr Unternehmen darstellen, da Angreifer versuchen, Ihre Mitarbeiter gegen Sie einzusetzen. Eine weitere frühe Version dieses Angriffs fand im goldenen Zeitalter des Faxens statt, als Angreifer einfach eine Rechnung für Dienste faxten, die niemals an große Unternehmen erbracht wurden, in der Hoffnung, dass vielbeschäftigte Führungskräfte sie einfach zur Zahlung einreichen würden.
Phishing ist überraschend effektiv. Laut einer Studie der Anwaltskanzlei BakerHostetler, die im vergangenen Jahr 560 Datenschutzverletzungen untersuchte, ist Phishing heute die häufigste Ursache für Datensicherheitsvorfälle.
Leider hat die Technologie Phishing-Angriffe nicht aufgeholt. Während es eine Reihe von Sicherheitsgeräten und Softwarepaketen gibt, die zum Herausfiltern bösartiger E-Mails entwickelt wurden, arbeiten die bösen Jungs, die Phishing-E-Mails erstellen, hart daran, sicherzustellen, dass ihre Angriffe durch die Ritzen gleiten. Eine Studie von Cyren zeigt, dass das Scannen von E-Mails eine Fehlerrate von 10, 5 Prozent beim Auffinden bösartiger E-Mails aufweist. Selbst in kleinen bis mittelständischen Unternehmen (SMB) kann dies zu einer Vielzahl von E-Mails führen, und alle E-Mails, die einen Social-Engineering-Angriff enthalten, können eine Bedrohung für Ihr Unternehmen darstellen. Und dies ist keine allgemeine Bedrohung, wie es bei den meisten Malware-Programmen der Fall wäre, die es geschafft haben, sich durch Ihre Endpoint-Schutzmaßnahmen zu schleichen, sondern die bösartigere, die speziell auf Ihre wertvollsten Daten und digitalen Ressourcen abzielt.
Während eines Gesprächs mit Stu Sjouwerman, Gründer und CEO von KnowBe4, einem Unternehmen, das Personalfachleuten helfen kann, das Sicherheitsbewusstsein zu schulen, wurde ich auf den Cyren-Bericht aufmerksam gemacht. Es war Sjouwerman, der den Begriff "menschliche Firewall" aufbrachte und der auch "menschliches Hacken" diskutierte. Sein Vorschlag ist, dass Unternehmen die Effektivität von Social-Engineering-Angriffen durch eine konsequente Schulung verhindern oder verringern können, die auch Ihre Mitarbeiter zur Lösung des Problems einbezieht.
Natürlich gibt es in vielen Organisationen Schulungen zum Thema Sicherheitsbewusstsein. Wahrscheinlich haben Sie bereits an mehreren Besprechungen teilgenommen, bei denen alter Kaffee mit abgestandenen Donuts gepaart wurde, während ein von HR beauftragter Auftragnehmer Ihnen 15 Minuten lang sagte, Sie sollten nicht auf Phishing-E-Mails hereinfallen, ohne Ihnen zu sagen, was sie sind, oder zu erklären, was zu tun ist, wenn Sie denken, Sie haben einen gefunden. Ja, diese Treffen.
Was Sjouwerman vorgeschlagen hat, ist, eine interaktive Schulungsumgebung zu erstellen, in der Sie Zugriff auf aktuelle Phishing-E-Mails haben, in denen Sie sie untersuchen können. Haben Sie vielleicht eine Gruppenarbeit, bei der jeder versucht, die Faktoren zu erkennen, die auf Phishing - E - Mails hindeuten, wie z. B. schlechte Rechtschreibung, Adressen, die fast echt aussehen, oder Anfragen, die bei der Prüfung keinen Sinn ergeben (z. B. die sofortige Übermittlung von Unternehmensmittel an einen unbekannten Empfänger).
Verteidigung gegen Social Engineering
Aber Sjouwerman wies auch darauf hin, dass es mehr als eine Art von Social Engineering gibt. Er bietet auf der KnowBe4-Website eine Reihe kostenloser Tools an, mit denen Unternehmen ihren Mitarbeitern das Lernen erleichtern können. Er schlug außerdem die folgenden neun Schritte vor, mit denen Unternehmen Social-Engineering-Angriffe bekämpfen können.
- Erstellen Sie eine menschliche Firewall, indem Sie Ihre Mitarbeiter darin schulen, Social-Engineering-Angriffe zu erkennen, wenn sie sie sehen.
- Führen Sie regelmäßig simulierte Social-Engineering-Tests durch, um Ihre Mitarbeiter auf Trab zu halten.
- Führen Sie einen Phishing-Sicherheitstest durch. Knowbe4 hat eine kostenlose.
- Seien Sie auf der Suche nach CEO-Betrug. Hierbei handelt es sich um Angriffe, bei denen die Angreifer eine gefälschte E-Mail erstellen, die anscheinend vom CEO oder einem anderen hochrangigen Beamten stammt und Aktionen wie Geldtransfers dringend anleitet. Mit einem kostenlosen Tool von KnowBe4 können Sie überprüfen, ob Ihre Domain gefälscht werden kann.
- Senden Sie simulierte Phishing-E-Mails an Ihre Mitarbeiter und fügen Sie einen Link hinzu, der Sie benachrichtigt, wenn auf diesen Link geklickt wird. Verfolgen Sie, welche Mitarbeiter darauf hereinfallen, und konzentrieren Sie sich auf diejenigen, die mehr als einmal darauf hereinfallen.
- Seien Sie auf "Vishing" vorbereitet, eine Art Voicemail-Social-Engineering, bei dem Nachrichten hinterlassen werden, die versuchen, Aktionen von Ihren Mitarbeitern zu erhalten. Dies scheinen Anrufe von Strafverfolgungsbehörden, dem Internal Revenue Service (IRS) oder sogar dem technischen Support von Microsoft zu sein. Stellen Sie sicher, dass Ihre Mitarbeiter diese Anrufe nicht zurückgeben.
- Machen Sie Ihre Mitarbeiter auf "Text-Phishing" oder "SMiShing (SMS-Phishing)" aufmerksam, das wie E-Mail-Phishing, jedoch mit Textnachrichten funktioniert. In diesem Fall kann der Link so gestaltet sein, dass vertrauliche Informationen wie Kontaktlisten von ihren Mobiltelefonen abgerufen werden. Sie müssen geschult sein, keine Links in Textnachrichten zu berühren, auch wenn sie von Freunden stammen.
- USB-Angriffe (Universal Serial Bus) sind überraschend effektiv und bieten eine zuverlässige Möglichkeit, Netzwerke mit Luftspalten zu durchdringen. Die Art und Weise, wie es funktioniert, ist, dass jemand USB-Speichersticks in Toiletten, Parkplätzen oder anderen Orten liegen lässt, die von Ihren Mitarbeitern frequentiert werden. Vielleicht sind auf dem Stick verlockende Logos oder Etiketten angebracht. Wenn Mitarbeiter sie finden und in einen handlichen Computer einsetzen - und wenn sie nicht anderweitig unterrichtet werden -, gelangt die Malware in Ihr Netzwerk. So drang die Stuxnet-Malware in das iranische Atomprogramm ein. Knowbe4 hat auch ein kostenloses Tool, um dies zu testen.
- Der Paketangriff ist auch überraschend effektiv. Hier taucht jemand mit einem Arm voll Kisten (oder manchmal auch Pizzas) auf und bittet darum, eingelassen zu werden, damit sie geliefert werden können. Während Sie nicht schauen, stecken sie ein USB-Gerät in einen nahe gelegenen Computer. Ihre Mitarbeiter müssen durch simulierte Angriffe geschult werden. Sie können sie ermutigen, indem Sie dafür trainieren und dann die Pizzen teilen, wenn sie es richtig machen.
Wie Sie sehen, kann Social Engineering eine echte Herausforderung sein und viel effektiver sein, als Sie möchten. Die einzige Möglichkeit, dem entgegenzuwirken, besteht darin, Ihre Mitarbeiter aktiv einzubeziehen, um solche Angriffe zu erkennen und anzuzeigen. Wenn Sie das richtig machen, werden Ihre Mitarbeiter den Prozess wirklich genießen - und vielleicht bekommen sie auch ein paar kostenlose Pizzen daraus.
