Trang Chủ Đồng hồ an ninh Tự đào tạo về phản ứng phát hiện lừa đảo cho quân đội

Tự đào tạo về phản ứng phát hiện lừa đảo cho quân đội

Video: Baby Shark Medley | +Compilation | Baby Shark | Pinking Songs for Children (Tháng mười một 2024)

Video: Baby Shark Medley | +Compilation | Baby Shark | Pinking Songs for Children (Tháng mười một 2024)
Anonim

Các gián điệp mạng đã nghĩ ra các rootkit phức tạp và phần mềm độc hại được giấu khéo léo để đánh cắp các bí mật và lắng nghe các thông tin liên lạc đặc quyền. Để cài đặt các công cụ gián điệp này, họ thường dựa vào yếu tố yếu nhất trong lĩnh vực bảo mật; người dùng. Các chiến dịch giáo dục để nâng cao nhận thức về an ninh có thể là một trợ giúp lớn, nhưng có một cách đúng đắn và sai lầm để thực hiện nó.

Tăng cờ đỏ

Washington Post đã báo cáo tuần trước rằng một chỉ huy chiến đấu của quân đội đã tự mình lấy nó để đánh giá khả năng phát hiện các tin nhắn lừa đảo của đơn vị mình. Tin nhắn thử nghiệm của anh ấy đã hướng dẫn người nhận (ít hơn 100 người trong số họ) truy cập trang web của chương trình lương hưu của họ để đặt lại mật khẩu bắt buộc. Tuy nhiên, tin nhắn được liên kết đến một trang giả mạo với một URL rất giống với trang thật cho cơ quan, Kế hoạch tiết kiệm tiết kiệm.

Những người nhận đã thông minh; không một ai trong số họ nhấp vào liên kết không có thật. Tuy nhiên, họ đã chia sẻ email đáng ngờ với "hàng ngàn bạn bè và đồng nghiệp", gây ra một loạt các cuộc gọi đến Kế hoạch tiết kiệm tiết kiệm thực tế kéo dài trong nhiều tuần. Cuối cùng, giám đốc an ninh của kế hoạch hưu trí truy tìm thông điệp đến một miền của Quân đội và Lầu năm góc truy tìm hung thủ. Theo bài đăng, chỉ huy giấu tên "không bị khiển trách vì tự mình hành động, vì các quy tắc rất mơ hồ".

Việc Kế hoạch tiết kiệm tiết kiệm đã trải qua một sự vi phạm thực tế vào năm 2011 đã làm tăng thêm yếu tố lo lắng cho các nhân viên liên bang bị ảnh hưởng. Một quan chức quốc phòng nói với Post: "Đây là trứng của mọi người, tiền tiết kiệm kiếm được của họ. Khi bạn bắt đầu nghe TSP về tất cả mọi thứ, nhà máy tin đồn đã lan tràn." Cơ quan này tiếp tục nhận được các cuộc gọi lo lắng dựa trên thử nghiệm lừa đảo.

Bài đăng báo cáo rằng mọi thử nghiệm lừa đảo trong tương lai sẽ cần được phê duyệt bởi Giám đốc Thông tin của Lầu Năm Góc. Bất kỳ thử nghiệm nào liên quan đến một thực thể trong thế giới thực như Kế hoạch tiết kiệm tiết kiệm sẽ yêu cầu sự cho phép trước từ tổ chức đó. Giám đốc điều hành của TSP, Greg Long nói rõ rằng tổ chức của ông sẽ không tham gia.

Hoàn toàn sai

Vì vậy, chỉ huy quân đội này đã đi sai ở đâu? Một bài đăng trên blog gần đây của PhishMe CTO Aaron Higbee nói, tốt, chỉ là ở khắp mọi nơi. "Bài tập này cam kết mọi tội lỗi chính của lừa đảo giả lập do thiếu mục tiêu đã xác định, không xem xét sự phân nhánh mà email có thể có, không liên lạc được với tất cả các bên liên quan tiềm năng và có thể lạm dụng nhãn hiệu / trang phục thương mại hoặc tài liệu có bản quyền", Higbee nói.

"Để có hiệu quả, một cuộc tấn công lừa đảo giả lập cần cung cấp cho người nhận thông tin về cách cải thiện trong tương lai, " Higbee nói. "Một cách dễ dàng để làm điều này là cho người nhận biết rằng cuộc tấn công là một bài tập huấn luyện và cung cấp đào tạo ngay sau khi họ tương tác với email."

"Mọi người thường đặt câu hỏi về giá trị mà PhishMe cung cấp bằng cách nói rằng họ có thể thực hiện các bài tập lừa đảo giả lập trong nhà", Higbee lưu ý. "Những người có suy nghĩ đó nên coi cà phê gần đây của Quân đội là một câu chuyện cảnh báo." Xác định PhishMe là "nhà vô địch hạng nặng không thể chối cãi" của giáo dục lừa đảo, ông kết luận: "Trong 90 ngày qua, PhishMe đã gửi 1.790.089 email. Lý do mô phỏng lừa đảo của chúng tôi không đưa ra tiêu đề quốc gia là chúng tôi biết chúng tôi đang làm gì."

Đúng cách

Một tổ chức hợp đồng với PhishMe để giáo dục lừa đảo có thể chọn nhiều kiểu email thử nghiệm, không có kiểu nào liên quan đến việc mô phỏng một bên thứ ba như TSP. Ví dụ, họ có thể tạo một tin nhắn cung cấp cho nhân viên một bữa trưa miễn phí. Tất cả những gì họ cần làm là đăng nhập vào trang web đặt hàng ăn trưa "bằng tên người dùng và mật khẩu mạng của bạn." Một cách tiếp cận khác là một cuộc tấn công hai nòng, sử dụng một email để hỗ trợ tính hợp lệ của một tên lửa khác, một chiến thuật được sử dụng trong các cuộc tấn công Đe dọa Tiên tiến Tiên tiến trong thế giới thực.

Bất kỳ phong cách nào của thư lừa đảo được chọn, bất kỳ người dùng nào rơi vào thư đều nhận được phản hồi và đào tạo ngay lập tức và quản lý sẽ được thống kê chi tiết. Với các vòng kiểm tra và đào tạo lặp đi lặp lại, PhishMe nhằm mục đích giảm nguy cơ thâm nhập mạng thông qua lừa đảo bằng "tới 80%".

Hầu hết các tổ chức được bảo vệ tốt trước các cuộc tấn công mạng xuất hiện trên Internet. Cách dễ nhất để thâm nhập bảo mật là đánh lừa một nhân viên cả tin. Bảo vệ lừa đảo được tích hợp trong các bộ bảo mật hiện đại hoạt động tốt chống lại các trò lừa đảo kiểu phát sóng, nhưng các cuộc tấn công "lừa đảo" nhắm mục tiêu là một câu chuyện khác.

Nếu bạn chịu trách nhiệm về bảo mật của tổ chức, bạn thực sự cần phải giáo dục những nhân viên đó để họ không bị lừa. Bạn có thể tự mình xử lý việc đào tạo, nhưng nếu không, các huấn luyện viên bên thứ ba như PhishMe sẵn sàng giúp đỡ.

Tự đào tạo về phản ứng phát hiện lừa đảo cho quân đội