Đừng phá hoại an ninh của chính bạn, hãy đào tạo người dùng của bạn

Tôi nghĩ rằng lần đầu tiên tôi thấy một email lừa đảo đã trở lại vào năm 2000 khi tôi đang thực hiện dự án thử nghiệm với Oliver Rist, hiện là Biên tập viên kinh doanh của PCMag. Một buổi sáng, cả hai chúng tôi đã nhận được email với dòng tiêu đề "Tôi yêu bạn", đó cũng là nội dung của email và có một tệp đính kèm. Cả hai chúng tôi đều biết ngay rằng email phải không có thật bởi vì, với tư cách là biên tập viên tạp chí, chúng tôi biết rằng không ai yêu chúng tôi. Chúng tôi đã không nhấp vào tệp đính kèm. Chúng tôi, trong thực tế, hoạt động như tường lửa của con người. Chúng tôi đã nhận ra một email không có thật trong tầm nhìn và chúng tôi đã xóa nó thay vì để nội dung của nó lan vào máy tính của chúng tôi và phần còn lại của mạng.

Ngay cả trước đó, các cuộc tấn công như thế này được gọi là "kỹ thuật xã hội" do tin tặc thiết lập. Ngày nay, email lừa đảo có lẽ là phiên bản nổi tiếng nhất của loại khai thác này. Chúng chủ yếu nhằm mục đích đánh cắp thông tin bảo mật nhưng chúng cũng có khả năng cung cấp các loại phần mềm độc hại khác, đặc biệt là ransomware. Nhưng điều đáng chú ý là có các loại tấn công kỹ thuật xã hội khác bên cạnh lừa đảo, bao gồm cả một số cuộc tấn công là vật lý chứ không phải là kỹ thuật số.

Con người: Vẫn là một Vector tấn công hàng đầu

Lý do email lừa đảo được biết đến rộng rãi là vì chúng quá phổ biến. Đến bây giờ, thật công bằng khi nói rằng bất cứ ai có tài khoản email sẽ nhận được email lừa đảo vào một lúc nào đó. Email thường giả vờ là từ ngân hàng, công ty thẻ tín dụng của bạn hoặc một số doanh nghiệp khác mà bạn thường xuyên. Nhưng email lừa đảo cũng có thể là mối đe dọa cho tổ chức của bạn khi những kẻ tấn công cố gắng sử dụng nhân viên của bạn chống lại bạn. Một phiên bản đầu tiên của cuộc tấn công này xuất hiện trong thời kỳ hoàng kim của fax khi những kẻ tấn công chỉ đơn giản là fax hóa đơn cho các dịch vụ không bao giờ được hoàn trả cho các công ty lớn, với hy vọng các giám đốc điều hành bận rộn sẽ đơn giản gửi chúng để thanh toán.

Lừa đảo là hiệu quả đáng ngạc nhiên. Theo một nghiên cứu của công ty luật Bakerhostetler, đã xem xét 560 vụ vi phạm dữ liệu vào năm ngoái, lừa đảo là nguyên nhân hàng đầu của các sự cố bảo mật dữ liệu hiện nay.

Thật không may, công nghệ đã không bắt kịp với các cuộc tấn công lừa đảo. Mặc dù có một số thiết bị bảo mật và gói phần mềm được thiết kế để lọc email độc hại, nhưng kẻ xấu tạo email lừa đảo đang làm việc chăm chỉ để đảm bảo các cuộc tấn công của chúng trượt qua vết nứt. Một nghiên cứu của Cyren cho thấy quét email có tỷ lệ thất bại 10, 5% trong việc tìm kiếm các email độc hại. Ngay cả trong một doanh nghiệp vừa và nhỏ (SMB), có thể thêm rất nhiều email và bất kỳ email nào có chứa một cuộc tấn công kỹ thuật xã hội đều có thể là mối đe dọa đối với tổ chức của bạn. Và không phải là một mối đe dọa chung như trường hợp của hầu hết các phần mềm độc hại đã lén lút sử dụng các biện pháp bảo vệ điểm cuối của bạn, nhưng loại độc ác hơn nhắm mục tiêu cụ thể vào các tài nguyên kỹ thuật số và dữ liệu quý giá nhất của bạn.

Tôi đã được cảnh báo về báo cáo của Cyren trong cuộc trò chuyện với Stu Sjouwerman, người sáng lập và CEO của KnowBe4, một công ty có thể giúp các chuyên gia nhân sự (HR) dạy về nhận thức bảo mật. Chính Sjouwerman đã đưa ra thuật ngữ "tường lửa của con người" và cũng là người thảo luận về "hack người". Gợi ý của ông là các tổ chức có thể ngăn chặn hoặc làm giảm hiệu quả của các cuộc tấn công kỹ thuật xã hội bằng một số khóa đào tạo nhất quán được thực hiện theo cách cũng thu hút nhân viên của bạn giải quyết vấn đề.

Tất nhiên, nhiều tổ chức có các buổi đào tạo nâng cao nhận thức an ninh. Có lẽ bạn đã tham gia một vài cuộc họp trong đó cà phê cũ được kết hợp với bánh rán cũ trong khi một nhà thầu được HR thuê trong 15 phút nói với bạn rằng đừng rơi vào email lừa đảo mà không thực sự nói cho bạn biết họ đang làm gì hoặc giải thích phải làm gì nếu bạn nghĩ rằng bạn đã tìm thấy một. Vâng, những cuộc họp đó.

Những gì Sjouwerman đề xuất hoạt động tốt hơn là tạo ra một môi trường đào tạo tương tác trong đó bạn có quyền truy cập vào các email lừa đảo thực tế nơi bạn có thể kiểm tra chúng. Có lẽ có một nỗ lực nhóm trong đó mọi người đều cố gắng xem các yếu tố trỏ đến email lừa đảo, chẳng hạn như chính tả kém, địa chỉ gần như thật hoặc yêu cầu, khi kiểm tra, không có ý nghĩa (chẳng hạn như yêu cầu chuyển ngay lập tức quỹ công ty cho một người nhận không xác định).

Bảo vệ chống lại kỹ thuật xã hội

Nhưng Sjouwerman cũng chỉ ra rằng có nhiều hơn một loại kỹ thuật xã hội. Ông cung cấp một bộ công cụ miễn phí trên trang web của knowBe4 mà các công ty có thể sử dụng để giúp nhân viên của họ học hỏi. Ông cũng đề xuất chín bước sau đây mà các công ty có thể thực hiện để chống lại các cuộc tấn công kỹ thuật xã hội.

• Tạo tường lửa con người bằng cách đào tạo nhân viên của bạn nhận ra các cuộc tấn công kỹ thuật xã hội khi họ nhìn thấy chúng.
• Thực hiện các bài kiểm tra kỹ thuật xã hội thường xuyên, mô phỏng để giữ chân nhân viên của bạn.
• Tiến hành kiểm tra bảo mật lừa đảo; Knowbe4 có một cái miễn phí.
• Hãy cảnh giác với gian lận của CEO. Đây là những cuộc tấn công trong đó những kẻ tấn công tạo ra một email giả mạo dường như là từ CEO hoặc nhân viên cấp cao khác, chỉ đạo các hành động như chuyển tiền trên cơ sở khẩn cấp. Bạn có thể kiểm tra xem liệu tên miền của bạn có thể bị giả mạo hay không bằng cách sử dụng một công cụ miễn phí từ KnowBe4.
• Gửi email lừa đảo mô phỏng cho nhân viên của bạn và bao gồm một liên kết sẽ cảnh báo bạn nếu liên kết đó được nhấp. Theo dõi những nhân viên nào yêu thích nó và tập trung đào tạo những người yêu thích nó nhiều hơn một lần.
• Hãy chuẩn bị cho "vishing", đó là một loại kỹ thuật xã hội thư thoại trong đó các tin nhắn được để lại để cố gắng nhận được hành động từ nhân viên của bạn. Đó có thể là các cuộc gọi từ cơ quan thực thi pháp luật, Dịch vụ doanh thu nội bộ (IRS) hoặc thậm chí hỗ trợ kỹ thuật của Microsoft. Hãy chắc chắn rằng nhân viên của bạn biết không trả lại những cuộc gọi đó.
• Thông báo cho nhân viên của bạn về "lừa đảo văn bản" hoặc "SMiShing (SMS lừa đảo)", giống như lừa đảo qua email nhưng với tin nhắn văn bản. Trong trường hợp này, liên kết có thể được thiết kế để lấy thông tin nhạy cảm, chẳng hạn như danh sách liên lạc, từ điện thoại di động của họ. Họ phải được huấn luyện để không chạm vào các liên kết trong tin nhắn văn bản, ngay cả khi họ có vẻ là từ bạn bè.
• Các cuộc tấn công Universal Bus Bus (USB) có hiệu quả đáng ngạc nhiên và chúng là một cách đáng tin cậy để thâm nhập vào các mạng bị chặn không khí. Cách thức hoạt động là ai đó để các thẻ nhớ USB nằm xung quanh trong phòng vệ sinh, bãi đỗ xe hoặc những nơi khác mà nhân viên của bạn thường lui tới; có thể cây gậy có logo hoặc nhãn hấp dẫn trên chúng. Khi nhân viên tìm và chèn chúng vào một máy tính tiện dụng, và họ sẽ không được dạy nếu không thì phần mềm độc hại trên mạng sẽ xâm nhập vào mạng của bạn. Đây là cách phần mềm độc hại Stuxnet xâm nhập chương trình hạt nhân Iran. Knowbe4 cũng có một công cụ miễn phí để kiểm tra điều này.
• Các cuộc tấn công gói cũng có hiệu quả đáng ngạc nhiên. Đây là nơi ai đó xuất hiện với một khối lượng hộp (hoặc đôi khi là pizza) và yêu cầu được cho vào để chúng có thể được giao. Trong khi bạn không tìm kiếm, họ trượt thiết bị USB vào một máy tính gần đó. Nhân viên của bạn cần được đào tạo bằng cách thực hiện các cuộc tấn công mô phỏng. Bạn có thể khuyến khích họ bằng cách đào tạo cho điều này và sau đó chia sẻ pizza nếu họ làm đúng.

Như bạn có thể thấy, kỹ thuật xã hội có thể là một thách thức thực sự và nó có thể hiệu quả hơn nhiều so với bạn muốn. Cách duy nhất để chống lại nó là tích cực lôi kéo nhân viên của bạn phát hiện ra các cuộc tấn công như vậy và gọi họ ra ngoài. Hoàn thành đúng, nhân viên của bạn sẽ thực sự thích quá trình này và có thể họ cũng sẽ nhận được một số pizza miễn phí.