Video: Rc drift - setting up backfire to Tamiya tt01D (September 2024)
Cyber-spioner utformar utarbetade rootkits och listigt dolda skadlig programvara för att stjäla hemligheter och lyssna på privilegierad kommunikation. För att få dessa spionverktyg installerade förlitar de sig vanligtvis på det svagaste elementet i säkerhetsarenan; användaren. Utbildningskampanjer för att öka säkerhetsmedvetenheten kan vara en stor hjälp, men det finns ett rätt sätt och ett fel sätt att göra det på.
Lyfter röda flaggor
Washington Post rapporterade förra veckan att en arméstridskommandant tog det på sig att utvärdera sin enhets förmåga att upptäcka phishing-meddelanden. Hans testmeddelande riktade mottagare (färre än 100 av dem) att besöka sin pensionsplanens webbplats för en nödvändig återställning av lösenord. Men meddelandet länkade till en falsk webbplats med en URL som mycket liknar den verkliga för byrån, Thrift Savings Plan.
Mottagarna var smarta; inte en enda av dem klickade på den falska länken. De delade emellertid den misstänkta e-postmeddelandet med "tusen vänner och kollegor", vilket orsakade en översvämning av samtal till den faktiska sparsamhetsplanen som varade i veckor. Så småningom spårade pensionsplanens säkerhetschef meddelandet till en arméns domän och Pentagon spårade gärningsmannen. Enligt inlägget blev inte den namngivna befälhavaren "bestämd för att ha agerat på egen hand, eftersom reglerna var vaga."
Det faktum att Thrift Savings Plan upplevde ett faktiskt brott 2011 ökade orofaktorn för berörda federala anställda. En försvarsombud sa till posten, "Det här är människors boägg, deras svårtjänta besparingar. När du började höra TSP om alla saker sprang ryktverket kvar." Byrån fortsätter att få oroliga samtal baserade på phishing-testet.
Inlägget rapporterar att eventuella framtida phishing-test kräver godkännande av Pentagon's Chief Information Officer. Varje test som involverar en verklig enhet som Thrift Savings Plan kräver förhandsgodkännande från den organisationen. TSP: s verkställande direktör Greg Long gjorde det mycket tydligt att hans organisation inte skulle delta.
Helt fel
Så var gick denna armébefälhavare fel? Ett nyligt blogginlägg av PhishMe CTO Aaron Higbee säger, ja, nästan överallt. "Denna övning begick alla kardinala synder av simulerad phishing genom att sakna definierade mål, inte beakta de följder som e-posten kunde ha, underlåtenhet att kommunicera till alla potentiellt inblandade parter och kanske missbruka varumärken / handelsklänning eller upphovsrättsskyddat material, " sade Higbee.
"För att vara effektiv måste en simulerad phishing-attack ge mottagaren information om hur man kan förbättra i framtiden, " sade Higbee. "Ett enkelt sätt att göra detta är att låta mottagarna veta att attacken var en träningsövning och ge utbildning omedelbart efter att de har interagerat med e-postmeddelandet."
"Människor ifrågasätter ofta värdet PhishMe ger genom att säga att de kan genomföra simulerade nätfiskeövningar internt", konstaterade Higbee. "De med den tankegången bör ta arméns senaste gaffe som en försiktighetsberättelse." Han identifierade PhishMe som "de obestridda mästarna i tungvikt" för phishing-utbildning, och han drog slutsatsen att "Under de senaste 90 dagarna har PhishMe skickat 1 790 079 e-postmeddelanden. Anledningen till att våra phishing-simuleringar inte gör nationella rubriker är att vi vet vad vi gör."
Den rätta vägen
En organisation som kontrakterar med PhishMe för phishing-utbildning kan välja olika testmailstilar, varav ingen inbegriper att simulera en tredje part som TSP. Till exempel kan de generera ett meddelande som erbjuder de anställda en gratis lunch. Allt de behöver göra är att logga in på lunchbeställningswebbplatsen "med ditt nätverks användarnamn och lösenord." Ett annat tillvägagångssätt är en dubbel-tunnattack som använder ett e-postmeddelande för att stödja giltigheten av en annan - en taktik som används i riktiga attacker av avancerad persistent hot.
Oavsett vilken typ av phishing-post som väljs, alla användare som faller för det får omedelbar feedback och utbildning, och hanteringen får detaljerad statistik. Med upprepade testnings- och träningsrundor syftade PhishMe till att minska risken för nätpenetrering via phishing med "upp till 80 procent."
De flesta organisationer är väl skyddade mot nätattacker som kommer in via Internet. Det enklaste sättet att tränga igenom säkerheten är att lura en trolös anställd. Phishing-skyddet inbyggt i moderna säkerhetssviter fungerar bra mot sändningsstil, men riktade "spear-phishing" -attacker är en annan historia.
Om du ansvarar för din organisations säkerhet måste du verkligen utbilda de anställda så att de inte luras. Du kanske kan hantera utbildningen själv, men om inte, är tredjepartstränare som PhishMe redo att hjälpa.
