Sommario:
Video: Dangerous Khiladi Hindi Dubbed Movie In 4K Ultra HD Quality | Allu Arjun, Ileana D Cruz, Sonu Sood (Novembre 2024)
Penso che la prima volta che ho visto un'email di phishing fosse nel 2000 mentre stavo lavorando a un progetto di test con Oliver Rist, che ora è Business Editor di PCMag. Una mattina entrambi abbiamo ricevuto e-mail con l'oggetto "Ti amo", che era anche il corpo dell'email e c'era un allegato. Entrambi sapemmo all'istante che l'e-mail doveva essere falsa perché, come redattori di riviste, sapevamo che nessuno ci amava. Non abbiamo fatto clic sull'allegato. In effetti, stavamo fungendo da firewall umani. Abbiamo riconosciuto una falsa e-mail a vista e l'abbiamo eliminata anziché lasciare che il suo contenuto si diffondesse nei nostri computer e nel resto della rete.
Umani: ancora un vettore di attacco leader
Il motivo per cui le e-mail di phishing sono così conosciute è perché sono così comuni. Ormai è corretto affermare che a un certo punto chiunque disponga di un account di posta elettronica avrà ricevuto un'email di phishing. L'e-mail spesso finge di provenire dalla tua banca, dalla società della tua carta di credito o da altre attività che frequenti. Ma le e-mail di phishing possono anche rappresentare una minaccia per la tua organizzazione poiché gli aggressori cercano di usare i tuoi dipendenti contro di te. Un'altra prima versione di questo attacco arrivò durante l'epoca d'oro del fax quando gli aggressori avrebbero semplicemente inviato una fattura via fax per servizi che non erano mai stati resi a grandi aziende, nella speranza che i dirigenti occupati li avrebbero semplicemente sottoposti a pagamento.
Il phishing è sorprendentemente efficace. Secondo uno studio dello studio legale BakerHostetler, che ha esaminato 560 violazioni dei dati l'anno scorso, il phishing è oggi la principale causa di incidenti sulla sicurezza dei dati.
Sfortunatamente, la tecnologia non ha raggiunto gli attacchi di phishing. Mentre ci sono una serie di dispositivi di sicurezza e pacchetti software progettati per filtrare le e-mail dannose, i cattivi che creano e-mail di phishing stanno lavorando sodo per assicurarsi che i loro attacchi scivolino attraverso le fessure. Uno studio di Cyren mostra che la scansione della posta elettronica ha un tasso di errore del 10, 5 percento nella ricerca di e-mail dannose. Anche in un'azienda di piccole e medie dimensioni (SMB), ciò può aggiungere un sacco di e-mail e qualsiasi di quelli che contengono un attacco di ingegneria sociale può essere una minaccia per la tua organizzazione. E non una minaccia generale come nel caso della maggior parte dei malware che sono riusciti a intrufolarsi con le misure di protezione degli endpoint, ma il tipo più sinistro che è specificamente mirato ai dati e alle risorse digitali più preziosi.
Sono stato avvisato del rapporto Cyren durante una conversazione con Stu Sjouwerman, fondatore e CEO di KnowBe4, un'azienda che può aiutare i professionisti delle risorse umane (risorse umane) a insegnare la consapevolezza della sicurezza. Fu Sjouwerman a far apparire il termine "firewall umano" e discusse anche di "hacking umano". Il suo suggerimento è che le organizzazioni possono prevenire o ridurre l'efficacia degli attacchi di ingegneria sociale con una formazione coerente che viene svolta in un modo che coinvolge anche il personale nella risoluzione del problema.
Naturalmente, molte organizzazioni hanno sessioni di formazione sulla consapevolezza della sicurezza. Probabilmente sei stato in molti di quegli incontri in cui il vecchio caffè è abbinato a ciambelle stantie mentre un appaltatore assunto dalle risorse umane impiega 15 minuti a dirti di non innamorarti delle e-mail di phishing, senza dirti effettivamente cosa sono o spiegare cosa fare se pensi di averne trovato uno. Sì, quegli incontri.
Ciò che Sjouwerman ha suggerito di funzionare meglio è creare un ambiente di formazione interattivo in cui si abbia accesso alle e-mail di phishing reali in cui è possibile esaminarle. Forse hai uno sforzo di gruppo in cui tutti cercano di vedere i fattori che indicano le e-mail di phishing, come una scarsa ortografia, indirizzi che sembrano quasi reali o richieste che, all'esame, non hanno senso (come richiedere un trasferimento immediato di fondi aziendali a un destinatario sconosciuto).
Difesa contro l'ingegneria sociale
Ma Sjouwerman ha anche sottolineato che esiste più di un tipo di ingegneria sociale. Offre una serie di strumenti gratuiti sul sito Web KnowBe4 che le aziende possono utilizzare per aiutare i propri dipendenti a imparare. Ha anche suggerito i seguenti nove passi che le aziende possono adottare per combattere gli attacchi di ingegneria sociale.
- Crea un firewall umano addestrando il tuo personale a riconoscere gli attacchi di ingegneria sociale quando li vedono.
- Esegui test di ingegneria sociale frequenti e simulati per mantenere i tuoi dipendenti in punta di piedi.
- Effettuare un test di sicurezza di phishing; Knowbe4 ne ha uno gratuito.
- Fai attenzione alle frodi del CEO. Si tratta di attacchi in cui gli aggressori creano un'e-mail contraffatta che sembra provenire dal CEO o da un altro ufficiale di alto livello, dirigendo azioni come trasferimenti di denaro su base urgente. Puoi verificare se il tuo dominio può essere falsificato utilizzando uno strumento gratuito di KnowBe4.
- Invia e-mail di phishing simulate ai tuoi dipendenti e includi un link che ti avviserà se si fa clic su quel link. Tieni traccia di quali dipendenti si innamorano e concentra la formazione su coloro che si innamorano più di una volta.
- Preparati al "vishing", che è un tipo di ingegneria sociale della posta vocale in cui vengono lasciati messaggi che cercano di ottenere azioni dai tuoi dipendenti. Quelle potrebbero sembrare chiamate dalle forze dell'ordine, dall'Internal Revenue Service (IRS) o persino dal supporto tecnico di Microsoft. Assicurati che i tuoi dipendenti sappiano di non rispondere a tali chiamate.
- Avvisa i tuoi dipendenti di "phishing di testo" o "SMiShing (phishing di SMS)", che è come il phishing di e-mail ma con messaggi di testo. In questo caso, il collegamento può essere progettato per ottenere informazioni sensibili, come elenchi di contatti, dai loro telefoni cellulari. Devono essere addestrati a non toccare i collegamenti nei messaggi di testo, anche se sembrano provenire da amici.
- Gli attacchi USB (Universal Serial Bus) sono sorprendentemente efficaci e rappresentano un modo affidabile per penetrare nelle reti con aria compressa. Il modo in cui funziona è che qualcuno lasci le chiavette USB in giro per bagni, parcheggi o altri luoghi frequentati dai dipendenti; forse il bastone ha loghi o etichette allettanti su di essi. Quando i dipendenti li trovano e li inseriscono in un comodo computer, e lo faranno se non gli viene insegnato diversamente, allora il malware su di essi entra nella tua rete. Ecco come il malware Stuxnet è penetrato nel programma nucleare iraniano. Knowbe4 ha uno strumento gratuito per testare anche questo.
- Anche l'attacco del pacchetto è sorprendentemente efficace. Qui è dove qualcuno si presenta con un carico di scatole (o talvolta pizze) e chiede di essere lasciato entrare per poter essere consegnato. Mentre non stai guardando, inseriscono un dispositivo USB in un computer vicino. I tuoi dipendenti devono essere addestrati eseguendo attacchi simulati. Puoi incoraggiarli allenandoti per questo e poi condividendo le pizze se hanno ragione.
Come puoi vedere, il social engineering può essere una vera sfida e può essere molto più efficace di quanto desideri. L'unico modo per combatterlo è coinvolgere attivamente i tuoi dipendenti nell'individuare tali attacchi e chiamarli fuori. Fatto bene, i tuoi dipendenti apprezzeranno davvero il processo e forse otterranno anche alcune pizze gratuite da esso.