Isi kandungan:
Video: Kenapa Covid-19 lebih cepat menular dari flu 'biasa'? - CLICK | BBC News Indonesia (November 2024)
Saya fikir kali pertama saya melihat e-mel pancingan data telah kembali pada tahun 2000 ketika saya sedang menjalankan projek pengujian dengan Oliver Rist, yang sekarang adalah Editor Perniagaan PCMag. Suatu pagi kami berdua menerima e-mel dengan baris subjek, "I Love You, " yang juga merupakan e-mel dan terdapat lampiran. Kami berdua tahu dengan segera bahawa e-mel itu harus palsu kerana, sebagai editor majalah, kami tahu bahawa tiada siapa yang menyukai kami. Kami tidak mengklik lampiran. Kami, pada dasarnya, bertindak sebagai firewall manusia. Kami mengenali e-mel palsu semasa penglihatan, dan kami memadamnya daripada membiarkan kandungannya tersebar ke dalam komputer kami dan seluruh rangkaian.
Manusia: Masih Satu Vektor Serangan Utama
Alasan e-mel phishing begitu terkenal kerana ia sangat biasa. Sekarang, wajar untuk mengatakan bahawa sesiapa yang mempunyai akaun e-mel akan menerima email phishing pada satu ketika. E-mel sering berpura-pura menjadi dari bank anda, syarikat kad kredit anda, atau perniagaan lain yang anda kerap. Tetapi e-mel phishing juga boleh menjadi ancaman kepada organisasi anda kerana penyerang cuba menggunakan pekerja anda terhadap anda. Versi lain dari serangan ini datang semasa faks keemasan ketika penyerang hanya memfakskan invois untuk perkhidmatan yang tidak pernah diberikan kepada syarikat besar, dengan harapan para eksekutif sibuk akan menyerahkannya untuk pembayaran.
Phishing sangat berkesan. Menurut kajian firma undang-undang BakerHostetler, yang memandang 560 pelanggaran data pada tahun lalu, pancingan data adalah punca insiden keselamatan data hari ini.
Sayangnya, teknologi tidak terjejas dengan serangan pancingan data. Walaupun terdapat beberapa peranti keselamatan dan pakej perisian yang direka untuk menyaring e-mel yang berniat jahat, orang jahat yang mempraktikkan e-mel phishing sedang berusaha keras untuk memastikan serangan mereka tergelincir melalui retakan. Satu kajian oleh Cyren menunjukkan bahawa pengimbasan e-mel mempunyai kadar kegagalan 10.5 peratus dalam mencari e-mel yang berniat jahat. Walaupun dalam perniagaan kecil dan menengah (SMB), yang boleh menambah sehingga banyak e-mel, dan mana-mana yang mengandungi serangan kejuruteraan sosial boleh menjadi ancaman kepada organisasi anda. Dan bukannya ancaman am yang akan berlaku dengan kebanyakan perisian hasad yang berjaya menyelinap melalui langkah perlindungan titik akhir anda, tetapi jenis yang lebih jahat yang ditujukan khusus kepada data dan sumber digital yang paling berharga anda.
Saya dimaklumkan kepada laporan Cyren semasa perbualan dengan Stu Sjouwerman, pengasas dan Ketua Pegawai Eksekutif KnowBe4, sebuah syarikat yang boleh membantu profesional sumber manusia (HR) mengajar kesedaran keselamatan. Ia adalah Sjouwerman yang membawa istilah "firewall manusia" dan yang juga membincangkan "peretasan manusia." Cadangannya adalah bahawa organisasi boleh menghalang atau mengurangkan keberkesanan serangan kejuruteraan sosial dengan beberapa latihan konsisten yang dilakukan dengan cara yang juga melibatkan kakitangan anda dalam menyelesaikan masalah.
Sudah tentu, banyak organisasi mempunyai sesi latihan kesedaran keselamatan. Anda mungkin telah berada dalam beberapa mesyuarat di mana kopi lama dipasangkan dengan donat basi sementara kontraktor yang diupah oleh HR membelanjakan 15 minit memberitahu anda untuk tidak jatuh untuk e-mel phishing-tanpa benar-benar memberitahu anda apa yang mereka atau menjelaskan apa yang harus dilakukan jika anda fikir anda telah menemui satu. Ya, mesyuarat itu.
Apa yang disarankan Sjouwerman berfungsi lebih baik adalah untuk mewujudkan persekitaran latihan interaktif di mana anda mempunyai akses kepada e-mel phishing sebenar di mana anda boleh memeriksa mereka. Mungkin ada usaha kumpulan di mana setiap orang cuba melihat faktor-faktor yang menunjuk kepada e-mel phishing, seperti ejaan yang kurang baik, alamat yang hampir kelihatan nyata, atau permintaan yang, pada pemeriksaan, tidak masuk akal (seperti meminta pemindahan segera dana korporat kepada penerima tidak diketahui).
Mempertahankan Kejuruteraan Sosial
Tetapi Sjouwerman juga menegaskan bahawa terdapat lebih daripada satu jenis kejuruteraan sosial. Beliau menawarkan satu set alat percuma di laman web KnowBe4 yang syarikat boleh gunakan untuk membantu pekerja mereka belajar. Beliau juga mencadangkan sembilan langkah berikut yang boleh diambil oleh syarikat-syarikat untuk memerangi serangan kejuruteraan sosial.
- Buat firewall manusia dengan melatih kakitangan anda untuk mengenal pasti serangan kejuruteraan sosial apabila mereka melihatnya.
- Menjalankan ujian kejuruteraan sosial yang kerap dan simulasi untuk memastikan pekerja anda berada di jari kaki mereka.
- Menjalankan ujian keselamatan pancingan data; Knowbe4 mempunyai percuma.
- Berhati-hati untuk penipuan Ketua Pegawai Eksekutif. Ini adalah serangan di mana penyerang membuat e-mel yang palsu yang muncul dari Ketua Pegawai Eksekutif atau pegawai tinggi peringkat tinggi lain, yang mengarahkan tindakan seperti pemindahan wang secara mendesak. Anda boleh menyemak untuk mengetahui sama ada domain anda boleh dimalsikan dengan menggunakan alat percuma dari KnowBe4.
- Hantar e-mel phishing simulasi kepada pekerja anda dan sertakan pautan yang akan memberi amaran kepada anda jika pautan itu diklik. Menjejaki pekerja yang jatuh ke atasnya dan memberi tumpuan kepada mereka yang jatuh lebih dari sekali.
- Bersedia untuk "vishing, " yang merupakan jenis kejuruteraan sosial voicemail di mana mesej tersisa yang cuba untuk mendapatkan tindakan dari pekerja anda. Mereka mungkin kelihatan seperti panggilan dari penguatkuasaan undang-undang, Internal Revenue Service (IRS), atau bahkan sokongan teknologi Microsoft. Pastikan pekerja anda tidak dapat mengembalikan panggilan tersebut.
- Alert pekerja anda untuk "text phishing" atau "SMiShing (SMS phishing), " yang seperti phishing email tetapi dengan pesan teks. Dalam kes ini, pautan itu mungkin direka untuk mendapatkan maklumat sensitif, seperti senarai kenalan, dari telefon bimbit mereka. Mereka mesti dilatih untuk tidak menyentuh pautan dalam mesej teks, walaupun mereka kelihatan dari kawan-kawan.
- Serangan Bas Serial Universal (USB) sangat berkesan dan mereka adalah cara yang boleh dipercayai untuk menembusi rangkaian udara. Cara ia berfungsi ialah seseorang meninggalkan kek ingatan USB yang terletak di dalam tandas, tempat letak kereta, atau tempat lain yang sering dikunjungi oleh pekerja anda; mungkin kayu itu telah menarik logo atau label pada mereka. Apabila pekerja mencari dan memasukkannya ke komputer yang berguna-dan mereka akan jika mereka tidak diajar sebaliknya-maka malware pada mereka masuk ke dalam rangkaian anda. Ini adalah bagaimana malware Stuxnet menembusi program nuklear Iran. Knowbe4 mempunyai alat percuma untuk menguji ini juga.
- Serangan pakej juga mengejutkan dengan berkesan. Di sinilah seseorang muncul dengan lengan kotak (atau kadang-kadang pizza) dan meminta supaya mereka dapat dihantar. Walaupun anda tidak melihat, mereka melepaskan peranti USB ke komputer berdekatan. Pekerja anda perlu dilatih dengan menjalankan serangan simulasi. Anda boleh menggalakkan mereka dengan latihan untuk ini dan kemudian berkongsi pizza jika mereka mendapatnya dengan betul.
Seperti yang anda dapat lihat, kejuruteraan sosial boleh menjadi cabaran sebenar dan ia boleh menjadi jauh lebih berkesan daripada yang anda mahukan. Satu-satunya cara untuk melawannya ialah secara aktif melibatkan pekerja anda untuk melihat serangan tersebut dan memanggilnya. Selesai dengan betul, pekerja anda sebenarnya akan menikmati proses itu-dan mungkin mereka akan mendapat beberapa pizza percuma juga.
