Tehtäväkohtainen tietoturvatietoisuuskoulutus räätälöi koulutusmateriaalit ja jakelumekanismit työntekijän rooliin sopiviksi ja vähentää kyseiseen rooliin liittyvää kyberriskiä.
Maailma on monimutkainen ja monimuotoinen paikka, ja sen ihmiset ovat kykyjen, taitojen ja asenteiden sulatusuuni. Yrityksissä tätä monimuotoisuutta hyödynnetään usein luomalla erityisiä rooleja, joissa hyödynnetään näitä erilaisia kykyjä ja taitoja.
Tietoverkkorikolliset tietävät, että ihmiset työskentelevät tietyissä rooleissa organisaatiossa. Huijarit räätälöivät hyökkäyksensä usein kohteen mukaan. Esimerkiksi Business Email Compromise (BEC) -hyökkäykset kohdistuvat yleensä johtavassa asemassa oleviin työntekijöihin ja kirjanpitovelvollisiin. Petostentekijät räätälöivät phishing-kampanjoita tai muita sosiaalista manipulointia hyödyntäen yksilön tehtävänimikettä, ja näin he hyödyntävät luontaisia inhimillisiä piirteitä, kuten luottamusta, varmistaakseen onnistumisen.
Jos huijarit kuitenkin käyttävät roolipohjaista sosiaalista manipulointia ja tietojenkalastelua parantaakseen verkkohyökkäystensä onnistumista, kaksi voi pelata tätä peliä.
Roolipohjainen tietoturvatietoisuuskoulutus roolipohjaisen tietojenkalastelun pysäyttämiseksi
Verkkorikolliset haluavat varmistaa, että kaikki heidän suunnittelemansa kampanjat onnistuvat: he tietävät, että mitä räätälöidympi phishing-sähköposti on, sitä todennäköisemmin kohde uskoo sähköpostin olevan aito ja napsauttaa haitallista linkkiä tai toimii sähköpostin kehotuksen mukaisesti vaihtaa pankkia ja lähettää rahaa kiireellisesti jne.
Spear-phishing on usein valittu ase, kun tietoverkkorikollinen kohdistuu tiettyyn rooliin organisaatiossa. Tässä phishing-muodossa käytetään tarkasti räätälöityjä viestejä, joilla manipuloidaan tietyntyyppisiä työntekijöitä. Spear-phishing-hyökkäysten kohteeksi joutuvat tyypillisesti seuraavat roolit:
- C-tason johtajat ja johdon assistentit
- Palkanlaskenta
- HR
- Rahoitus ja velat
- Etuoikeutetut käyttäjät
C-tason johtajat ja johdon assistentit: "Whaling- ja BEC-petokset(Business Email Compromise) kohdistuvat kohdeorganisaation C-tason johtajiin. Huijarit voivat myös ottaa kohteeksi johdon assistentit ja käyttää sosiaalista manipulointia ja spear-phishingia päästäkseen käsiksi toimitusjohtajan sähköpostitiliin tai muihin henkilökohtaisiin tietoihin. BEC-petoksen käynnistämiseen käytetään väärennettyjä tai väärennettyjä CXO-sähköposteja.
Palkanlaskentaosasto: huijarit ottavat kohteekseen työntekijöiden palkanmaksua hoitavat palkanlaskennan työntekijät, jotka ohjaavat rahat huijarin pankkitilille. Huijari voi esimerkiksi väärentää työntekijän sähköpostin, jossa hän pyytää palkanlaskentaa muuttamaan pankkitilitietonsa.
Henkilöstöhallinto (HR): Henkilöstöhallinnossa säilytetään erittäin luottamuksellisia ja henkilökohtaisia tietoja. Tämän vuoksi tämä rooli on vaarassa joutua spear-phishing-kampanjoiden kohteeksi, joissa pyritään saamaan haltuun tietoja, joita voidaan sitten käyttää hyväksi uusissa hyökkäyksissä. Henkilöstöhallinnon työntekijästä voi tulla osa monimutkaisempaa, monivaiheista petosyritystä, kuten BEC- ja palkkahuijausta. Henkilöstöhallinnon työntekijä saatetaan huijata paljastamaan tietoja C-tason johtajasta tai toisesta työntekijästä, jotta saadaan petoksen toteuttamiseen tarvittavat tiedot.
Talous ja maksettava kirjanpito: osasto, joka pitää hallussaan kukkaronnyörejä, on ilmeinen kohde tietoverkkorikollisille. Esimerkiksi BEC-petokset päätyvät usein kirjanpidon ovelle. Mutta on olemassa monenlaisia petoksia, jotka kohdistuvat tähän rooliin. Tilitoimistopetokset ovat laajalle levinneitä, ja erään raportin mukaan 50 prosenttia brittiläisistä pienyrityksistä on alttiina tämäntyyppisille petoksille, jotka johtuvat joko sisäisistä tai ulkoisista uhkista.
Etuoikeutetut käyttäjät: Tietoverkkorikolliset ottavat kohteekseen etuoikeutetut käyttäjät, koska heillä on "avaimet yrityksen linnaan". Etuoikeutetuille käyttäjille annetaan käyttöoikeudet verkon arkaluonteisiin alueisiin, ja näin ollen he tarjoavat suoran reitin verkkoon mille tahansa verkkorikolliselle, joka voi huijata heitä luovuttamaan tunnistetietonsa tai lataamaan haittaohjelmia. Eräässä raportissa todettiin, että 63 prosenttia organisaatioista on sitä mieltä, että etuoikeutetut käyttäjät muodostavat suurimman sisäisen uhan riskin.
Simuloitu tietojenkalastelusovellus roolipohjaisissa tietoturvatietoisuuden koulutusohjelmissa
Simuloitu tietojenkalastelusimulaatio on hyvä tapa kouluttaa työntekijöitä tietojenkalastelusta ja verkkouhkista. Räätälöimällä simuloidut phishing-viestit työntekijöidesi rooleihin voit simuloida samoja taktiikoita, joita verkkorikolliset käyttävät kohdistaessaan hyökkäyksiä tiettyyn ryhmään organisaatiossa. Tämä tekee phishing-simulaatiosta todellisemman ja yksilölliseen rooliin sopivamman.
Jotta roolipohjaisia phishing-simulaatioita voidaan tehdä, alustan on tuettava phishing-malleja, jotka voidaan räätälöidä roolittain. Esimerkiksi roolipohjaiset phishing-nimikkeet heijastavat roolityyppejä, joihin spear-phishing usein kohdistuu.
Esimerkkejä roolipohjaisista phishing-hyökkäyksistä
Etuoikeutetun käyttäjän kohde: Lazarus-hakkeriryhmä on tunnettu WannaCry-lunnasohjelmahyökkäyksestä vuonna 2017. Viime aikoina ryhmä on käyttänyt kohdennettuja, väärennettyihin työtarjouksiin perustuvia phishing-kampanjoita, jotka kohdistuvat etuoikeutettuihin käyttäjiin. Yksi viimeisimmistä oli kryptovaluutta-alustan järjestelmänvalvojan kohdistaminen. Järjestelmänvalvoja sai henkilökohtaisen LinkedIn-tilinsä kautta työtarjouksen varjolla tehdyn phishing-asiakirjan.
Ostovelat: Petkuttaja huijasi Facebookilta ja Googlelta yli 100 miljoonaa dollaria, kun hän kohdistui näiden kahden teknologiajätin työntekijöihin käyttämällä tietyille käyttäjärooleille suunnattuja spear-phishing-sähköpostiviestejä.
Palkkavaltuutuksen petos: phishing-kampanjat, joihin liittyy työntekijän palkkatodistusten varastaminen, ovat ihanteellinen ravintokohde taloudellisesti motivoituneille huijareille. Usein huijarit lähettävät henkilöstöhallinnon tai palkanlaskennan henkilöstölle sähköpostiviestejä, joissa pyydetään pankkitilin muuttamista. Phishing-sähköposti väärentää usein todellista työntekijää, sisältää hänen sähköpostisignaalinsa ja näyttää olevan peräisin yrityksen sisäiseltä verkkotunnukselta. Jos muutos tehdään, työntekijän palkka maksetaan huijarin pankkitilille.
Syitä räätälöidä tietoturvatietoisuuskoulutusta
Spear-phishing on rooliin keskittyneiden huijareiden suosikki, ja se on hyvin menestyksekästä, koska se on luonteeltaan kohdennettua. Symantecin raportin mukaan Spear-phishing on pääasiallinen keino 65 prosentissa verkkohyökkäyksistä. Kohdistamalla tietyt työntekijäroolit tietoverkkorikolliset voivat luoda monivaiheisia ja monimutkaisia huijauksia, jotka toimivat.
Roolipohjaiset koulutusohjelmat ja niihin liittyvät roolipohjaiset simuloidut tietojenkalastelusimulaatiot tarjoavat räätälöidyn koulutusohjelman, joka päihittää verkkorikolliset heidän omassa pelissään. Kun työntekijöille opetetaan, millaisia phishing- ja social engineering -huijaukset ovat, jotka kohdistuvat nimenomaan heidän tehtäviinsä, työntekijät saavat tietoa, jonka avulla he voivat tutkia sähköpostit ja muun viestinnän huolellisesti.