Cybersäkerhet är den senaste trenden. Vi har alla läst om TalkTalk-, Dropbox- och Yahoo-incidenterna, och det betyder att de bara kommer att öka under den närmaste framtiden.
Som människor är vi inställda på att göra misstag, och därför är det nödvändigt att utbilda din personal om vad de ska se upp för. Du kan skydda din organisation genom att göra din personal medveten om att undvika att klicka på misstänkta e-postlänkar, att sluta skriva ner sina lösenord på en post-it eller att inte ansluta sig till offentliga Wi-Fi-nätverk när de arbetar på distans.
I den här bloggserien går vi tillbaka till grunderna, så låt oss ta en titt på vilka typer av phishing-hot som finns där ute. För att skydda dig mot en potentiell phishingattack bör du dra nytta av tekniska hinder, men du bör också använda dig av personalens medvetenhet. Med hjälp av personalens medvetenhet kan din personal känna igen de vanliga taktikerna som cyberbrottslingar använder i ett phishingmejl.
- Phishing
Spamfiltret på dina personliga eller arbetsrelaterade e-postkonton tar vanligtvis upp skräppost, men ibland kan den ta sig in i din huvudinkorg. Det är då du måste kunna upptäcka ett phishing-e-postmeddelande. Det faktum att ditt skräppostfilter hjälper dig då och då och flyttar skräppost från ditt synfält är både en hjälp och ett hinder. Filtret hjälper dig eftersom du inte frestas att klicka på det direkt (bort från synen, bort från sinnet), men det hindrar dig från att se den taktik som hackare använder sig av och kan därmed hindra dig från att märka skillnaden mellan ett äkta e-postmeddelande och ett phishingmeddelande.
En person kontaktar dig till exempel för att säga att du har identifierats som den sista levande ättlingen till en förmögen finansman och att du har rätt till deras förmögenhet. Det sunda förnuftet talar om för dig att detta är praktiskt taget omöjligt. Inte bara det, utan du skulle vilja tro att du skulle få ett juridiskt dokument som bekräftar en sådan nyhet i stället för ett e-postmeddelande från ett Hotmail-konto.
Om du kan se dessa varningssignaler är det bra. Generella nätfiskemejl är utformade för att lura dig, men falska löften eller bristande grammatik i mejlet bör varna dig för faran. Men - cyberbrottslingar blir allt smartare.
Ett test av utpressningstjänster är en lösning för att testa hur dina anställda beter sig mot nätfiskemejl. En simulerad phishingprogramlösning kan ge ledningen rapporter om hur de anställda reagerar på sådana e-postmeddelanden. Rapporterna kommer att beskriva vilka anställda som behöver genomgå en phishing-utbildningsmodul.
- Spjutfiske
Detta är en extremt sofistikerad metod för nätfiske. Cyberbrottslingar som skickar spear phishing-mejl har gjort sin hemläxa; de har skräddarsytt innehållet i mejlet speciellt för dig. För att åstadkomma detta har de övervakat dig och dina kollegor på sociala medier och använder slutligen denna information för att skapa det perfekta e-postmeddelandet för dig, som används för att vinna ditt förtroende.
E-postmeddelandet du får ser ut att komma från en person eller ett företag. Om du lägger till den personliga information som de har samlat in i denna blandning är det ett recept för en katastrof. Jämfört med ett vanligt phishing-e-postmeddelande är ett spear phishing-e-postmeddelande personligt riktat till dig och innehåller information som tilltalar dig.
Tänk om du fick ett e-postmeddelande undertecknat av din IT-support som talar om att ditt e-postkonto börjar få slut på utrymme? Den här typen av e-postmeddelanden verkar lite mer trovärdig. E-postsignaturer kan se officiella ut: det är bra, men några saker som du bör vara försiktig med i e-postmeddelandet är stavning och grammatik, vem e-postmeddelandet är riktat till (refererar de till dig med namn eller bara "användare"?) och eventuella länkar som tillhandahålls.
- Whaling
Denna form av phishing-attack riktar sig direkt till högre tjänstemän och chefer, men målet är fortfarande detsamma: att få tag på information.
Cyberkriminella maskerar sig själva som en pålitlig eller trovärdig källa, vilket liknar spear phishing. En whaling-attack är dock utformad för att lura högre tjänstemän, eftersom de sannolikt har tillgång till viktig finansiell information om företaget och kanske till och med har möjlighet att godkänna finansiella transaktioner eller betalningar.
Säg till exempel att du är Senior Finance Manager och att du får ett e-postmeddelande från din kollega om några fakturor som kräver godkännande för omedelbar betalning. De har också bifogat en zip-mapp till e-postmeddelandet. Du får automatiskt panik och din hjärna går på högvarv och tänker: " Har jag glömt att godkänna dessa? Jag är säker på att jag inte gjorde det - jag behandlade alla fakturor i måndags". Här skulle din automatiska reaktion vara att klicka på den bifogade zip-mappen och kontrollera fakturorna för att hjälpa ditt minne på traven.
Det är här du måste STOPPA. Istället för att klicka på bilagan ska du kontrollera dina egna register för att se om betalningen har godkänts. Spara några extra sekunder (och ditt företags rykte) genom att kontrollera dina register innan du öppnar nedladdningsbart innehåll från ett e-postmeddelande.
Om du laddade ner denna zip-mapp innehåller den troligen en misstänkt fil som kan exekvera farlig skadlig kod på din dator eller bärbara dator. Detta program kan till och med få tillgång till ditt nätverk och orsaka potentiellt irreparabel skada.
Slutsats
Phishing-attacker kan helt enkelt förstöra ett företag genom att klicka på en knapp. Det räcker med att en person klickar på en länk eller laddar ner en bilaga för att företagets rykte och tillgångar ska vara i fara. För att bekämpa hotet från nätfiske måste företagen investera i att utbilda sin personal i vad de ska se upp för.
Här på MetaCompliance tillhandahåller vi programvara för simulering av nätfiske och eLearning-innehåll som i slutändan kommer att öka organisationens känslighet för bedrägliga e-postmeddelanden.
Visste du att det bara tar en minut och tjugo sekunder för någon att öppna ett phishing-e-postmeddelande? Ta dig istället tid att tänka efter innan du klickar.