Johdanto: Tietojenkalastelu työpaikalla
Tämä artikkeli selventää mitä Phishing on ja miten se voidaan estää asianmukaisilla työkaluilla ja koulutuksella. Teksti on litteroitu John Sheddin ja David McHalen haastattelusta HailBytes.
Mikä on tietojenkalastelu?
Tietojenkalastelu on eräänlaista sosiaalista manipulointia, tyypillisesti sähköpostitse, tekstiviestinä tai puhelimitse, jossa rikolliset yrittävät saada jonkinlaisen tiedot joita he voivat käyttää asioihin, joihin heidän ei pitäisi päästä käsiksi.
Ihmisille, jotka eivät olleet tietoisia, on olemassa pari erityyppistä tietojenkalasteluhyökkäystä.
Mitä eroa on yleisellä tietojenkalastelulla ja spearphishingillä?
Yleinen tietojenkalastelu on tyypillisesti samassa muodossa olevien sähköpostien supermassapostitusta, jolla yritetään saada joku napsauttamaan sitä ilman paljon vaivaa.
Yleinen tietojenkalastelu on todellakin numeropeliä, kun taas phishing-rikolliset lähtevät etsimään kohdetta.
Tietojenkalastelu vaatii hieman enemmän valmistautumista ja onnistumisprosentti on yleensä paljon korkeampi.
Seurauksena on, että verkkohuijausta käyttävät ihmiset tähtäävät yleensä arvokkaampiin kohteisiin. Joitakin esimerkkejä ovat kirjanpitäjät tai talousjohtajat, joilla on kyky todella antaa heille jotain arvokasta.
Johtopäätös: Yleinen tietojenkalastelu on melko itsestään selvää termillä yleinen, ja speaphishing on tarkempaa yksittäisen kohteen kanssa.
Kuinka tunnistat tietojenkalasteluhyökkäyksen?
Yleensä näet yleisen tietojenkalastelun yhteydessä verkkotunnuksen nimen, joka ei täsmää, tai lähettäjän nimen, jota et tunne. Toinen huomioitava asia on huono oikeinkirjoitus tai huono kielioppi.
Saatat nähdä liitteitä, joissa ei ole paljon järkeä, tai liitteitä, jotka ovat tiedostotyyppejä, joita et normaalisti käyttäisi.
He saattavat pyytää sinua tekemään jotain, joka on yrityksesi normaalin prosessin ulkopuolella.
Mitkä ovat hyviä käytäntöjä tietojenkalasteluhyökkäyksen estämiseksi?
On tärkeää, että on hyvää turvallisuuspolitiikkaa paikallaan.
Sinun tulisi ymmärtää prosesseja, jotka ovat yleisiä korkean riskin toimintoja, kuten palkanlaskennan tai tilisiirtojen lähettäminen. Nämä ovat joitain yleisimmistä vektoreista, joita näemme rikollisille, jotka periaatteessa käyttävät hyväkseen tuota luottamusta ja vahingoittavat sitten yritystä.
Sinun pitäisi ymmärtää, että jos jokin on epäilyttävää, heidän pitäisi ilmoittaa siitä ja ottaa käyttöön jonkinlainen prosessi, jotta käyttäjien on helppo pyytää apua.
Sinun tulisi tietää perusasiat, jotka on tarkistettava jokaisessa sähköpostissa, koska monet käyttäjät eivät tiedä mitä etsiä tai he eivät yksinkertaisesti tiedä.
Kuinka Hailbytes auttaa tietojenkalastelutietoisuudessa ja -koulutuksessa?
Tarjoamme phishing-simulaatioita, joissa lähetämme yrityksille tietojenkalasteluviestejä, joita käyttäjät napsauttavat, ja saamme käsityksen siitä, miltä heidän tietoturva-asetelmansa näyttää. Viime kädessä voimme selvittää, mitkä käyttäjät ovat haavoittuvia heidän organisaatiossaan.
Työkalumme avulla he voivat välittää sähköpostit ja saada raportin, jotta he ymmärtävät, mitä sähköpostin riskitekijät ovat, ja sitten sisäinen turvallisuustiimi saamme myös kyseisen raportin.
Meillä on myös perus- ja edistyksellisiä tietoturvakoulutuksia, jotka osoittavat käyttäjille paljon yleisiä käytettyjä taktiikoita ja monia yleisiä asioita, joihin heidän on kiinnitettävä huomiota, kun he epäilevät, että sähköposti saattaa sisältää tietojenkalasteluhyökkäyksen.
Päätelmät:
- Tietojenkalastelu on sosiaalisen manipuloinnin muoto.
- Yleinen tietojenkalastelu on laajalle levinnyt hyökkäysmuoto.
- Spearphishing sisältää tietojenkalastelukohteen tutkimisen, ja se on huijarille tehokkaampaa.
- Ottaa a turvallisuuspolitiikka paikalla on ensimmäinen askel lieventämiseen tietoverkkojen uhkia.
- Tietojenkalastelu voidaan estää koulutuksella ja phishing-simulaattoreiden avulla.
