Video: Grootse militaire oefening in NL: 'Dit is uniek’' (November 2024)
Cyberspionnen bedenken uitgebreide rootkits en handig verborgen malware om geheimen te stelen en te luisteren naar geprivilegieerde communicatie. Om deze spionagetools geïnstalleerd te krijgen, vertrouwen ze meestal op het zwakste element in de beveiligingsarena; de gebruiker. Educatieve campagnes om het veiligheidsbewustzijn te vergroten kunnen een grote hulp zijn, maar er is een goede en een verkeerde manier om dit aan te pakken.
Rode vlaggen opheffen
De Washington Post meldde vorige week dat een legercommandant het op zich nam om het vermogen van zijn eenheid om phishing-berichten te detecteren, te evalueren. Zijn testbericht verwees ontvangers (minder dan 100 van hen) naar de website van hun pensioenplan voor een verplicht wachtwoord opnieuw in te stellen. Het bericht is echter gekoppeld aan een nep-site met een URL die erg lijkt op de echte voor het bureau, Thrift Savings Plan.
De ontvangers waren slim; geen enkele klikte op de neplink. Ze deelden de verdachte e-mail echter met 'duizenden vrienden en collega's', waardoor er een stroom van telefoontjes naar het daadwerkelijke Thrift Savings Plan plaatsvond dat weken duurde. Uiteindelijk volgde het hoofd van de pensioenregeling de boodschap op naar een Legerdomein, en het Pentagon spoorde de dader op. Volgens de post werd de naamloze commandant "niet berispt omdat hij alleen handelde, omdat de regels vaag waren."
Het feit dat Thrift Savings Plan in 2011 een daadwerkelijke inbreuk heeft doorgemaakt, droeg bij aan de zorgfactor voor getroffen federale werknemers. Een defensieambtenaar vertelde de Post: "Dit zijn de nesteieren van mensen, hun zuurverdiende spaargeld. Toen je TSP van alle dingen begon te horen, liep de geruchtenmolen de lucht in." Het bureau blijft bezorgd over de phishing-test.
De post meldt dat toekomstige phishingtests goedkeuring van de Chief Information Officer van het Pentagon vereisen. Voor elke test met een praktijkorganisatie zoals het Thrift Savings Plan is vooraf toestemming van die organisatie vereist. TSP's uitvoerend directeur Greg Long maakte heel duidelijk dat zijn organisatie niet zou deelnemen.
Helemaal verkeerd
Dus waar ging deze legeraanvoerder mis? Een recente blogpost van PhishMe CTO Aaron Higbee zegt, nou ja, bijna overal. "Deze oefening pleegde elke hoofdzonde van gesimuleerde phishing door het missen van gedefinieerde doelen, het niet in overweging nemen van de gevolgen die de e-mail zou kunnen hebben, het niet communiceren met alle potentieel betrokken partijen, en misschien misbruik van handelsmerken / handelskleding of auteursrechtelijk beschermd materiaal, " zei Higbee.
"Om effectief te zijn, moet een gesimuleerde phishing-aanval de ontvanger informatie geven over hoe deze in de toekomst kan worden verbeterd", aldus Higbee. "Een eenvoudige manier om dit te doen is om ontvangers te laten weten dat de aanval een trainingsoefening was en training te geven onmiddellijk nadat ze interactie hadden gehad met de e-mail."
"Mensen betwijfelen vaak de waarde die PhishMe biedt door te zeggen dat ze in eigen huis gesimuleerde phishing-oefeningen kunnen uitvoeren, " merkte Higbee op. "Degenen met die mentaliteit moeten de recente blunder van het leger als een waarschuwend verhaal beschouwen." PhishMe identificerend als "de onbetwiste zwaargewicht kampioenen" van phishing-opleiding, concludeerde hij: "In de afgelopen 90 dagen heeft PhishMe 1.790.089 e-mails verzonden. De reden dat onze phishing-simulaties geen nationale krantenkoppen halen, is dat we weten wat we doen."
De goede weg
Een organisatie die een contract sluit met PhishMe voor phishing-educatie, kan kiezen uit verschillende test-e-mailstijlen, waarbij geen van deze een simulatie van een derde partij zoals TSP inhoudt. Ze kunnen bijvoorbeeld een bericht genereren dat werknemers een gratis lunch biedt. Het enige dat ze hoeven te doen is inloggen op de lunchbestellingswebsite "met uw netwerkgebruikersnaam en wachtwoord." Een andere benadering is een dubbele vataanval die de ene e-mail gebruikt om de geldigheid van een andere te ondersteunen - een tactiek die wordt gebruikt in real-world geavanceerde aanhoudende bedreigingsaanvallen.
Welke stijl van phishing-mail ook wordt gekozen, elke gebruiker die ervoor valt, krijgt onmiddellijk feedback en training en het management krijgt gedetailleerde statistieken. Met herhaalde test- en trainingsrondes wilde PhishMe het risico op netwerkpenetratie via phishing met "tot 80 procent" verminderen.
De meeste organisaties zijn goed beschermd tegen netwerkaanvallen die via internet binnenkomen. De eenvoudigste manier om de beveiliging binnen te dringen is om een goedgelovige werknemer voor de gek te houden. De phishing-beveiliging ingebouwd in moderne beveiligingssuites werkt goed tegen oplichting in uitzendstijl, maar gerichte "spear-phishing" -aanvallen zijn een ander verhaal.
Als u verantwoordelijk bent voor de beveiliging van uw organisatie, moet u die werknemers echt opleiden zodat ze niet voor de gek worden gehouden. Misschien kunt u de training zelf afhandelen, maar als dat niet het geval is, staan externe trainers zoals PhishMe klaar om te helpen.
