Хотя цель фишинга остается постоянной с течением времени, характер фишинговых атак постоянно меняется.
Несмотря на то, что фишинг по-прежнему является одним из старейших типов кибератак (с 1980-х годов), он по-прежнему является одним из наиболее значительных киберугроз на сегодняшний день. Недавняя глобальная атака вымогателей WannaCry, которая заразила более 200 000 компьютеров по крайней мере в 100 странах, началась с успешной фишинг-атаки на электронную почту. WannaCry - это лишь один из бесчисленных примеров широко распространенного серьезного ущерба, который киберпреступники могут нанести бизнесу, используя замаскированную электронную почту в качестве оружия. Фишинговые атаки нарастают и становятся все более изощренными с течением времени.
Таким образом, сейчас настало время для компаний всех форм и размеров рассмотреть проблему фишинга и какие шаги могут быть предприняты, чтобы минимизировать риск этой смертельной киберугрозы. В частности, тренировка и обучение сотрудников является жизненно важной тактикой, которую можно использовать для борьбы с угрозой фишинга, чтобы компании не становились жертвами этого проверенного временем способа атак.
Что такое фишинг
Как правило, фишинг включает в себя отправку мошеннических сообщений электронной почты, которые, как представляется, обманчиво происходят из авторитетного источника. Целью фишинговых атак является либо кража конфиденциальных личных данных, таких как данные кредитной карты или учетные данные для входа, либо установка вредоносного программного обеспечения на компьютер или системы организации. Многие фишинговые электронные письма включают в себя вымогателей - вредоносную форму вредоносного ПО, которая может заблокировать устройство путем шифрования его файлов, которые затем становятся недоступными для жертвы, пока выкуп не будет выплачен.
Хотя цель фишинга остается постоянной с течением времени, характер фишинговых атак постоянно меняется. Во-первых, киберпреступники вышли за пределы электронной почты и теперь проводят фишинговые атаки с помощью текстовых сообщений и платформ социальных сетей. Кроме того, сегодняшние целенаправленные фишинговые атаки также сочетаются с методами социальной инженерии, когда злоумышленники исследуют свою предполагаемую цель и включают в свои мошеннические сообщения подробную личную информацию, касающуюся предполагаемой жертвы, что значительно повышает вероятность успеха атаки. Таким образом, сегодня компаниям гораздо сложнее защищаться от фишинг-атак, чем в прошлые годы.
Кроме того, финансовое влияние, которое успешная фишинговая атака оказывает на компанию, является значительным. Согласно отчету ФБР об интернет-преступности, только в 2017 году компрометация деловой электронной почты, как формы целевого фишинга, предназначенного для обмана компаний, обойдется в среднем в 43 000 долларов на компанию. В мае прошлого года ФБР объявило обновленные данные, в соответствии с которым фишинг обошелся предприятиям более чем в 12 миллиардов долларов только за последние пять лет.
Обучение и тренинг сотрудников
Обучение и тренинг сотрудников является важным инструментом, который компании должны использовать для эффективной защиты от сложных фишинговых атак. При надлежащем образовании и обучении сотрудники компании могут служить надежной первой и последней линией защиты от фишинговых атак.
Компании должны включать целевое просвещение и обучение в области фишинга, как неотъемлемую часть процесса адаптации в компании каждого сотрудника. Кроме того, компании также должны регулярно проходить фишинг-тренинги для всех членов своей организации. Однако важно отметить, что компании не могут рассчитывать на простое ежегодное обучение для того, чтобы провести день, когда речь идет об эффективной борьбе с угрозой фишинговых атак. Скорее, чтобы полностью минимизировать угрозу, обучение должно быть многогранным, постоянным и последовательным.
Первый шаг в обучении и тренировки сотрудников заключается в том, чтобы убедительно продемонстрировать, насколько значительным является борьба с фишингом для долгосрочного успеха организации. Информирование сотрудников об опасностях и последствиях фишинг-атак - одна из лучших мер защиты, которую могут использовать компании для защиты от фишинг-атак. Кроме того, сотрудники должны быть ознакомлены с текущими методами и техниками фишинга, которые используются хакерами для того, чтобы обмануть сотрудников и лишить их доступа к сети и системам своей организации. Такой подход гарантирует, что сотрудники остаются в курсе новых и возникающих угроз, а также сохраняет важные практики и привычки в области безопасности данных в памяти работников. Кроме того, компании также должны предоставлять своим сотрудникам лучшие практики для реализации, чтобы избежать ошибок потенциальных фишинговых сценариев, таких как:
Никогда не доверять электронной почте, основываясь только на предполагаемом источнике сообщения;
Никогда не полагаться исключительно на изображения или логотипы в качестве меры подлинности электронной почты;
С подозрением относиться к электронным письмам с общим приветствием и неправильным стилем грамматики;
Осознавать тот факт, что соблазнительные или агрессивные строки темы электронной почты обычно используются, чтобы побудить людей нажимать на ссылку или предпринимать другие действия с высокой степенью риска;
Признавать, что электронные письма, которые угрожают или требуют «немедленных действий», часто используются, чтобы напугать и запутать цели, чтобы сотрубники действовали поспешно, прежде чем они потратят время, чтобы проявить надлежащую осторожность;
Никогда не нажимать на ссылку, предварительно не проверив место назначения ссылки, наведя курсор мыши на URL, чтобы определить место назначения ссылки; а также
Никогда не передавать конфиденциальную личную информацию или информацию о компании по электронной почте.
Наконец, компании также должны научить всех сотрудников тому, как выявлять и распознавать попытки фишинга . Активное обучение - в отличие от пассивного обучения, такого как видеоуроки, в индивидуальных условиях идеально подходит для максимизации воздействия режимов фишинга. Очень эффективный метод, который компании могут реализовать, заключается в демонстрации того, как может выглядеть реальная фишинговая атака в режиме реального времени, и как эта попытка атаки правильно обрабатывается и нейтрализуется.
Кроме того, обучение сотрудников в реальных условиях, не связанных с аудиторией, с помощью имитированных фишинговых атак также является чрезвычайно эффективным учебным и образовательным инструментом, который помогает сотрудникам сформировать свое собственное понимание угрозы, одновременно усиливая антифишинговую кампанию компании по обучению и тренировке персонала.
Например, компания может проверить сотрудников, отправив им имитированные фишинговые письма, чтобы узнать, способны ли они обнаружить вредоносную природу сообщения. Если сотрудник отвечает на электронное письмо, компания может использовать это как возможность для обучения сотрудника и дальнейшего усиления важности надлежащих мер безопасности и практики.
Кроме того, результаты симулированных фишинговых упражнений, таких как методы атаки, к которым работники наиболее чувствительны, могут быть использованы для того, чтобы сосредоточить усилия организации в области фишинг-образования и обучения, помогая укрепить любые слабые места, которые сотрудники могут продемонстрировать при выявлении и предотвращении фишинга.
Вместо заключения
Согласно отчету Symantec об угрозах безопасности в Интернете за 2018 год, примерно 71,4% целевых кибератак были связаны с использованием фишинговых сообщений электронной почты. Кроме того, согласно недавнему отчету Verizon Data Breach Investigations Report, почти два из трех экземпляров вредоносного ПО были установлены с помощью вредоносных вложений электронной почты, содержащихся в фишинговых письмах. Компании могут ожидать, что они продолжат сталкиваться с подобной, устойчивой, если не увеличивающейся тенденцией фишинговых атак, специально нацеленных на бизнес-объекты в обозримом будущем. Таким образом, сейчас настало время для компаний увеличить масштабы фишинг-образования и обучения своих сотрудников, чтобы эффективно защититься от большого количества сложных фишинг-атак, тенденция которые в ближайшие годы не имеет признаков замедления.
Благодаря эффективному обучению и тренировке работников использованию эффективных методов защиты данных от фишинга, компании могут предоставить своим сотрудникам наилучшие возможности для выявления, реагирования и пресечения попыток фишинговых схем, когда, неизбежно, они попадают в почтовый ящик работника.
Подготовлено порталом Allinsurance.kz