Фишинговые атаки Почему мы все еще проигрываем битву с поддельными электронными письмами

Люди имеют дело с сотнями электронных писем в день, а работодатели не делают достаточно, чтобы помочь, а это значит, что угроза фальшивых сообщений сохранится.

Дэнни Палмер | 19 августа 2019.- 08:51 GMT (01:51 PDT) | Тема: Безопасность

Фишинг по-прежнему является наиболее распространенным способом проникновения злоумышленников в сети. Будь то мошенники, ищущие финансовую выгоду или поддерживаемые государством хакерские операции, участвующие в кибершпионаже, он почти всегда начинается с сообщения, предназначенного для того, чтобы кто-то щелкнул ссылку или выдал конфиденциальную информацию. Всего одного человека, ставшего жертвой, может быть достаточно, чтобы предоставить хакерам точку опоры, в которой они нуждаются, чтобы получить доступ ко всей корпоративной сети и конфиденциальной информации, хранящейся внутри.

Особая функция

Эта электронная книга, основанная на новейшей специальной функции ZDNet / TechRepublic, предлагает подробный обзор того, как создавать политики управления рисками для защиты ваших критически важных цифровых активов.

Но обвинение жертвы редко решает что-либо, особенно с учетом того, что фишинговые электронные письма могут быть так сильно приспособлены к жертвам, что означает, что почти невозможно отличить реальное сообщение от поддельного, созданного в ходе атаки.

«Злоумышленнику довольно легко получить адрес электронной почты и притвориться кем-то», — говорит Аманда Виддоусон, чемпион по кибербезопасности в Королевском институте эргономики. Человеческий фактор и способность человеческого фактора приводят к Thales Cyber Консалтинг.

Возьмите компромиссные кампании деловой электронной почты: один из наиболее распространенных методов атаки — отправка электронных писем сотрудникам, утверждающим, что они являются финансовым директором (CFO). Большое количество организаций будет предоставлять информацию о своей доске на своих сайтах, предоставляя злоумышленникам имя финансового директора.

Также относительно просто отследить, как выглядят адреса электронной почты компании, не только позволяя злоумышленникам убедительно подделать имя и адрес финансового директора, но и использовать эту информацию для нацеливания на сотрудников внутри компании после отслеживания их в общедоступных сталкивающиеся сайты, такие как LinkedIn.

После этого очень просто создать убедительно выглядящее электронное письмо с просьбой об обмене данными или переводом денег. Во многих случаях злоумышленник создает ложное чувство срочности и секретности, чтобы заставить жертву делать то, что он хочет.

«Во многих из этих электронных писем происходит мощная игра. Есть кто-то, выдававший себя за авторитетную должность, эффективно говоря, не задавайте вопросов, просто делайте это, что эффективно», — говорит Тим ​​Садлер, генеральный директор электронной почты. охранник Тессиан.

«Когда люди отправляют электронные письма о фишинге, они берут на себя личность или личность доверенного лица. Эта персонализация делает его очень эффективным с точки зрения достижения цели в соответствии с запросом, оплаты счета, выполнения того, что им нужно делай ", добавляет он.

Если вы работаете в финансовом отделе среднего звена и получаете от финансового директора электронное письмо с указанием сделать что-то, вы, вероятно, собираетесь это сделать.

Даже если сотрудник хочет подтвердить запрос у финансового директора, в крупных организациях будет сложно просто зайти в их офис и задать вопрос — в некоторых случаях финансовый директор может даже не находиться на одном континенте.

Очень важно, чтобы важные запросы делались по электронной почте — злоумышленники знают об этом, поэтому активно пытаются воспользоваться этим, поскольку баланс между злоумышленником и жертвой активно играет на их пользу: киберпреступник создает кампанию фишинг-фишинга сделал работу, чтобы точно знать, кто является жертвой. Жертва не может сидеть и тщательно исследовать, действительно ли электронное письмо получено от того, от кого оно заявляет.

«У человека, получающего электронное письмо, очень мало информации о том, от кого они его получают, и о том, кем они себя называют. Это немного асимметрично: просить человека сделать сложный труд, а затем облегчить ему жизнь». говорит Джеймс Хэтч, директор кибер-сервисов в BAE Systems.

Это поведение не ограничивается электронной почтой; Бывают случаи, когда банки, коммунальные службы, телекоммуникации и другие поставщики услуг звонят клиентам из ниоткуда, а затем просят клиента предоставить свои личные данные безопасности, чтобы подтвердить, что это они, но клиент не может определить, является ли вызов обман или нет.

«Слишком легко установить ложное доверие, поэтому мы должны быть более уверены, что когда вы получаете сообщение от своего банка, вы знаете, что это ваш банк — банк должен доказывать вам себя, а не просить вас доказать им, «говорит хэтч.

«Точно так же ваш работодатель должен доказать, кто они для вас, а также попросить вас ввести свой пароль, чтобы доказать, кто вы есть, десять раз в день. Такое двустороннее доверие будет иметь большое значение и усложнит ложное доверие». ," он добавляет.

Несмотря на отсутствие двустороннего доверия, электронная почта остается ключевым способом ведения бизнеса в Интернете, и ожидается, что сотрудники будут отвечать на тысячи сообщений в неделю. В этом контексте нетрудно понять, как несколько вредоносных фишинговых сообщений могут проскальзывать через сеть и рассматриваться как любое другое электронное письмо, что может иметь разрушительные последствия как для жертвы, так и для их компании.

Тем не менее, организации по-прежнему ожидают, что их общая рабочая сила будет последней линией защиты от фишинговых атак, хотя по большей части они не будут проходить большую подготовку по безопасности вне годовой программы информирования — часто используя чрезмерно упрощенные примеры фишинговых атак.

«Мы должны помнить, что не каждый сотрудник был нанят в качестве специалиста по безопасности — безопасность не в описании каждого сотрудника», — говорит Садлер.

Так что обидеть кого-то, кто влюбляется в фишинговую электронную почту, не ответ — особенно, когда приложение электронной почты не определило сообщение как угрозу.

«В конечном счете, люди просто пытаются выполнять свою работу, и инциденты в кибербезопасности вызваны непреднамеренно — в большинстве случаев люди не являются злонамеренными», — говорит Виддоусон.

«Организации должны разговаривать со своими сотрудниками, понимать их работу и то, что им нужно делать, и следить за тем, чтобы политики безопасности были сбалансированы с этим и позволяли им выполнять свою работу разумно, но безопасно и надежно», — добавляет она.

Хотя обучение проходит очень хорошо и хорошо, единственный способ, которым проблема фишинговых атак может быть решена навсегда, — это если политики электронной почты и кибербезопасности построены на основе потребностей пользователей, а провайдеры безопасности могут создавать программное обеспечение, которое автоматически обнаруживает подозрительные электронные письма.

Это сложно, потому что злоумышленники постоянно совершенствуют свою тактику, но некоторые из самых основных фишинговых атак все еще могут обходить защиту, указывая на то, что это технология, которую нужно улучшить, а не обвинять людей.

«Наш основной подход на данный момент заключается в том, чтобы сказать людям не поддаваться на это — что явно не работает. Именно здесь мы можем изменить игровое поле, вместо того, чтобы дать людям трудное время стать жертвой», — говорит Хэтч.

Фишинговые атаки Почему мы все еще проигрываем битву с поддельными электронными письмами

Читайте также: