אימונים בנושא גילוי דיוג חוזרים לצבא

מרגלים בסייבר מתכננים ערכות שורש מורחבות ותוכנות זדוניות מוסתרות באופן מלאכותי כדי לגנוב סודות ולהקשיב לתקשורת המיוחסת. כדי להתקין את כלי הריגול הללו הם בדרך כלל מסתמכים על האלמנט החלש ביותר בזירת האבטחה; המשתמש. קמפיינים חינוכיים להעלאת המודעות הביטחונית יכולים להיות עזרה גדולה, אך יש דרך נכונה ודרך לא נכונה לעשות זאת.

הנפת דגלים אדומים

הוושינגטון פוסט דיווח בשבוע שעבר כי מפקד קרב צבאי לקח על עצמו להעריך את יכולתו של יחידתו לאתר הודעות דיוג. הודעת הבדיקה שלו הפנתה את המקבלים (פחות ממאה מהם) לבקר באתר התוכנית הפנסיונית שלהם לצורך איפוס סיסמא חובה. עם זאת, ההודעה מקושרת לאתר מזויף עם כתובת אתר דומה מאוד לזו האמיתית של הסוכנות, Thrift Savings Plan.

המקבלים היו חכמים; אף אחד מהם לא לחץ על הקישור המזויף. עם זאת, הם שיתפו את המייל החשוד עם "אלפי חברים ועמיתים", וגרמו לשיטפון של שיחות לתכנית החיסכון החסכונית בפועל שנמשכה שבועות ארוכים. בסופו של דבר, ראש הביטחון של תוכנית הפנסיה התחקה אחר ההודעה לתחום של הצבא, והפנטגון מצא את העבירה. על פי הפוסט, המפקד ללא שם "לא ננזף על כך שהוא פעל בכוחות עצמו, מכיוון שהכללים היו מעורפלים."

העובדה שתכנית החיסכון בחסכון חווה הפרה בפועל בשנת 2011 הוסיפה את גורם הדאגה לעובדים הפדרליים שנפגעו. גורם בהגנה אמר ל"פוסט ", " אלה ביצי קן של אנשים, החסכונות הרווחים שלהם. כשהתחלת לשמוע TSP של כל הדברים, מפעל השמועות התרוצץ. " הסוכנות ממשיכה לקבל שיחות מודאגות על סמך מבחן הדיוג.

הפוסט מדווח כי כל בדיקות התחזות עתידיות ידרשו אישור של מנהל המידע הראשי של הפנטגון. כל בדיקה שמעורבת ישות בעולם האמיתי כמו תוכנית חסכון חיסכון תדרוש אישור מראש מאותו ארגון. המנכ"ל של TSP, גרג לונג, הבהיר מאוד כי הארגון שלו לא ישתתף.

לא בסדר לחלוטין

אז איפה המפקד של הצבא הזה השתבש? פרסום בבלוג שפרסם לאחרונה על ידי PhishMe CTO, אהרון היגבי, אומר, כמעט בכל מקום. "תרגיל זה ביצע כל חטא קרדינלי של דיוג מדומה על ידי היעדר יעדים מוגדרים, שלא בוחן את ההשלכות שיכולה להיות בדוא"ל, לא מצליח לתקשר לכל הגורמים המעורבים פוטנציאליים, ואולי להתעלל בסימני מסחר / לבוש מסחרי או בחומר המוגן בזכויות יוצרים, " אמר היגבי.

"כדי להיות יעיל, התקפת דיוג מדומה צריכה לספק למקבל מידע על האופן בו ניתן להשתפר בעתיד, " אמר היגבי. "דרך קלה לעשות זאת היא ליידע את הנמענים שההתקפה הייתה אימון, ולספק אימונים מיד לאחר שהם מתקשרים עם הדוא"ל."

"לעתים קרובות אנשים מטילים ספק בערך שמספק PhishMe באומרו שהם יכולים לערוך תרגילי דיוג מדומים באופן פנימי", ציין היגבי. "אנשים עם הלך הרוח הזה צריכים לקחת את הגאף האחרון של הצבא כסיפור זהירות." הוא זיהה את PhishMe כ"אלופי המשקל הכבד הבלתי מעורער "של חינוך דיוג, והוא סיכם, " ב -90 הימים האחרונים שלחה PhishMe 1, 790, 089 מיילים. הסיבה שהדמיות הדיוג שלנו לא עולות לכותרות לאומיות היא שאנחנו יודעים מה אנחנו עושים."

הדרך הנכונה

ארגון שמתקשר עם PhishMe לצורך חינוך דיוג יכול לבחור במגוון סגנונות דוא"ל למבחנים, שאף אחד מהם אינו כרוך בהדמת צד ג 'כמו TSP. לדוגמה, הם יכולים ליצור הודעה שמציעה לעובדים ארוחת צהריים בחינם. כל מה שהם צריכים לעשות זה להיכנס לאתר להזמנת ארוחת הצהריים "באמצעות שם המשתמש והסיסמה שלך ברשת". גישה נוספת היא התקפה של חבית כפולה המשתמשת בדוא"ל אחד כדי לתמוך בתוקפו של אחר - טקטיקה המשמשת בהתקפות איום מתמשך מתמשך בעולם האמיתי.

לא משנה איזה סגנון של דואר דיוג נבחר, כל משתמש שנופל עליו יקבל משוב והדרכה מיידית, וההנהלה מקבלת סטטיסטיקות מפורטות. עם סבבי בדיקה והדרכה חוזרים ונשנים, PhishMe כיוונה להפחית את הסיכון לחדירת רשת באמצעות דיוג על ידי "עד 80 אחוז".

מרבית הארגונים מוגנים היטב מפני התקפות רשת המגיעות דרך האינטרנט. הדרך הקלה ביותר לחדור לאבטחה היא להטעות עובד אמור. הגנת הדיוג המובנית בסוויטות אבטחה מודרניות פועלת היטב נגד הונאות בסגנון שידור, אך התקפות "דיוג חנית" ממוקדות הן סיפור אחר.

אם אתה אחראי על הביטחון של הארגון שלך, אתה באמת צריך לחנך את אותם עובדים כדי שלא יטעהו. יתכן שתוכלו להתמודד עם ההדרכה בעצמכם, אך אם לא, מאמני צד ג’כמו PhishMe עומדים מוכנים לעזור.