אל תחבל באבטחה שלך, לאמן את המשתמשים שלך

אני חושב שהפעם הראשונה שראיתי דוא"ל התחזות הייתה חזרה בשנת 2000 בזמן שעבדתי על פרויקט בדיקות עם אוליבר ריסט, שהוא כיום עורך העסקים של PCMag. בוקר אחד קיבלנו שנינו מיילים עם שורת הנושא "אני אוהב אותך", שהיה גם גוף המייל והיה קובץ מצורף. שנינו ידענו באופן מיידי שהדוא"ל חייב להיות מזויף כיוון שעורכי המגזינים ידענו שאיש לא אוהב אותנו. לא לחצנו על הקובץ המצורף. למעשה, פעלנו כחומות אש אנושיות. זיהינו דוא"ל מזויף שנראה לעין, ומחקנו אותו במקום לאפשר לתוכנו להתפשט למחשבים שלנו ולשאר הרשת.

כבר אז התקפות כמו אלה נקראו "הנדסה חברתית" על ידי מערך ההאקרים. כיום דוא"ל התחזות הוא ככל הנראה הגרסה הידועה ביותר של ניצול מסוג זה. הם מכוונים בעיקר לנתק אישורי אבטחה, אך הם גם מסוגלים לספק סוגים אחרים של תוכנות זדוניות, בעיקר תוכנות רנסומיס. אבל ראוי לציין שישנם סוגים אחרים של התקפות הנדסיות חברתיות מלבד התחזות, כולל כאלה שההתקפה היא פיזית ולא דיגיטלית לחלוטין.

בני אדם: עדיין וקטור התקפה מוביל

הסיבה להודעות דוא"ל של דיוג כה נרחב היא מכיוון שהן נפוצות כל כך. נכון לעכשיו, יהיה זה הוגן לומר שכל מי שיש לו חשבון דוא"ל יקבל דוא"ל דיוג בשלב מסוים. אימייל מתיימר לעיתים קרובות להיות מהבנק שלך, מחברת כרטיסי האשראי שלך או מעסק אחר שאתה תדיר. אבל דוא"ל דיוג יכול גם להוות איום על הארגון שלך כאשר התוקפים מנסים להשתמש בעובדים שלך נגדך. גרסה מוקדמת נוספת למתקפה זו הגיעה במהלך תור הזהב של הפקס כאשר התוקפים פשוט היו פקסים חשבונית עבור שירותים שמעולם לא הועברו לחברות גדולות, בתקווה שמנהלים עסוקים פשוט יגישו אותם לתשלום.

דיוג יעיל באופן מפתיע. על פי מחקר של משרד עורכי הדין BakerHostetler, שבדק בשנה שעברה 560 הפרות נתונים, הדיוג הוא הגורם המוביל לאירועי אבטחת מידע כיום.

לרוע המזל, הטכנולוגיה לא הספיקה להתקפות דיוג. אמנם ישנם מספר התקני אבטחה וחבילות תוכנה שנועדו לסנן הודעות דוא"ל זדוניות, אבל הרעים המייצרים דוא"ל דיוג עובדים קשה כדי לוודא שההתקפות שלהם מחליקות דרך הסדקים. מחקר שערך סיירן מראה כי לסריקת דואר אלקטרוני שיעור הכישלונות של 10.5 אחוזים במציאת דוא"ל זדוני. אפילו בעסק קטן עד בינוני (SMB), שיכול להוסיף הרבה אימיילים, וכל אחד מהם המכיל התקפה הנדסית חברתית יכול להוות איום על הארגון שלך. ולא איום כללי כפי שקורה ברוב התוכנות הזדוניות שהצליחו להתגנב באמצעי ההגנה של נקודות הקצה שלך, אלא מהסוג המרושע יותר שממוקד ספציפית לנתונים והמשאבים הדיגיטליים החשובים ביותר שלך.

הוזעקתי לדיווח סיירן במהלך שיחה עם סטי זיכרמן, מייסד ומנכ"ל KnowBe4, חברה שיכולה לעזור לאנשי מקצוע בתחום משאבי האנוש ללמד מודעות ביטחונית. היה זה Sjouwerman שהעלתה את המונח "חומת אש אנושית" וששוחחה גם על "פריצה אנושית". ההצעה שלו היא שארגונים יכולים למנוע או להפחית את האפקטיביות של התקפות הנדסה חברתית בעזרת הכשרה עקבית שנעשית באופן שמשתמש גם בצוות שלך בפתרון הבעיה.

כמובן שלארגונים רבים מתקיימים אימוני מודעות בנושא אבטחה. בטח הייתם בכמה מהפגישות בהן קפה ישן משודך עם סופגניות מעופשות בזמן שקבלן שנשכר על ידי HR מקדיש 15 דקות לבשר לכם לא ליפול להודעות דיוג - מבלי לומר לכם באמת מה הם או להסביר מה לעשות אם אתה חושב שמצאת אחת. כן, המפגשים האלה.

מה שציירמן הציע לעבוד טוב יותר הוא ליצור סביבת אימונים אינטראקטיבית בה יש לך גישה לדוא"ל התחזות בפועל, שם תוכל לבחון אותם. אולי יש מאמץ קבוצתי בו כולם מנסים לראות את הגורמים המצביעים על דוא"ל דיוג, כגון איות לקוי, כתובות שכמעט נראות אמיתיות, או מבקשים שבבדיקה לא הגיוניים (כמו לבקש העברה מיידית של כספי תאגיד למקבל לא ידוע).

הגנה נגד הנדסה חברתית

אבל זיכרמן ציין כי יש יותר מסוג הנדסה חברתית אחת. הוא מציע מערך כלים בחינם באתר KnowBe4 בו חברות יכולות להשתמש בכדי לעזור לעובדיהן ללמוד. הוא גם הציע את תשעת הצעדים הבאים שחברות יכולות לנקוט כדי להילחם בהתקפות של הנדסה חברתית.

• צור חומת אש אנושית על ידי הכשרת הצוות שלך להכיר בהתקפות הנדסיות חברתיות כשהם רואים אותם.
• ערכו בדיקות הנדסיות חברתיות תכופות וסימולציות כדי להשאיר את עובדיכם על קצות רגליהם.
• ערוך בדיקת אבטחת דיוג; ל- Knowbe4 יש חינם.
• היזהר אחר הונאת מנכ"ל. מדובר בהתקפות בהן התוקפים יוצרים דוא"ל מזויף, שנראה כי מדובר מהמנכ"ל או מממונה בכיר אחר, המכוונים פעולות כמו העברת כספים באופן דחוף. אתה יכול לבדוק אם ניתן לזייף את התחום שלך באמצעות כלי חינמי מ- KnowBe4.
• שלח דוא"ל דיוג מדומה לעובדים שלך וכולל קישור שיתריע בפניך אם תלחץ על קישור זה. עקוב אחר העובדים שנופלים על זה והתמקד בהדרכה באלו שנופלים על זה לא פעם.
• היו מוכנים ל"ווישינג ", שהוא סוג של הנדסה חברתית בתא הקולי בו נותרו הודעות שמנסות להשיג פעולה מעובדיכם. נראה כי מדובר בשיחות מאכיפת החוק, שירות הכנסות הפנימיות (IRS) או אפילו מתמיכה טכנית של מיקרוסופט. וודא שעובדיך יודעים שלא להחזיר את השיחות הללו.
• התריע לעובדים שלך ל"דיוג טקסט "או" SMiShing (דיוג SMS) ", שזה כמו דיוג בדוא"ל אבל עם הודעות טקסט. במקרה זה, הקישור עשוי להיות מתוכנן לקבל מידע רגיש, כגון רשימות אנשי קשר, מהטלפונים הניידים שלהם. עליהם להתאמן לא לגעת בקישורים בהודעות טקסט, גם אם נראה שהם מחברים.
• התקפות USB סדרתי אוניברסאלי (USB) הן יעילות באופן מפתיע והן דרך אמינה לחדור לרשתות מרותחות אוויר. האופן שבו זה עובד הוא שמישהו משאיר מקלות זיכרון USB שוכבים בשירותים, בחניונים או במקומות אחרים בהם עובדים עוברים; אולי על המקל יש סמלים או תוויות מפתים. כאשר עובדים מוצאים ומכניסים אותם למחשב שימושי - והם יעשו זאת אם לא ילמדו אותם אחרת - התוכנה הזדונית עליהם נכנסת לרשת שלך. כך חדרה התוכנה הזדונית Stuxnet לתוכנית הגרעין האיראנית. ל- Knowbe4 יש כלי בחינם לבדיקה גם עבור זה.
• גם מתקפת החבילה יעילה באופן מפתיע. זה המקום שמישהו מופיע עם מטען זרועות של קופסאות (או לפעמים פיצות) ומבקש להכניס אותם כדי שיוכלו להעבירם. כשאתה לא מסתכל, הם מחליקים מכשיר USB למחשב קרוב. יש להכשיר את העובדים שלך על ידי ביצוע פיגועים מדומים. אתה יכול לעודד אותם על ידי אימונים לכך ואז לשתף את הפיצות אם הם יבינו את זה נכון.

כפי שאתה יכול לראות, הנדסה חברתית יכולה להיות אתגר אמיתי והיא יכולה להיות יעילה בהרבה ממה שהיית רוצה. הדרך היחידה להילחם בזה היא לעסוק באופן פעיל את העובדים שלך באיתור התקפות כאלה וקריאתם. אם נעשה נכון, העובדים שלך באמת יהנו מהתהליך - ואולי גם הם יוציאו כמה פיצות בחינם.