Увядзенне: дасведчанасць аб фішынгу на працоўным месцы
Гэты артыкул удакладняе, што фішынгу і як гэта можна прадухіліць з дапамогай адпаведных інструментаў і навучання. Тэкст быў перапісаны з інтэрв'ю Джона Шэда і Дэвіда Макхейла з HailBytes.
Што такое фішынг?
Фішынг - гэта форма сацыяльнай інжынерыі, звычайна праз электронную пошту, праз SMS або па тэлефоне, дзе злачынцы спрабуюць атрымаць нейкі інфармацыя якія яны могуць выкарыстоўваць для доступу да рэчаў, да якіх яны не павінны мець доступу.
Для людзей, якія не ведалі, існуе некалькі розных тыпаў фішынгавых нападаў.
У чым розніца паміж агульным фішынгам і падводным фішынгам?
Агульны фішынг - гэта, як правіла, супермасавая рассылка электронных лістоў, якія маюць аднолькавы фармат, каб паспрабаваць прымусіць каго-небудзь націснуць на іх без асаблівых высілкаў.
Агульны фішынг - гэта сапраўды гульня лічбаў, у той час як злачынцы, якія займаюцца падманным фішынгам, пойдуць і даследуюць мэта.
Пры падводным фішынгу патрабуецца крыху больш падрыхтоўкі, і ўзровень поспеху, як правіла, значна вышэйшы.
У выніку людзі, якія выкарыстоўваюць падводны фішынг, звычайна імкнуцца да больш каштоўных мэтаў. Некаторыя прыклады ўключаюць бухгалтараў або фінансавых дырэктараў, якія сапраўды могуць даць ім нешта каштоўнае.
У Заключэннi: Агульны фішынг у значнай ступені не патрабуе тлумачэнняў з тэрмінам агульны, а падводны фішынг больш канкрэтны з асобнай мэтай.
Як распазнаць фішынгавую атаку?
Як правіла, тое, што вы ўбачыце для звычайнага фішынгу, - гэта даменнае імя, якое не супадае, або імя адпраўніка, якое вам незнаёмае. Яшчэ адна рэч, пра якую трэба ведаць, - гэта дрэнная арфаграфія або граматыка.
Вы можаце ўбачыць бессэнсоўныя ўкладанні або ўкладанні тыпаў файлаў, да якіх вы звычайна не маеце доступу.
Яны могуць прасіць вас зрабіць нешта, што не ўваходзіць у звычайны працэс для вашай кампаніі.
Якія добрыя практыкі прадухілення фішынгавай атакі?
Важна мець дабро палітыкі бяспекі на месцы.
Вы павінны разумець працэсы, якія з'яўляюцца звычайнай дзейнасцю з высокай рызыкай, напрыклад, рассыланне заработнай платы або адпраўка электронных пераводаў. Гэта некаторыя з найбольш распаўсюджаных вектараў, якія мы бачым для злачынцаў, якія ў асноўным карыстаюцца гэтым даверам і потым наносяць шкоду кампаніі.
Вы павінны разумець, што калі нешта падазронае, яны павінны паведаміць пра гэта і мець нейкі працэс, каб карыстальнікам было лёгка звяртацца па дапамогу.
Вы павінны ведаць асноўныя рэчы, якія трэба правяраць у кожнай электроннай пошце, таму што многія карыстальнікі не ведаюць, што шукаць, або проста не ведаюць.
Як Hailbytes дапамагае ў інфармаванасці і навучанні фішынгу?
Мы прапануем мадэляванне фішынгу, падчас якога мы будзем адпраўляць кампаніям фішынгавыя электронныя лісты, на якія націскаюць карыстальнікі, і мы можам атрымаць уяўленне аб тым, як выглядае іх сістэма бяспекі. У рэшце рэшт, мы можам выявіць, якія карыстальнікі ўразлівыя ў сваёй арганізацыі.
Нашы інструменты дазваляюць ім перасылаць электронныя лісты і атрымліваць справаздачу, каб зразумець фактары рызыкі ў гэтым электронным лісце, а затым унутраная каманда бяспекі таксама атрымае гэтую справаздачу.
У нас таксама ёсць асноўныя і прасунутыя трэнінгі па бяспецы, якія пакажуць гэтым карыстальнікам шмат агульных тактык, якія выкарыстоўваюцца, і шмат агульных рэчаў, на якія ім трэба звярнуць увагу, калі яны падазраюць, што ліст можа ўтрымліваць фішынг-атаку.
Высновы:
- Фішынг - гэта форма сацыяльнай інжынерыі.
- Агульны фішынг - шырока распаўсюджаная форма атакі.
- Падводны фішынг прадугледжвае даследаванне аб'екта фішынгу і больш паспяховы для махляроў.
- наяўнасць палітыка бяспекі на месцы - гэта першы крок да змякчэння наступстваў кібербяспека пагрозы.
- Фішынг можна прадухіліць з дапамогай навучання і сімулятараў фішынгу.
