Ne szabotálja a saját biztonságát, kiképzi a felhasználókat

Úgy gondolom, hogy 2000-ben először láttam egy adathalász e-mailt, amikor egy tesztelési projekten dolgoztam Oliver Risttel, aki jelenleg a PCMag üzleti szerkesztője. Egy reggel mindketten e-maileket kaptunk a „Szeretlek” tárgysorral, amely szintén az e-mail címe volt és csatolva volt. Mindketten azonnal tudtuk, hogy az e-mailnek hamisnak kell lennie, mert magazinszerkesztőként tudtuk, hogy senki sem szeret minket. Nem kattintottunk a mellékletre. Valójában emberi tűzfalakként működtünk. A látás során felismertünk egy hamis e-mailt, és töröltük, ahelyett, hogy tartalmát a számítógépünkbe és a hálózat többi részébe terjesszük.

Akkoriban az ilyen támadásokat a hackerkészlet „szociális mérnököknek” nevezte. Manapság az adathalász e-mailek valószínűleg az ilyen kizsákmányolás legismertebb verziója. Elsősorban a biztonsági hitelesítő adatok elragadására irányulnak, de képesek más típusú rosszindulatú programok, különösen a ransomware továbbítására is. De érdemes megjegyezni, hogy az adathalászaton kívül más típusú szociális mérnöki támadások is vannak, köztük olyanok is, ahol a támadás inkább fizikai, mint szigorúan digitális.

Emberek: Még mindig vezető támadó vektor

Az adathalász e-mailek annyira széles körben ismertek, hogy annyira gyakoriak. Mostanra elmondható, hogy bárki, aki rendelkezik e-mail fiókkal, valamikor adathalász e-mailt kap. Az e-mail gyakran úgy tesz, mintha a bankjától, a hitelkártya-társaságtól vagy más vállalkozástól érkezik. Az adathalász e-mailek ugyanakkor veszélyt jelenthetnek a szervezetre is, mivel a támadók megpróbálják az alkalmazottaikat ellened felhasználni. A támadás egy másik korai verziója a faxolás aranykorában jött, amikor a támadók egyszerűen csak faxot küldenek számláról azokról a szolgáltatásokról, amelyeket soha nem nyújtottak a nagyvállalatoknak, abban a reményben, hogy az elfoglalt vezetők egyszerűen benyújtják őket fizetésre.

Az adathalász meglepően hatékony. A BakerHostetler ügyvédi iroda tanulmánya alapján, amely tavaly 560 adatsértést vizsgált meg, az adatbiztonsági események ma az adathalászat a vezető oka.

Sajnos a technológia nem érte el az adathalász támadásokat. Noha számos biztonsági eszköz és szoftvercsomag van a rosszindulatú e-mailek kiszűrésére, az adathalász e-maileket kidolgozó rossz fiúk keményen dolgoznak annak érdekében, hogy támadásaik átjuthassanak a repedésekbe. A Cyren tanulmánya azt mutatja, hogy az e-mail szkennelés 10, 5 százalékos hibát mutat a rosszindulatú e-mailek megtalálásakor. Még egy kicsi és közepes méretű vállalkozásnál is sok e-mailt tud feltenni, és bármelyik, amely tartalmaz szociális mérnöki támadást, veszélyt jelenthet a szervezetére. És nem általános fenyegetés, mint a legtöbb rosszindulatú program esetében, amely az Ön végpont-védelmi intézkedéseivel sikerült becsapni, hanem a baljóslatosabb fajta, amely kifejezetten a legértékesebb adatokra és digitális erőforrásokra irányul.

Figyelmeztetést kaptam a Cyren-jelentés kapcsán, Stu Sjouwermannel, a KnowBe4 alapítójával és vezérigazgatójával folytatott beszélgetés során, amely a humán erőforrás (HR) szakemberek számára segít a biztonsági tudatosság tanításában. Sjouwerman volt az, aki felvetette az "emberi tűzfal" kifejezést, és az "emberi hackelés" tárgyát is tárgyalta. Javaslata szerint a szervezetek megakadályozhatják vagy csökkenthetik a szociális mérnöki támadások hatékonyságát olyan következetes képzéssel, amelyet úgy végeznek, hogy az alkalmazottakat is bevonja a probléma megoldásába.

Természetesen sok szervezet rendelkezik biztonsági tudatossággal kapcsolatos képzésekkel. Valószínűleg számos olyan találkozón részt vett, ahol a régi kávét párosított fánkkal párosították, miközben a HR által felvett vállalkozó 15 percet tölt azzal, hogy ne essen adathalász e-mailekbe - anélkül, hogy elmondaná neked, mi azok, vagy elmagyarázza, mit kell tennie, ha úgy gondolja, hogy megtaláltál egyet. Igen, azok a találkozók.

Amit Sjouwerman javasolt, az jobban működik, ha olyan interaktív képzési környezetet hoz létre, ahol hozzáférhet a tényleges adathalász e-mailekhez, ahol megvizsgálhatja azokat. Lehet, hogy van egy csoportos erőfeszítés, amelyben mindenki megpróbálja észlelni az adathalász e-mailekre mutató tényezőket, például a rossz helyesírást, a szinte valódinak látszó címeket, vagy olyan kéréseket, amelyek vizsgálatakor nincs értelme (például kéri a vállalati alapok ismeretlen címzett számára.

Védekezés a szociális mérnök ellen

Sjouwerman azonban rámutatott arra is, hogy a szociális mérnököknek több típusa is létezik. Kínál egy ingyenes eszközkészletet a KnowBe4 webhelyen, amelyet a vállalatok felhasználhatnak az alkalmazottak megtanulásához. Javasolta továbbá a következő kilenc lépést, amelyeket a vállalatok tehetnek a társadalmi mérnöki támadások leküzdésére.

• Hozzon létre egy emberi tűzfalat azáltal, hogy kiképezi munkatársait a társadalmi mérnöki támadások felismerésére, amikor ezeket látják.
• Gyakran végezzen szimulált szociális mérnöki teszteket, hogy a munkavállalói lábujjban maradjanak.
• Végezzen adathalász biztonsági tesztet; A Knowbe4 egy ingyenes.
• Vigyázzon a vezérigazgatói csalásokra. Ezek olyan támadások, amelyek során a támadók hamis hamis e-mailt hoznak létre, amely úgy tűnik, hogy a vezérigazgatótól vagy más magas rangú tiszttől származik, és olyan tevékenységeket irányít, mint például a pénzátutalások sürgős bevezetése. A KnowBe4 ingyenes eszközével ellenőrizheti, hogy meg lehet-e hamisítani a domainjét.
• Küldjön szimulált adathalász e-maileket alkalmazottainak, és tartalmazzon egy linket, amely figyelmezteti Önt, ha erre a linkre kattintanak. Kövesse nyomon, hogy mely alkalmazottak esnek rá, és összpontosítsa a képzést azokra, akik többször esnek rá.
• Légy felkészült a „látásra”, amely egy olyan típusú hangpostás szociális mérnöki rendszer, amelyben üzeneteket hagynak, amelyek megpróbálnak cselekedni az alkalmazottaktól. Úgy tűnik, hogy ezek a bűnüldözés, a Internal Revenue Service (IRS), vagy akár a Microsoft technikai támogatása. Győződjön meg arról, hogy alkalmazottai tudják, hogy nem térnek vissza ezekre a hívásokra.
• Figyelmeztesse munkatársait a "szöveges adathalászat" vagy az "SMiShing (SMS-adathalászat)", amely hasonló az e-mail adathalászathoz, de szöveges üzenetekkel. Ebben az esetben a hivatkozást úgy lehet megtervezni, hogy érzékeny információkat, például névjegyzékeket nyújtson mobiltelefonjáról. Képzésükre van szükségük arra, hogy ne érintsék meg a szöveges üzenetekben található hivatkozásokat, még akkor sem, ha úgy tűnik, hogy barátaiktól származnak.
• Az univerzális soros busz (USB) támadások meglepően hatékonyak, és megbízható módja a levegővel átellenes hálózatok átjutására. Úgy működik, hogy valaki elhagyja az USB memóriakártyákat a mellékhelyiségben, parkolóban vagy az alkalmazottak által gyakran használt egyéb helyekben fekve; talán a boton vonzó logók vagy címkék találhatók. Amikor az alkalmazottak megtalálják és beillesztik őket egy praktikus számítógépbe - és akkor is megteszik, ha másképp nem tanítják -, akkor a rajtuk található rosszindulatú programok bekerülnek a hálózatába. A Stuxnet rosszindulatú program így jutott be az iráni nukleáris programba. A Knowbe4 egy ingyenes eszközzel is tesztelheti ezt.
• A csomag támadása szintén meglepően hatékony. Itt jelenik meg valaki fegyveres dobozokkal (vagy néha pizzákkal), és kéri, hogy engedjék be őket, hogy kiszállítsák őket. Miközben nem keres, az USB-eszközt egy közeli számítógépbe csúsztatják. Munkatársait szimulált támadások végrehajtásával kell képzni. Ösztönözheti őket erre képzéssel, majd megoszthatja a pizzákat, ha helyesek lesznek.

Mint láthatja, a szociális mérnöki munka valódi kihívás lehet, és sokkal hatékonyabb lehet, mint szeretné. A harc egyetlen módja az, ha az alkalmazottakat aktívan bevonják az ilyen támadások észlelésébe és kihívásába. Rendben, a munkavállalók valóban élvezik a folyamatot - és talán kicsinálnak belőlük néhány ingyenes pizzát is.