Email Phishing Scams har blivit mer sofistikerade

En otroligt korrekt falsk Google-inloggningssida. Emma Williams, CC BY-NDEn otroligt korrekt falsk Google-inloggningssida. Emma Williams, CC BY-ND

Företag bombarderas med phishing-bedrägerier varje dag. I en ny undersökning av fler än 500-säkerhetsproffs över hela världen, 76% rapporterade att deras organisation blev offer för en phishing-attack i 2016. Avlyssningen

Dessa bedrägerier tar formen av e-postmeddelanden som försöker övertyga personalen att ladda ner skadliga bilagor, klicka på tvivelaktiga länkar, eller ge personliga uppgifter eller annan känslig data. En riktade "spjut" -fiskningskampanjkampanjen skylldes för att inleda den senaste cyberangreppet som orsakade a större strömavbrott i Ukraina.

Ännu mer oroande är phishing-attacker nu det mest populära sättet att leverera ransomware till en organisations nätverk. Det här är en typ av programvara som typiskt krypterar filer eller låser datorskärmar tills ett lösenbelopp betalas. De begärda beloppen är i allmänhet ganska liten, vilket betyder att många organisationer helt enkelt kommer att betala lösenordningen utan att givetvis garantera att deras system kommer att upplåsas. I motsats till dessa phishing-attacker har anställda blivit frontlinjen av cybersäkerhet. Att minska sårbarheten mot phishing-e-post har därför blivit en kritisk utmaning för företagen.

Disciplinära problem

Som organisationer kämpar för att innehålla hotet, är en ide som får traktion den potentiella användningen av disciplinära procedurer mot personal som klickar på phishing-e-postmeddelanden. Detta sträcker sig från slutförandet av vidareutbildning till formella disciplinära åtgärder, särskilt för så kallade "repeat clickers" (personer som svarar på phishing-e-postmeddelanden mer än en gång). De representerar en särskilt svag punkt i cybersäkerhet.

Detta är inte nödvändigt - det är inte heller en bra idé. Först får vi inte förstå vad som får folk att reagera på phishing-e-postmeddelanden i första hand. Forskning skrapar bara ytan av varför människor kan svara på dem. E-postvanor, arbetsplats kultur och normer, graden av kunskap som en individ har, oavsett om en anställd är distraherad eller under hög grad av tryck - det finns det varierad förståelse för online risker, som alla kan påverka huruvida människor kan identifiera ett phishing-e-postmeddelande vid en viss tidpunkt.

Tyvärr betyder det att det fortfarande finns fler frågor än svar. Är vissa arbetsroller mer sårbara på grund av vilka typer av uppdrag de engagerar sig i? Är träning effektiv när det gäller att utbilda personal om riskerna med phishing-attacker? Kan anställda prioritera säkerheten över andra arbetsplatsbehov när det behövs? Bland dessa okändheter verkar fokus på ett disciplinärt tillfälle för tidigt och riskerar att sidleda andra insatser som kan vara mer effektiva.

Målmedvetna phishing-attacker blir alltmer sofistikerade och svåra att upptäcka, även för tekniska användare. Senaste attacker (på PayPal och Google, till exempel) visa detta.

Det är nu oerhört enkelt att skapa ett bedrägligt e-postmeddelande som ser väldigt ut, om inte nästan identiskt, till en legitim. Spoofed e-postadresser, inkorporering av exakta logotyper, korrekta layouter och e-signaturer, kan alla göra det svårt att skilja ett phishing-e-postmeddelande från en äkta.

Ta det lugnt och gå vidare

Phishers är också mycket bra på skapa scenarier som maximerar sannolikheten för att människor kommer att svara. De skapar en känsla av panik och brådska av saker som efterliknande myndighetsfigurer inom en organisation till skapa en känsla av kris. Eller de fokuserar på den potentiella negativa inverkan av att inte svara. När vi erkänner den ökade sofistikeringen som visas i phishers arsenal, blir det svårare att rättfärdiga att straffa anställda för att falla offer för deras knep.

Simulerade phishing-attacker används ofta som ett sätt att öka medvetenheten bland anställda. Även om det finns förslag på förbättrade klickfrekvenser följa sådana program, saknas en omfattande utvärdering av omfattningen av potentiella effekter på medarbetarna. Och en del efterforskningar påpekar den potential som anställda bara ger upp för att försöka hantera hotet eftersom det verkar som en förlorande kamp.

En skamkultur och offerkansering kan också göra anställda mindre villiga att erkänna sina misstag. Endera av dessa resultat kommer sannolikt att skada förhållandet mellan en organisations säkerhetspersonal och dess övriga anställda. Detta har i sin tur en negativ inverkan på organisationens säkerhetskultur. Det föreslår en återgång till en auktoritär roll för säkerhet, vilket forskning visar är ett steg bakåt om vi ska fullt ut engagera medarbetare i säkerhetsinitiativ.

Att mildra en organisations exponering mot phishing-attacker representerar en komplex och utvecklande utmaning. Den senaste #AskOutLoud kampanj av den australiensiska regeringen Att uppmuntra människor att be om en andra åsikt när de får ett misstänkt e-post är ett bra exempel på hur denna utmaning kan börja hanteras. Det uppmuntrar konversation och delade erfarenheter. Genom att använda detta tillvägagångssätt kan man se till att medarbetarna känner sig bemyndigade och uppmuntrade att rapportera misstankar, ett viktigt element för att upprätthålla cybersäkerheten.

Forskning är klar den cybersäkerheten beror på öppen dialog, deltagande från anställda när det gäller att utveckla lösningar och förtroende mellan en organisations säkerhetspersonal och annan personal. Som den gamla klichéen går: du är bara lika stark som din svagaste länk. Det är därför absolut nödvändigt att alla anställda stöds för att vara en effektiv frontlinje i deras organisations försvar.

Om författaren

Emma Williams, forskare, University of Bath och Debi Ashenden, professor i Cyber ​​Security, University of Portsmouth

Den här artikeln publicerades ursprungligen den Avlyssningen. Läs ursprungliga artikeln.

relaterade böcker

{amazonWS: searchindex = Böcker; nyckelord = dataintegritet; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

följ InnerSelf på

facebook-icontwitter-iconrss-icon

Få det senaste via e-post

{Emailcloak = off}