En overraskende statistikk forklarer hvorfor nettfisking vil forbli det vanligste nettangrepet de neste årene

Video: Hvordan beskytte dine ansatte mot phishing og påskudd angrep Alt i en e-post kan forfalskes. Hackere og nettkriminelle er avhengige av identitetsbedrageri for å lure ansatte. Agari Field CTO John Wilson forklarer hvordan du kan gjenopprette tillit til innboksen.
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • En av to databrukere vil klikke på en kobling fra en ukjent avsender .-- Friedrich Alexander University, 2016
  • Det er på tide å forskyve sikkerhetsvekt og byrde for ansvar for phishing-angrep bort fra selskaper og over på deres ansatte. - TechRepublic

En ny rapport fra Comodo Security Threat Labs VP, Fatih Orhan, henter frem en interessant statistikk fra Friedrich Alexander University i Tyskland: halvparten av alle brukere klikker på lenker fra ukjente avsendere. Det er dårlige nyheter for cybersecurity-ledere som er bekymret for den raske veksten i phishing.

Rapporten slutter imidlertid ikke der: Den avslører den alarmerende enkelheten med å sette sammen en phishing-kampanje i 2018, noe som gjør at ethvert forsøk på å bekjempe den virker nytteløs.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Med phishing som nå er tilgjengelig som en tjeneste, er det bare noen oppstartspenger for å kjøpe riktig programvare, og bare litt enkel kompetanse på brukernivå for å betjene den og få all informasjonen du trenger for å starte en kampanje. Derfra er det like enkelt som å la 50% av brukerne klikke på phishing-koblinger og se på dataene rulle inn.

Det er på tide med en endring i tilnærmingen til å forhindre phishing.

Anatomien til den moderne phishing-kampanjen

Hoveddelen av rapporten fokuserer på et hypotetisk phishing-scenario som går gjennom hvor enkel phishing-as-a-service har blitt.

En hypotetisk hacker som ønsker å starte en phishing-kampanje mot et spesifikt selskap, kjent en spear-phishing for sin fokuserte målretting, trenger bare å kjøpe noe programvare fra Dark Web - i dette eksemplet er det legitime sikkerhetstestingprogrammer som The Harvester eller Maltego .

Etter å ha undersøkt innledende undersøkelser i et selskaps hierarki, dets ledelse, struktur osv., Bruker angriperen The Harvester til å søke i offentlige poster for mer spesifikk info. Den kan finne e-postmeldinger, underdomener, verter, ansattes navn, åpne porter, bannere og lignende fra søkemotorer, PGP-nøkkelservere og SHODAN. Maltego kan deretter brukes til å samle spesifikk info på postservere og brukernavn, noe som gjør forfalskning av en e-post enkel.

Det gjelder da å registrere et falskt domene som visuelt ligner et legitimt, og bruke Social-Engineer Toolkit-applikasjonen til å lage en komplett kopi av målnettstedet til den falske.

Etter det lager angriperen ganske enkelt en phishing-melding med en lenke til det falske domenet og venter på at halvparten av målene deres skal klikke på den dårlige lenken og gi dem all informasjonen de trenger.

Overvei phishing-forebygging

Phishing fortsetter å være en trussel, og som halvparten av brukerne faller for til tross for stadige advarsler og gjentatte nyheter om bredden. Med phishing tilgjengelig for kriminelle som er mindre og mindre dyktige i hacking, er det på tide å innse at det kan være feil fremgangsmåte å bekjempe den ved å prøve å stoppe angrep.

I lys av den oppsiktsvekkende statistikken på 50% som er nevnt i rapporten, må brukeropplæringen tydeligvis prioriteres. For å starte bør cybersecurity-ledere samarbeide med andre ledere for å gjøre phishing-opplæring til en standard del av selskapets ombord- og periodiske opplæringsregimer.

Det er også viktig å bringe trusselen om phishing-front og -senter til den gjennomsnittlige brukeren, og det er ingen bedre måte å gjøre det på enn ved å phishing dine egne ansatte.

Sammen med mer utdanning og brukertesting, kan det være verdt det å vurdere å straffe dem som klikker på dårlige lenker på grunn av hvor onus ligger: Ikke hos selskaper som kan bli phished uansett hvor hardt de prøver å forhindre det, men med ansatte som klikker på lenker.

Det kan høres dyktig ut å straffe ansatte for å ha falt bytte for phishing-angrep, men på slutten av dagen er de til slutt de som klikker på koblingene - faktisk 50% av dem.

Getty Images / iStockphoto

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også:

  • Hvordan bygge en vellykket karriere innen cybersecurity (gratis PDF) (TechRepublic)
  • Hva er phishing? Alt du trenger å vite for å beskytte deg mot e-post-svindel og mer (ZDNet)
  • Ransomware: Et jukseark for fagfolk (TechRepublic)
  • Motstanden mot phishing-angrep mislykkes ikke (ZDNet)
  • Nettfiskeangrep, ikke brudd, representerer den største sikkerhetsrisikoen for Google-brukere (TechRepublic)

© Copyright 2020 | mobilegn.com