Phishing-turnering finner at ansatte faller byttedyr for ondsinnede e-poster

Hvor sofistikert phishing gir angripere total kontroll over datamaskinen din. Phishing handler om den dårlige fyren og lure offeret, sier Kevin Mitnick, grunnlegger av Mitnick Security Consulting. Mitnick vet om skurkene - han pleide å være en.

De fleste av oss har digitale innbokser som er stablet til randen med uleste e-poster og kan bruke hele dager på å fange opp meldinger, så det er ingen overraskelse at hackere i økende grad bruker vår mangel på tid mot oss. I september ga FBI ut en rapport som fant at ofre for phishing eller e-postbedrageri mellom 2016 og 2019 mistet anslagsvis 26 milliarder dollar over hele verden, og tallene fortsetter å stige.

For å forberede organisasjoner på et angrep, holdt TerraNova Security Gone Phishing-turneringen over fem dager i oktober, og testet folk hos selskaper i 76 land og 27 språk på hvor sannsynlig de var for å åpne en ondsinnet e-post og legge inn informasjonen deres på et farlig nettsted.

Mens tallene varierte basert på land og industri, viste de samlede resultatene at 11%
av alle mottakere klikket phishing-koblingen, og bare 2% av mottakerne sendte inn legitimasjon på phishing-nettstedet.

"Ansatte i organisasjoner som deltok i Gone Phishing-turneringen i oktober 2019, mottok e-postmeldinger som simulerte kjente vellykkede phishing-angrep fra den virkelige verden. Disse e-postene ble sendt på de ansattes morsmål og brukte kjente phishing-taktikker for å måle medarbeiderens klikkfrekvens. Målet med denne globale phishing-simulering var å måle og evaluere ansattes deteksjonshastighet for phishing, "heter det i rapporten.

"Ved hjelp av den samme phishing-malen lokalisert til ansattes språk og sted, målte vi hvor ofte ansatte klikket på den inkluderte lenken og sendte inn legitimasjon. Gone Phishing Tournament avslørte at selv innen organisasjoner som har opplæringsprogrammer for sikkerhetsbevissthet, er ansatte fortsatt raske å klikke på e-postmeldinger og sende inn legitimasjon, "heter det i rapporten.

Spesiell rapport: En vinnende strategi for cybersecurity (gratis PDF) (TechRepublic Premium)

I følge resultatene av turneringen hadde fem store næringer klikkfrekvenser som var høyere enn gjennomsnittet. Energi, konstruksjon, industri og detaljhandel hadde alle høyere enn normale klikkfrekvenser i tillegg til foretak i offentlig sektor.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Forskere med TerraNova Security påpekte at disse næringene led mest fordi de hadde minst tidligere eksponering for teknologiske utfordringer og fortsatt var i ferd med å migrere mot hel-digitale økosystemer som krevde et nytt nivå av sikkerhetsbevissthet fra alle i en bedrift.

Mindre organisasjoner lider mer av et vellykket phishing-angrep mer enn større bedrifter som har sofistikerte IT-avdelinger som beskytter ansatte gjennom bedre, sikkerhet, opplæring i sikkerhetsbevissthet og phishing-simuleringer.

Uavhengig av sikkerhetsstillingen til et selskap, er risikoen for et vellykket phishing-angrep fremdeles stor på grunn av hvor mange organisasjoner som har å gjøre med mindre leverandører og partnere som deler informasjon eller systemer.

Studien fant at deltakere i Nord-Amerika og Sør-Amerika var mer sannsynlig enn de i noen annen region å sende inn legitimasjon etter å ha klikket på den ondsinnede lenken.

Av organisasjonene som deltok i turneringen, hadde bare 25% av organisasjonene bare et opplæringsprogram for sikkerhetsbevissthet, 40% av bedriftene brukte både en treningssikkerhetsopplæring og phishing-simuleringsprogrammer, mens 32% ikke hadde noen på plass.

"Det er vanskelig for folk å internalisere virkningene av å klikke på en ondsinnet lenke eller sende inn et phishing-skjema. Folk trenger førstehåndsopplevelse av virkningene av å klikke på lenker, laste ned vedlegg, gi konfidensiell informasjon og sende inn skjemaer for å virkelig forstå hvordan og hvorfor phishing-bevissthet er kritisk, "la rapporten til.

Studien inkluderte forslag til ting bedrifter kan gjøre for å forberede sine ansatte på denne typen angrepskampanjer som går utover phishing-simuleringer. Hver ansatt bør vite nøyaktig hva de skal gjøre hvis de oppdager et phishing-forsøk, og de burde vite at de har organisasjonens fulle støtte i tilfelle kontoen deres blir brutt.

Hvis phishing-forsøk har vært vellykket, bør virksomheter forklare hvordan det skjedde, hvordan e-postadressen ble forfalsket eller hvorfor vedlegget var mistenkelig. Det skal være plakater eller e-post nyhetsbrev som minner de ansatte om å være klar over e-postene de åpner og gjøre det klart at noe mistenkelig bør rapporteres.

Ansatte bør også bli påminnet om den økonomiske og omdømme alvorlighetsgraden av nettkriminalitet, så vel som skadene som kan forverres ved å skjule feil. Organisasjoner skal alltid ha en hendelsesrapporteringsprosess på plass og en detaljert svarplan som gir sikkerhetsgrupper informasjon om hvor mange som mottok meldingen, hvor mange som klikket på lenken og hvor mange ansatte som sendte inn informasjonen sin.

"Det er på tide at organisasjoner gjør opplæring i sikkerhetsbevissthet og phishing-simuleringer til en virkelig prioritet. Det er ikke nok for organisasjoner å holde en engangslunsj og lære om phishing-e-post eller bare fokusere på cybersikkerhetsrisiko under ansatte ombord, "sa rapporten.

"Åpning av ondsinnede koblinger kan føre til datamaskin- og nettverksinfeksjoner med virus eller annen skadelig programvare og informerer nettkriminelen om at meldingen deres ble lest og klikket, og bekrefter at e-postadressen er gyldig og at mottakeren sannsynligvis vil klikke på fremtidige phishing-e-poster."

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com