Wprowadzenie: Świadomość phishingu w miejscu pracy
Ten artykuł wyjaśnia, co phishing jest i jak można temu zapobiec za pomocą odpowiednich narzędzi i szkoleń. Tekst został przepisany z wywiadu przeprowadzonego przez Johna Shedda i Davida McHale'a HailBytes.
Co to jest phishing?
Phishing to forma inżynierii społecznej, zwykle za pośrednictwem poczty elektronicznej, SMS-ów lub telefonu, w ramach której przestępcy próbują uzyskać Informacja których mogą używać, aby uzyskać dostęp do rzeczy, do których nie powinni mieć dostępu.
Dla osób, które nie były tego świadome, istnieje kilka różnych rodzajów ataków phishingowych.
Jaka jest różnica między ogólnym phishingiem a spearphishingiem?
Ogólny phishing to zazwyczaj bardzo masowa wysyłka wiadomości e-mail w tym samym formacie w celu nakłonienia kogoś do kliknięcia bez większego wysiłku.
Ogólny phishing to tak naprawdę gra liczbowa, podczas gdy przestępcy zajmujący się phishingiem spearphishingu będą badać cel.
Spearphishing wymaga trochę więcej przygotowań, a wskaźnik sukcesu jest zwykle znacznie wyższy.
W rezultacie osoby stosujące spearphishing zazwyczaj celują w bardziej wartościowe cele. Niektóre przykłady obejmują księgowych lub dyrektorów finansowych, którzy mają możliwość naprawdę dać im coś wartościowego.
Wnioski w: Ogólny phishing jest dość oczywisty dzięki terminowi ogólne, a phishing spearphishing jest bardziej szczegółowy w przypadku indywidualnego celu.
Jak rozpoznać atak typu phishing?
Zazwyczaj w przypadku phishingu ogólnego zobaczysz nazwę domeny, która nie pasuje lub nazwę nadawcy, której nie znasz. Inną rzeczą, o której należy pamiętać, jest słaba pisownia lub słaba gramatyka.
Możesz zobaczyć załączniki, które nie mają zbyt wiele sensu lub załączniki, które są typami plików, do których normalnie nie masz dostępu.
Mogą prosić Cię o zrobienie czegoś, co wykracza poza normalny proces w Twojej firmie.
Jakie są dobre praktyki zapobiegania atakom typu phishing?
Ważne jest, aby mieć dobrze zasady bezpieczeństwa w miejscu.
Powinieneś rozumieć procesy, które są typowymi działaniami wysokiego ryzyka, takimi jak wysyłanie listy płac lub wysyłanie przelewów bankowych. To jedne z najczęstszych wektorów, które widzimy dla przestępców, którzy zasadniczo wykorzystują to zaufanie, a następnie szkodzą firmie.
Powinieneś zrozumieć, że jeśli coś jest podejrzane, powinni to zgłosić i wprowadzić jakiś proces, aby ułatwić użytkownikom zwrócenie się o pomoc.
Powinieneś znać podstawowe rzeczy, których należy szukać w każdym e-mailu, ponieważ wielu użytkowników nie wie, czego szukać lub po prostu nie zdaje sobie z tego sprawy.
W jaki sposób Hailbytes pomaga w uświadamianiu i szkoleniu dotyczącym phishingu?
Oferujemy symulacje phishingu, w których wysyłamy firmom e-maile phishingowe, które klikają użytkownicy, i możemy zrozumieć, jak wygląda ich stan bezpieczeństwa. Ostatecznie jesteśmy w stanie odkryć, którzy użytkownicy w ich organizacji są podatni na ataki.
Nasze narzędzia pozwalają im przekazywać wiadomości e-mail i otrzymywać raport zwrotny, aby zrozumieć, co z ryzykownymi czynnikami w tym e-mailu, a następnie wewnętrzny zespół ds. bezpieczeństwa również otrzyma ten raport.
Mamy również podstawowe i zaawansowane szkolenia z zakresu bezpieczeństwa, które pokażą użytkownikom wiele typowych taktyk, które są stosowane, oraz wiele typowych rzeczy, na które muszą zwrócić uwagę, gdy podejrzewają, że wiadomość e-mail może zawierać atak typu phishing.
Punkty końcowe:
- Phishing jest formą inżynierii społecznej.
- Phishing ogólny jest szeroko rozpowszechnioną formą ataku.
- Spearphishing obejmuje badanie celu phishingu i jest bardziej skuteczny dla oszusta.
- Mający Polityka bezpieczeństwa na miejscu jest pierwszym krokiem do łagodzenia bezpieczeństwo cybernetyczne zagrożenia.
- Phishingowi można zapobiegać poprzez szkolenia i symulatory phishingu.
