يمكن أن يؤدي تثقيف الموظفين حول كيفية اكتشاف هجمات التصيد الاحتيالي إلى توجيه ضربة تشتد الحاجة إليها للمدافعين عن الشبكة
الأمان حسب التصميم لطالما كان شيئًا من الكأس المقدسة لمحترفي الأمن السيبراني. إنه مفهوم بسيط: تأكد من تصميم المنتجات لتكون آمنة قدر الإمكان من أجل تقليل فرص التسوية بشكل أكبر. تم توسيع المفهوم بشكل أكبر في السنوات الأخيرة للدلالة على جهد لتضمين الأمن في كل جزء من المؤسسة - من خطوط أنابيب DevOps إلى ممارسات العمل اليومية لموظفيها. من خلال إنشاء ثقافة الأمان أولاً مثل هذه ، ستكون المؤسسات أكثر مرونة في مواجهة التهديدات السيبرانية وأفضل تجهيزًا لتقليل تأثيرها في حالة تعرضها لخرق.
تعد ضوابط التكنولوجيا ، بالطبع ، أداة مهمة للمساعدة في إنشاء هذا النوع من الثقافة الأمنية الراسخة بعمق. ولكن أيضًا تدريب التوعية بالتصيد الاحتيالي - والذي يلعب دورًا مهمًا للغاية في التخفيف من أحد أكبر التهديدات لأمن الشركات اليوم ويجب أن يكون عنصرًا أساسيًا بشكل عام التدريب على التوعية بالأمن السيبراني البرامج.
لماذا يعتبر التصيد الاحتيالي فعالا جدا؟
وفقًا تقرير تهديدات إسيت T1 2022، شهدت تهديدات البريد الإلكتروني زيادة بنسبة 37 في المائة في الأشهر الأربعة الأولى من عام 2022 مقارنة بالأشهر الأربعة الأخيرة من عام 2021. وارتفع عدد عناوين URL للتصيد الاحتيالي المحظور بنفس المعدل تقريبًا ، حيث استغل العديد من المحتالين المصلحة العامة في حرب روسيا وأوكرانيا.
لا تزال عمليات التصيد الاحتيالي من بين أكثر الطرق نجاحًا للمهاجمين لتثبيت البرامج الضارة وسرقة بيانات الاعتماد وخداع المستخدمين لإجراء تحويلات مالية للشركات. لماذا؟ بسبب مزيج من أساليب الانتحال التي تساعد المحتالين على انتحال هوية المرسلين الشرعيين، وتقنيات الهندسة الاجتماعية المصممة لتسريع المتلقي في التصرف دون التفكير أولاً في عواقب هذا الإجراء.
تشمل هذه التكتيكات:
- معرّفات / مجالات / أرقام هواتف مخادعة للمرسل ، تستخدم أحيانًا typosquatting أو أسماء النطاقات الدولية (IDNs)
- حسابات المرسلين المخترقة ، والتي غالبًا ما يكون من الصعب جدًا اكتشافها على أنها محاولات تصيد احتيالي
- البحث عبر الإنترنت (عبر وسائل التواصل الاجتماعي) لجعل محاولات الصيد بالرمح المستهدفة أكثر إقناعًا
- استخدام الشعارات والرؤوس والتذييلات الرسمية
- خلق شعور بالإلحاح أو الإثارة يدفع المستخدم إلى اتخاذ القرار
- روابط مختصرة تخفي الوجهة الحقيقية للمرسل
- إنشاء بوابات ومواقع تسجيل دخول ذات مظهر شرعي
وفقا لأحدث تقرير Verizon DBIR، شكلت أربعة ناقلات غالبية الحوادث الأمنية في العام الماضي: بيانات الاعتماد المسروقة، والتصيد الاحتيالي، واستغلال الثغرات الأمنية، وشبكات الروبوت. من هذه، الأولين يدوران حول الخطأ البشري. ربع (25٪) إجمالي الانتهاكات التي تم فحصها في التقرير كانت نتيجة لهجمات الهندسة الاجتماعية. وعندما يقترن العنصر البشري بالأخطاء البشرية وسوء استخدام الامتيازات، فإنه يمثل 82% من جميع الانتهاكات. وهذا من شأنه أن يجعل تحويل هذه الحلقة الضعيفة إلى سلسلة أمنية قوية أولوية لأي رئيس أمناء أمن المعلومات.
ما الذي يمكن أن يؤدي إليه التصيد؟
إذا أصبحت هجمات التصيد الاحتيالي تشكل تهديدًا أكبر خلال العامين الماضيين. تم استهداف عمال المنازل المشتتين الذين لديهم أجهزة يحتمل أن تكون غير مصححة وغير محمية بشكل لا يرحم من قبل الجهات المهددة. في أبريل 2020 ، ادعى جوجل لحظر ما يصل إلى 18 مليون رسالة بريد إلكتروني ضارة وتصيدية كل يوم على مستوى العالم.
نظرًا لأن العديد من هؤلاء العمال يعودون إلى المكتب ، فهناك أيضًا خطر تعرضهم لمزيد من الرسائل النصية (SMS) والهجمات القائمة على المكالمات الصوتية (التصيد). من المرجح أن ينقر المستخدمون أثناء التنقل على الروابط ويفتحون المرفقات التي لا ينبغي عليهم فتحها. يمكن أن تؤدي إلى:
التداعيات المالية والسمعة هائلة. في حين أن متوسط تكلفة خرق البيانات قد تجاوز 4.2 مليون دولار اليوم ، ارتفاعًا قياسيًا ، فقد تكلفت بعض انتهاكات برامج الفدية مرات عديدة ذلك.
ما هي تكتيكات التدريب التي تعمل؟
A الأخيرة دراسة عالمية كشفت أن التدريب الأمني والتوعية للموظفين يمثلان أولوية الإنفاق القصوى للمؤسسات خلال العام المقبل. ولكن بمجرد اتخاذ قرار بشأن ذلك ، ما هي التكتيكات التي ستوفر أفضل عائد على الاستثمار؟ ضع في اعتبارك الدورة التدريبية والأدوات التي توفر:
- تغطية شاملة لجميع قنوات التصيد (البريد الإلكتروني والهاتف ووسائل التواصل الاجتماعي وما إلى ذلك)
- دروس مسلية تستخدم التعزيز الإيجابي بدلاً من الرسائل القائمة على الخوف
- تمارين محاكاة في العالم الحقيقي يمكن تعديلها بواسطة موظفي تكنولوجيا المعلومات لتعكس تطور حملات التصيد
- دورات تدريبية مستمرة على مدار العام في دروس قصيرة لا تزيد عن 15 دقيقة
- تغطية لجميع الموظفين بما في ذلك الموظفين المؤقتين والمقاولين وكبار المديرين التنفيذيين. أي شخص لديه وصول إلى الشبكة وحساب شركة هو هدف محتمل للتصيد الاحتيالي
- التحليلات لتقديم تعليقات مفصلة عن الأفراد والتي يمكن بعد ذلك مشاركتها واستخدامها لتحسين الجلسات في المستقبل
- دروس مخصصة مصممة لأدوار محددة. على سبيل المثال ، قد يحتاج أعضاء الفريق المالي إلى إرشادات إضافية حول كيفية التعامل مع هجمات BEC
- التلعيب وورش العمل والاختبارات. يمكن أن تساعد هذه في تحفيز المستخدمين على التنافس ضد أقرانهم ، بدلاً من الشعور بأنهم يتلقون "تعليم" من قبل خبراء تكنولوجيا المعلومات. تستخدم بعض الأدوات الأكثر شيوعًا تقنيات التلعيب لجعل التدريب "أكثر ثباتًا" ، وأكثر سهولة في الاستخدام وجاذبية
- تمارين التصيد DIY. وفقا لالمملكة المتحدة المركز الوطني للأمن السيبراني (NCSC) ، تدفع بعض الشركات المستخدمين إلى إنشاء رسائل بريد إلكتروني للتصيد الاحتيالي الخاصة بهم ، مما يوفر لهم "رؤية أكثر ثراءً للتقنيات المستخدمة"
لا تنس الإبلاغ
يعد العثور على البرنامج التدريبي المناسب لمؤسستك خطوة حيوية نحو تحويل الموظفين إلى خط دفاع أول قوي ضد هجمات التصيد الاحتيالي. ولكن يجب أيضًا تركيز الانتباه على إنشاء ثقافة مفتوحة حيث يتم تشجيع الإبلاغ عن محاولات التصيد الاحتيالي المحتملة. يجب على المنظمات إنشاء عملية سهلة الاستخدام وواضحة لإعداد التقارير وطمأنة الموظفين بأنه سيتم التحقيق في أي تنبيهات. يجب أن يشعر المستخدمون بالدعم في هذا الأمر ، الأمر الذي قد يتطلب دعمًا من جميع أنحاء المنظمة - ليس فقط تكنولوجيا المعلومات ولكن أيضًا الموارد البشرية وكبار المديرين.
في نهاية المطاف، يجب أن يكون التدريب على التوعية بالتصيد الاحتيالي مجرد جزء واحد من استراتيجية متعددة الطبقات لمعالجة تهديدات الهندسة الاجتماعية. حتى أفضل الموظفين تدريبًا قد يتم خداعهم في بعض الأحيان من خلال عمليات احتيال معقدة. ولهذا السبب تعد الضوابط الأمنية ضرورية أيضًا: فكر في المصادقة متعددة العوامل، وخطط الاستجابة للحوادث التي يتم اختبارها بانتظام، وتقنيات مكافحة الانتحال مثل DMARC.
