آموزش آگاهی از فیشینگ: به کارمندان خود کمک کنید از قلاب جلوگیری کنند

امنیت بر اساس طراحی مدتهاست که برای متخصصان امنیت سایبری چیزی شبیه جام مقدس بوده است. این یک مفهوم ساده است: اطمینان حاصل کنید که محصولات به گونه‌ای طراحی شده‌اند که تا حد امکان ایمن باشند تا احتمال مصالحه در آینده به حداقل برسد. این مفهوم در سال‌های اخیر بیشتر گسترش یافته است تا نشان‌دهنده تلاشی برای تعبیه امنیت در هر بخش از یک سازمان باشد - از خطوط لوله DevOps گرفته تا شیوه‌های کاری روزانه کارکنانش. با ایجاد یک فرهنگ امنیتی مانند این، سازمان‌ها هم در برابر تهدیدات سایبری انعطاف‌پذیرتر خواهند بود و هم مجهزتر می‌شوند تا در صورت بروز نقض، تأثیر آنها را به حداقل برسانند.

البته کنترل‌های فناوری ابزار مهمی برای کمک به ایجاد این نوع فرهنگ امنیتی عمیق هستند. اما آموزش آگاهی از فیشینگ نیز همینطور است - که نقش بسیار مهمی در کاهش یکی از بزرگترین تهدیدات امنیت شرکت های امروزی ایفا می کند و به طور کلی باید جزء اصلی باشد. آموزش آگاهی از امنیت سایبری برنامه ها.

چرا فیشینگ اینقدر موثر است؟

با توجه به گزارش تهدید ESET T1 2022، تهدیدات ایمیل در چهار ماه اول سال 37 نسبت به چهار ماه آخر سال 2022 2021 درصد افزایش داشته است. تعداد URL های فیشینگ مسدود شده تقریباً با همان نرخ افزایش یافته است و بسیاری از کلاهبرداران از منافع عمومی سوء استفاده می کنند. جنگ روسیه و اوکراین.

کلاهبرداری های فیشینگ همچنان یکی از موفق ترین راه های مهاجمان برای نصب بدافزار، سرقت اطلاعات اعتباری و فریب کاربران برای انتقال پول شرکتی است. چرا؟ به دلیل ترکیبی از تاکتیک‌های جعل که به کلاهبرداران کمک می‌کند جعل هویت فرستنده‌های قانونی را بسازند، و تکنیک‌های مهندسی اجتماعی که برای تعجیل گیرنده طراحی شده‌اند تا بدون فکر کردن به عواقب آن اقدام، اقدام کند.

این تاکتیک ها عبارتند از:

• شناسه‌های فرستنده/دامنه/شماره تلفن جعلی، گاهی اوقات استفاده می‌شود جعلی یا نام های دامنه بین المللی (IDN)
• حساب‌های فرستنده ربوده شده، که اغلب به‌عنوان تلاش‌های فیشینگ تشخیص آن‌ها بسیار دشوار است
• تحقیقات آنلاین (از طریق رسانه‌های اجتماعی) برای متقاعد کردن بیشتر تلاش‌های spearphishing هدفمند
• استفاده از لوگوهای رسمی، سرصفحه ها، پاورقی ها
• ایجاد حس فوریت یا هیجان که کاربر را برای تصمیم گیری عجله می کند
• پیوندهای کوتاه شده که مقصد واقعی فرستنده را پنهان می کند
• ایجاد پورتال ها و وب سایت های ورود به ظاهر قانونی

بر اساس آخرین گزارش Verizon DBIR، چهار عامل بیشترین حوادث امنیتی را در سال گذشته به خود اختصاص دادند: اعتبارنامه های سرقت شده، فیشینگ، بهره برداری از آسیب پذیری ها و بات نت ها. از این میان، دو مورد اول حول محور خطای انسانی می چرخند. یک چهارم (25٪) از کل نقض های بررسی شده در این گزارش، نتیجه حملات مهندسی اجتماعی بوده است. هنگامی که با خطاهای انسانی و سوء استفاده از امتیازات ترکیب شد، عنصر انسانی 82 درصد از کل نقض ها را به خود اختصاص داد. این باید تبدیل این حلقه ضعیف به یک زنجیره امنیتی قوی را در اولویت هر CISO قرار دهد.

فیشینگ می تواند منجر به چه چیزی شود؟

حملات فیشینگ در دو سال گذشته به تهدید بزرگتری تبدیل شده است. کارگران خانه که حواسشان پرت شده است با دستگاه‌های بالقوه وصله‌نشده و تحت محافظت بی‌رحمانه مورد هدف عوامل تهدید قرار گرفته‌اند. در آوریل 2020، گوگل ادعا کرد هر روز 18 میلیون ایمیل مخرب و فیشینگ را در سراسر جهان مسدود می کند.

از آنجایی که بسیاری از این کارگران به دفتر بازمی‌گردند، این خطر نیز وجود دارد که در معرض حملات پیامک (smishing) و مبتنی بر تماس صوتی (vishing) قرار بگیرند. کاربرانی که در حال حرکت هستند ممکن است بیشتر روی پیوندها کلیک کنند و پیوست‌هایی را که نباید باز کنند. اینها می توانند منجر به:

پیامدهای مالی و اعتباری بسیار زیاد است. در حالی که میانگین هزینه نقض داده بیش از حد است امروز 4.2 میلیون دلار یک رکورد بالا، برخی از نقض های باج افزار هزینه داشته است چند بار که

چه تاکتیک های آموزشی کار می کند؟

اخیر مطالعه جهانی نشان داد که آموزش امنیتی و آگاهی برای کارکنان اولویت اصلی هزینه‌های سازمان‌ها در سال آینده است. اما پس از تصمیم گیری در مورد این موضوع، چه تاکتیکی بهترین بازگشت سرمایه را فراهم می کند؟ دوره آموزشی و ابزارهایی را در نظر بگیرید که ارائه می دهند:

• پوشش جامع در تمامی کانال های فیشینگ (ایمیل، تلفن، رسانه های اجتماعی و غیره)
• درس های سرگرم کننده ای که از تقویت مثبت به جای پیام های مبتنی بر ترس استفاده می کنند
• تمرین‌های شبیه‌سازی دنیای واقعی که می‌توانند توسط کارکنان فناوری اطلاعات بهینه‌سازی شوند تا کمپین‌های فیشینگ در حال تکامل را منعکس کنند.
• جلسات تمرینی مستمر در طول سال در درس‌های کوتاه مدت که بیش از 15 دقیقه نباشد
• پوشش برای همه کارکنان از جمله موقت، پیمانکاران و مدیران ارشد. هر کسی که به شبکه دسترسی دارد و یک حساب شرکتی دارد، یک هدف احتمالی فیشینگ است
• تجزیه و تحلیل برای ارائه بازخورد دقیق در مورد افراد که می توان آن را به اشتراک گذاشت و برای بهبود جلسات آینده استفاده کرد
• دروس شخصی شده متناسب با نقش های خاص. به عنوان مثال، اعضای تیم مالی ممکن است در نحوه برخورد با حملات BEC به راهنمایی بیشتری نیاز داشته باشند
• گیمیفیکیشن، کارگاه ها و آزمون ها. اینها می توانند به انگیزه دادن به کاربران برای رقابت با همتایان خود کمک کنند، به جای اینکه احساس کنند توسط کارشناسان فناوری اطلاعات "آموزش" داده می شوند. برخی از محبوب ترین ابزار استفاده می شود تکنیک های گیمیفیکیشن تا آموزش «چسب‌تر»، کاربرپسندتر و جذاب‌تر شود
• تمرینات فیشینگ DIY. با توجه به انگلستان مرکز ملی امنیت سایبری (NCSC)، برخی از شرکت‌ها، کاربران را وادار می‌کنند تا ایمیل‌های فیشینگ خود را بسازند و «مشاهده بسیار غنی‌تری از تکنیک‌های مورد استفاده» را به آنها ارائه دهند.

گزارش را فراموش نکنید

پیدا کردن برنامه آموزشی که برای سازمان شما کار می کند گامی حیاتی در جهت تبدیل کارکنان به اولین خط دفاعی قوی در برابر حملات فیشینگ است. اما توجه نیز باید بر ایجاد یک فرهنگ باز متمرکز شود که در آن گزارش تلاش‌های احتمالی فیشینگ تشویق می‌شود. سازمان‌ها باید یک فرآیند ساده و واضح برای گزارش‌دهی ایجاد کنند و به کارکنان اطمینان دهند که هرگونه هشدار بررسی خواهد شد. کاربران باید در این زمینه احساس حمایت کنند، که ممکن است نیاز به خرید از سراسر سازمان داشته باشد - نه فقط فناوری اطلاعات، بلکه همچنین منابع انسانی و مدیران ارشد.

در نهایت، آموزش آگاهی از فیشینگ باید تنها بخشی از یک استراتژی چند لایه برای مقابله با تهدیدات مهندسی اجتماعی باشد. حتی بهترین کارکنان آموزش دیده ممکن است گهگاه توسط کلاهبرداری های پیچیده فریب بخورند. به همین دلیل است که کنترل‌های امنیتی نیز ضروری هستند: به احراز هویت چند عاملی، برنامه‌های پاسخ به حادثه به طور منظم آزمایش شده و فناوری‌های ضد جعل مانند DMARC فکر کنید.