Att avvärja bedragarna: hur organisationer kan skydda sig från cyberattacker (Aileen Allkins)

2015 fick en ledande befattningshavare på Mattel ett mejl från företagets nytillträdde vd. Anteckningen begärde handläggning av en försenad betalning till en bekant tillverkare. Genom att agera på e-postmeddelandet satte den verkställande ledningen igång ett misstag på 3 miljoner dollar.

Cyberattacker av det här slaget är kända som "valfångst"-e-postmeddelanden, som snarare än "copy-paste"-metoden för nätfiskemeddelanden som är bekanta med alla med en e-postadress, använder mycket specifik, ultrarealistisk mimik för att rikta in sig på chefer på hög nivå.

E-postmeddelanden om valfångst kan innehålla olika skändliga element, såsom länkar till skadlig programvara eller förfrågningar om överföring av pengar eller känslig data. Oavsett angriparens speciella tillvägagångssätt beror framgången för valfångstförsök på luckor i målets digitala läskunnighet.

Oro över cybersäkerhet är särskilt högt upp på agendan inom den finansiella tjänstesektorn, och både Bank of England och Europeiska centralbanken krävde nyligen stora långivare att tillhandahålla detaljerade planer för hur de skulle reagera på ett cyberintrång mitt i en bredare uppmaning att slå ner om cybersäkerhet i sektorn. Som en del av sitt tillvägagångssätt för att ta itu med problemet måste organisationer för finansiella tjänster se till att personal på alla nivåer är uppfostrad i att identifiera och reagera på ett cybersäkerhetsbrott.

På uppgång

45 % av säkerhets- och IT-experterna nyligen tillfrågade av PwC förutspådde en ökning av ransomware-attacker, och AI gör det möjligt för hackare som använder valfångst för att begå bedrägerier med precision som aldrig tidigare skådats. Över 60 nationellt "betydande" cyberattacker ägde rum i Storbritannien 2022,
enligt National Cyber ​​Security Center

Även när cybersäkerhetsprogram finns på plats är enskilda anställda ofta spetsen i ett företags rustning. Brandväggar, nätfiskefilter och antivirusprogram är viktiga, men förekomsten av bra cybersäkerhetsutbildning och kompetens inom hela personalstyrkan är en avgörande försvarslinje mot ett allvarligt dataintrång som orsakar förlust av miljontals dollar.

Även om verktygen som används för att underlätta attacker som valfångst kan vara sofistikerade, finns det några enkla men mycket effektiva processer som individer kan tränas i för att skydda ett företag från valfångst och andra typer av cyberattacker.

Cybersäkerhetskompetens för alla

Digital läskunnighet är en förutsättning för alla roller som involverar arbete med teknik, vilket täcker de allra flesta positioner inom finansiella tjänster. Cybersäkerhetsmedvetenhet är en avgörande del av detta. Företag är till stor del medvetna om behovet av cybersäkerhetssystem på hög nivå, men förbiser ofta rollen av individers digitala kapacitet för att upprätthålla ett säkert digitalt ekosystem.

Cybersäkerhet bör därför inte ses som en fristående funktion under enbart den tekniska avdelningens ansvar, utan en kompetens som måste finnas i hela organisationen. Personalen bör regelbundet utbildas i cybersäkerhet för att hålla anställda uppdaterade med protokoll och för att säkerställa företagets medvetenhet om potentiella hot och bästa praxis.

Till exempel, att veta hur man identifierar bedrägliga e-postadresser, att vara noggrann med att inte öppna oönskade bilagor och att känna till de rätta kanalerna för att rapportera misstänkta attacker är grundläggande men ändå högeffektiva färdigheter som alla anställda bör utbildas i. Det är också viktigt att alla anställda är utbildade i de omedelbara åtgärder de bör vidta om deras enheter har infekterats med skadlig programvara eller ett falskt e-postmeddelande har lyckats för att säkerställa att attackens effekter mildras så bra som möjligt.

Flit över hela linjen

Valfångarnas styrka ligger i deras förmåga att nära efterlikna en anställd genom att använda en e-postadress en bokstav bort från den autentiska adressen, språk i linje med den autentiska avsändarens typiska röst och detaljer om äkta affärer eller händelser som är bekanta för målet. Oavsett om kommunikationen är utformad via AI eller av en person, förlitar sig valfångst på källdata för att imitera.

Personlig information som födelsedagar och hobbyer hämtade från profiler på sociala medier kan lägga till övertygande detaljer till förfalskad kommunikation, och hackare har till och med varit kända för att använda schemadata från kasserade dokument för att undvika att kontakta ett offer när de är i ett möte med individen som utger sig för att vara person.

Pågående kunskaper om cybersäkerhet bör vara grunden för att skapa en kultur med medvetenhet om operativ säkerhet. Att utveckla en känsla av vilken information som kan utgöra en risk och att veta hur man korrekt skyddar information säkerställer att individer kan identifiera och stoppa till synes ofarlig aktivitet som ger bränsle åt hackare. Teammedlemmar bör utbildas i hur man säkerställer att deras personliga onlinenärvaro inte möjliggör hackare genom kunskap om sekretessinställningar, konfigurering av brandväggar, antivirusprogram och användning av kryptering.

Två är ett magiskt tal

Även om implementering av cybersäkerhetsmedvetenhet i en arbetsstyrka kan ge en kraftfull sköld mot många hacks, är ett andra filter för verifiering av alla känsliga åtgärder, såsom överföring av pengar eller data, också viktigt.

Valfångsattacker beror i hög grad på auktoriteten hos den individ som riktas mot. Även för chefer på hög nivå måste protokoll finnas på plats för att förhindra en person från att verifiera en åtgärd utan sekundärt förtydligande.

Tvåstegsverifiering kan vara en automatiserad process inbäddad i företagets programvara eller manuella processer. Oavsett om det andra steget i verifieringen kommer från en separat individ eller från samma person, men på en annan plattform, bör företaget se till att personalen är fullt utbildad i korrekt praxis för tvåstegsverifiering, och regelbunden cybersäkerhetsutbildning gör denna praxis vanemässigt.  

Cybersäkerhetskunskaper är ingen lyx

Även de mest robusta automatiserade cybersäkerhetssystemen kan göras överflödiga av hackare som kan mobilisera en organisations människor mot dem. Pågående insatser och uppdaterad utbildning om säkra metoder är centrala för att förhindra valfångst och andra typer av cyberattacker.

Företag bör genomföra regelbundna utvärderingar av sin cybersäkerhetsinfrastruktur, policyer och sin personals kompetens för att säkerställa att alla arbetar effektivt för att försvara sig mot alla möjliga attacker. Detta kräver att människor utbildas för att korrekt utföra dessa bedömningar och upprätthålla bästa praxis, eller så kan företag se till att investera i externt cybersäkerhetsstöd.

Investeringar i cybersäkerhetskompetens är inte en lyx, utan en nödvändighet, och de som misslyckas med att korrekt installera och underhålla system och protokoll för att försvara sig mot hackare lämnar sig öppna för bedrägerier eller dataintrång. Med tillsynsmyndigheter och statliga organ som ägnar särskild uppmärksamhet åt finanssektorns sårbarhet för cyberattacker, är det en fråga som inte har råd att vänta.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
• Minting the Future med Adryenn Ashley. Tillgång här.
• Källa: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs