ملازمین کو فشنگ حملوں کی نشاندہی کرنے کے بارے میں تعلیم دینا نیٹ ورک کے محافظوں کے لیے انتہائی ضروری دھچکا لگا سکتا ہے۔
ڈیزائن کے لحاظ سے سیکیورٹی۔ سائبرسیکیوریٹی پیشہ ور افراد کے لیے طویل عرصے سے ایک مقدس چیز رہی ہے۔ یہ ایک سادہ سا تصور ہے: اس بات کو یقینی بنائیں کہ پروڈکٹس کو زیادہ سے زیادہ محفوظ بنانے کے لیے ڈیزائن کیا گیا ہے تاکہ لائن کے نیچے سمجھوتہ کے امکانات کو کم سے کم کیا جا سکے۔ حالیہ برسوں میں اس تصور کو مزید وسعت دی گئی ہے تاکہ کسی تنظیم کے ہر حصے میں سیکیورٹی کو سرایت کرنے کی کوشش کی طرف اشارہ کیا جا سکے – اس کی DevOps پائپ لائنوں سے لے کر اس کے ملازمین کے روز مرہ کے کام کے طریقوں تک۔ اس طرح کا سیکیورٹی فرسٹ کلچر بنانے سے، تنظیمیں سائبر تھریٹس کے لیے زیادہ لچکدار ہوں گی اور اگر وہ خلاف ورزی کا شکار ہوتی ہیں تو اپنے اثرات کو کم کرنے کے لیے بہتر طور پر لیس ہوں گی۔
ٹیکنالوجی کنٹرولز، یقیناً، اس قسم کی گہرائی سے سرایت شدہ سیکیورٹی کلچر بنانے میں مدد کرنے کے لیے ایک اہم ٹول ہیں۔ لیکن اسی طرح فشنگ بیداری کی تربیت بھی ہے - جو آج کارپوریٹ سیکیورٹی کے لیے سب سے بڑے خطرات میں سے ایک کو کم کرنے میں بہت اہم کردار ادا کرتی ہے اور اسے عام طور پر ایک اہم ہونا چاہیے۔ سائبرسیکیوریٹی بیداری کی تربیت پروگرام.
فشنگ اتنی موثر کیوں ہے؟
کے مطابق ESET دھمکی کی رپورٹ T1 202237 کے آخری چار مہینوں کے مقابلے میں 2022 کے پہلے چار مہینوں میں ای میل کی دھمکیوں میں 2021 فیصد اضافہ دیکھا گیا۔ مسدود فشنگ یو آر ایل کی تعداد تقریباً اسی شرح سے بڑھی، جس میں بہت سے سکیمرز عام مفاد کا استحصال کر رہے ہیں۔ روس یوکرین جنگ.
فشنگ گھوٹالے حملہ آوروں کے لیے مالویئر انسٹال کرنے، اسناد چوری کرنے اور صارفین کو کارپوریٹ رقم کی منتقلی کے لیے دھوکہ دینے کے کامیاب ترین طریقوں میں سے ایک ہیں۔ کیوں؟ جعل سازی کے ہتھکنڈوں کے امتزاج کی وجہ سے جو دھوکہ بازوں کو جائز بھیجنے والوں کی نقالی کرنے میں مدد کرتے ہیں، اور سوشل انجینئرنگ کی تکنیکوں کو اس کارروائی کے نتائج کے بارے میں پہلے سوچے بغیر وصول کنندہ کو کام کرنے میں جلدی کرنے کے لیے ڈیزائن کیا گیا ہے۔
ان حربوں میں شامل ہیں:
- جعلی بھیجنے والے آئی ڈیز/ڈومینز/فون نمبرز، بعض اوقات استعمال کرتے ہیں۔ typosquatting یا بین الاقوامی ڈومین نام (IDNs)
- ہائی جیک کیے گئے ارسال کنندہ کے اکاؤنٹس، جنہیں فشنگ کی کوششوں کے طور پر تلاش کرنا اکثر مشکل ہوتا ہے۔
- آن لائن تحقیق (سوشل میڈیا کے ذریعے) ٹارگٹ سپیئر فشنگ کی کوششوں کو مزید قائل کرنے کے لیے
- سرکاری لوگو، ہیڈر، فوٹرز کا استعمال
- عجلت یا جوش کا احساس پیدا کرنا جو صارف کو فیصلہ کرنے میں جلدی کرتا ہے۔
- مختصر لنکس جو بھیجنے والے کی حقیقی منزل کو چھپاتے ہیں۔
- جائز نظر آنے والے لاگ ان پورٹلز اور ویب سائٹس کی تخلیق
تازہ ترین کے مطابق ویریزون ڈی بی آئی آر رپورٹ, پچھلے سال سیکورٹی کے زیادہ تر واقعات کے لیے چار ویکٹرز کا ذمہ دار تھا: چوری شدہ اسناد، فشنگ، کمزوری کا استحصال اور بوٹنیٹس۔ ان میں سے پہلے دو انسانی غلطی کے گرد گھومتے ہیں۔ رپورٹ میں جانچ کی گئی کل خلاف ورزیوں کا ایک چوتھائی (25%) سوشل انجینئرنگ حملوں کا نتیجہ تھا۔ جب انسانی غلطیوں اور استحقاق کے غلط استعمال کو ملایا جائے تو، انسانی عنصر تمام خلاف ورزیوں کا 82 فیصد ہے۔ اس سے اس کمزور لنک کو مضبوط سیکیورٹی چین میں تبدیل کرنا کسی بھی CISO کے لیے ترجیح بننا چاہیے۔
فشنگ کس چیز کا باعث بن سکتی ہے؟
پچھلے دو سالوں میں اگر کوئی چیز اس سے بھی بڑا خطرہ بن گئی ہے تو فشنگ حملے ہیں۔ ممکنہ طور پر غیر پیچ شدہ اور غیر محفوظ آلات کے ساتھ مشغول گھریلو کارکنوں کو دھمکی دینے والے اداکاروں نے بے رحمی سے نشانہ بنایا ہے۔ اپریل 2020 میں، گوگل نے دعوی کیا۔ عالمی سطح پر ہر ایک دن زیادہ سے زیادہ 18 ملین نقصان دہ اور فشنگ ای میلز کو بلاک کرنا۔
چونکہ ان میں سے بہت سے کارکن دفتر واپس جاتے ہیں، اس بات کا خطرہ بھی ہے کہ وہ مزید SMS (مسکراہٹ) اور وائس کال پر مبنی (وشنگ) حملوں کا شکار ہوں گے۔ چلتے پھرتے صارفین کے لنکس پر کلک کرنے اور منسلکات کھولنے کا امکان زیادہ ہو سکتا ہے جو انہیں نہیں کرنا چاہیے۔ یہ اس کی قیادت کر سکتے ہیں:
مالی اور شہرت کے اثرات بہت زیادہ ہیں۔ جبکہ ڈیٹا کی خلاف ورزی کی اوسط لاگت زیادہ ہے۔ آج $4.2 ملین، ایک ریکارڈ بلند، کچھ رینسم ویئر کی خلاف ورزیوں کی قیمت ہے۔ کئی بار کہ.
کون سی تربیتی حکمت عملی کام کرتی ہے؟
ایک حالیہ عالمی مطالعہ نے انکشاف کیا کہ آنے والے سال کے دوران تنظیموں کے لیے ملازمین کے لیے سیکورٹی کی تربیت اور آگاہی سب سے اوپر خرچ کرنے کی ترجیح ہے۔ لیکن ایک بار یہ فیصلہ ہو جانے کے بعد، کون سی حکمت عملی سرمایہ کاری پر بہترین منافع فراہم کرے گی؟ تربیتی کورس اور ٹولنگ پر غور کریں جو فراہم کرتا ہے:
- تمام فشنگ چینلز (ای میل، فون، سوشل میڈیا، وغیرہ) پر جامع کوریج
- تفریحی اسباق جو خوف پر مبنی پیغامات کے بجائے مثبت کمک کا استعمال کرتے ہیں۔
- حقیقی دنیا کی نقلی مشقیں جنہیں آئی ٹی عملے کے ذریعے تبدیل کیا جا سکتا ہے تاکہ ابھرتی ہوئی فشنگ مہمات کی عکاسی کی جا سکے۔
- 15 منٹ سے زیادہ کے مختصر کاٹنے والے اسباق میں سال بھر مسلسل تربیتی سیشن
- تمام ملازمین کے لیے کوریج بشمول temps، ٹھیکیداروں اور سینئر ایگزیکٹوز۔ نیٹ ورک تک رسائی اور کارپوریٹ اکاؤنٹ کے ساتھ کوئی بھی شخص ممکنہ فشنگ ہدف ہے۔
- تجزیات ان افراد کے بارے میں تفصیلی تاثرات فراہم کرنے کے لیے جنہیں اس کے بعد شیئر کیا جا سکتا ہے اور آگے بڑھنے والے سیشنز کو بہتر بنانے کے لیے استعمال کیا جا سکتا ہے۔
- مخصوص کرداروں کے مطابق ذاتی نوعیت کے اسباق۔ مثال کے طور پر، مالیاتی ٹیم کے اراکین کو BEC حملوں سے نمٹنے کے طریقے کے بارے میں اضافی رہنمائی کی ضرورت ہو سکتی ہے۔
- گیمیفیکیشن، ورکشاپس اور کوئز۔ یہ صارفین کو اپنے ساتھیوں کے خلاف مقابلہ کرنے کی ترغیب دینے میں مدد کر سکتے ہیں، بجائے اس کے کہ یہ محسوس کریں کہ انہیں IT ماہرین کی طرف سے "سکھایا" جا رہا ہے۔ کچھ مقبول ترین اوزار استعمال کرتے ہیں۔ گیمیفیکیشن تکنیک ٹریننگ کو مزید صارف دوست اور پرکشش بنانے کے لیے
- DIY فشنگ مشقیں۔ برطانیہ کے مطابق نیشنل سائبر سیکیورٹی سینٹر (NCSC)، کچھ کمپنیاں صارفین کو "استعمال کی جانے والی تکنیکوں کا زیادہ بہتر نظارہ" فراہم کرتے ہوئے اپنی خود کی فشنگ ای میلز بنانے کے لیے تیار کرتی ہیں۔
رپورٹ کرنا نہ بھولیں۔
آپ کی تنظیم کے لیے کام کرنے والے تربیتی پروگرام کو تلاش کرنا ملازمین کو فشنگ حملوں کے خلاف دفاع کی ایک مضبوط پہلی لائن میں تبدیل کرنے کی جانب ایک اہم قدم ہے۔ لیکن ایک کھلا کلچر بنانے پر بھی توجہ مرکوز کی جانی چاہیے جہاں ممکنہ فشنگ کوششوں کی اطلاع دینے کی حوصلہ افزائی کی جاتی ہے۔ اداروں کو رپورٹنگ کے لیے استعمال میں آسان، واضح عمل بنانا چاہیے اور عملے کو یقین دلانا چاہیے کہ کسی بھی انتباہات کی چھان بین کی جائے گی۔ صارفین کو اس میں تعاون محسوس کرنا چاہیے، جس کے لیے پوری تنظیم سے خریداری کی ضرورت پڑ سکتی ہے—نہ صرف IT بلکہ HR اور سینئر مینیجرز بھی۔
بالآخر، فشنگ بیداری کی تربیت سماجی انجینئرنگ کے خطرات سے نمٹنے کے لیے کثیر پرت والی حکمت عملی کا صرف ایک حصہ ہونا چاہیے۔ یہاں تک کہ بہترین تربیت یافتہ عملہ بھی کبھی کبھار نفیس گھوٹالوں سے دھوکا کھا سکتا ہے۔ اسی لیے سیکیورٹی کنٹرولز بھی ضروری ہیں: سوچیں کہ ملٹی فیکٹر توثیق، باقاعدگی سے تجربہ شدہ واقعے کے ردعمل کے منصوبے، اور اینٹی سپوفنگ ٹیکنالوجیز جیسے DMARC۔
