Zawsze jest trochę opadu po poważne naruszenie bezpieczeństwa .
Ten w tym tygodniu jest jednym z najbardziej niepokojące wydarzenia roku w bezpieczeństwie internetowym. Grupa o nazwie Impact Team ukradła dane 37 milionów kont użytkowników, od informacji o kartach kredytowych po preferencje seksualne. I mają teraz opublikował dane . Pojawia się na pierwszych stronach gazet, a sytuacja będzie się tylko pogarszać.
W przypadku małych firm głównym skutkiem będzie nowa runda oszustw phishingowych, które mogą wpłynąć na Twoją firmę. W rzeczywistości domyślam się, że pracownicy pracujący dla Ciebie otrzymali już e-mail dotyczący włamania do Ashley Madison.
Oto jak to wszystko działa. Ponieważ jesteśmy tak bardzo zależni od e-mail , zwykle przetwarzamy je szybko i najpierw skanujemy w poszukiwaniu najbardziej godnych uwagi wiadomości. Gdy pracownicy przeglądają swoją listę i widzą komunikat „Znamy Twoją historię seksualną” – kliknij tutaj, aby uniknąć upublicznienia jej, jak myślisz, co zrobią? Większość kliknie. Prawdopodobnie będą już wiedzieć o włamaniu. Prawdopodobnie nie mają konta na stronie AshleyMadison.com, ale to wciąż duży temat.
oszustwa phishingowe zwykle nie wiążą się z kradzieżą danych. W rzeczywistości mają tendencję do rozpoczynania łańcucha wydarzeń. Link może być po prostu sposobem na zbieranie wiadomości e-mail. Druga wiadomość może być bardziej bezpośrednia i konkretna. Może pierwsza wiadomość przynajmniej określa nazwę Twojej firmy. Drugi wykorzystuje nazwę firmy w nagłówku e-maila. Lub drugi e-mail z wezwaniem do zapłaty. Oszustwo prawdopodobnie nie będzie miało nic wspólnego z Ashley Madison ani naruszeniem danych.
Ta sztuczka nazywa się ransomware , i zasadniczo jest to sztuczka, aby skłonić ludzi do kliknięcia. Oszustwo może być jednak znacznie bardziej skomplikowane. Łącze może również zainfekować komputer i zaszyfrować dane. Jednak prawie zawsze zaczyna się od kliknięcia linku wysłanego e-mailem lub takiego, który pracownik znajdzie w Internecie.
Rozmawiałem z ekspertami z firmy ochroniarskiej KnowBe4 i kilka innych firm kilka razy na ten temat, i ciągle słyszę, że najlepszą obroną jest szkolenie pracowników. Pewien czytelnik powiedział mi niedawno, że odpowiada za bezpieczeństwo w małej firmie i zamierza przeprowadzić eksperyment polegający na phishingu, w którym tworzy fałszywe konto, wysyła oszustwo, a następnie śledzi, którzy pracownicy faktycznie klikają łącze. To dość pomysłowe, bo to sposób na sprawdzenie, czy naprawdę jest problem. Może wrócić do tych pracowników i ponownie ich przeszkolić (lub zbesztać).
Radzę zorganizować szybkie, zaimprowizowane spotkanie z pracownikami i wyjaśnić, że pojawił się nowy poważny hack, który wywołuje efekt domina. Ostrzegaj pracowników o klikaniu linków i otwieraniu podejrzanych wiadomości e-mail (lub skorzystaj z taktyk wymienionych powyżej). Jestem tutaj, aby pomóc, więc jeśli potrzebujesz więcej pomysłów na to, jak przeprowadzić to spotkanie lub co powiedzieć, po prostu pinguj mnie przez e-mail .
