Video: Latihan repling..GMF (Desember 2024)
Mata-mata maya merancang rootkit rumit dan malware yang tersembunyi untuk mencuri rahasia dan mendengarkan komunikasi istimewa. Untuk memasang alat mata-mata ini, mereka biasanya mengandalkan elemen terlemah di arena keamanan; pengguna. Kampanye pendidikan untuk meningkatkan kesadaran keamanan bisa sangat membantu, tetapi ada cara yang benar dan salah untuk melakukannya.
Mengibarkan Bendera Merah
The Washington Post melaporkan minggu lalu bahwa seorang komandan tempur militer mengambil sendiri untuk mengevaluasi kemampuan unitnya untuk mendeteksi pesan phishing. Pesan pengujiannya mengarahkan penerima (kurang dari 100 dari mereka) untuk mengunjungi situs web program pensiun mereka untuk mereset kata sandi yang diperlukan. Namun, pesan yang tertaut ke situs palsu dengan URL sangat mirip dengan yang asli untuk agensi, Thrift Savings Plan.
Para penerima pintar; tidak satu pun dari mereka mengklik tautan palsu. Namun, mereka berbagi email yang mencurigakan dengan "ribuan teman dan kolega, " menyebabkan membanjirnya panggilan ke Rencana Penghematan Murah yang sebenarnya berlangsung selama berminggu-minggu. Akhirnya kepala keamanan rencana pensiun melacak pesan itu ke domain Angkatan Darat, dan Pentagon melacak pelaku. Menurut posting itu, komandan yang tidak disebutkan namanya itu "tidak ditegur karena bertindak sendiri, karena aturannya tidak jelas."
Fakta bahwa Thrift Savings Plan mengalami pelanggaran aktual pada tahun 2011 menambah faktor kekhawatiran bagi karyawan federal yang terkena dampak. Seorang pejabat pertahanan mengatakan kepada Post, "Ini adalah telur sarang orang, tabungan mereka yang diperoleh dengan susah payah. Ketika Anda mulai mendengar TSP dari semua hal, rumor pabrik merajalela." Agensi terus menerima panggilan khawatir berdasarkan uji phishing.
Pos melaporkan bahwa setiap tes phishing di masa depan akan memerlukan persetujuan oleh Kepala Informasi Pentagon. Setiap tes yang melibatkan entitas dunia nyata seperti Thrift Savings Plan akan memerlukan izin terlebih dahulu dari organisasi itu. Direktur eksekutif TSP, Greg Long membuat sangat jelas bahwa organisasinya tidak akan berpartisipasi.
Salah total
Jadi, di mana komandan tentara ini salah? Sebuah posting blog baru-baru ini oleh PhishMe CTO Aaron Higbee mengatakan, well, hampir di mana-mana. "Latihan ini melakukan setiap dosa utama dari simulasi phishing dengan kurang tujuan yang ditentukan, gagal mempertimbangkan konsekuensi yang mungkin dimiliki email, gagal berkomunikasi dengan semua pihak yang berpotensi terlibat, dan mungkin menyalahgunakan merek dagang / pakaian dagang atau materi yang dilindungi hak cipta, " kata Higbee.
"Agar efektif, serangan phishing yang disimulasikan perlu memberikan informasi kepada penerima tentang cara meningkatkan di masa mendatang, " kata Higbee. "Cara mudah untuk melakukan ini adalah memberi tahu penerima bahwa serangan itu adalah latihan, dan segera berikan pelatihan setelah mereka berinteraksi dengan email."
"Orang sering mempertanyakan nilai yang diberikan PhishMe dengan mengatakan bahwa mereka dapat melakukan simulasi latihan phishing di rumah, " kata Higbee. "Orang-orang dengan pola pikir seperti itu harus mengambil kesalahan Angkatan Darat baru-baru ini sebagai kisah peringatan." Mengidentifikasi PhishMe sebagai "juara berat yang tidak perlu" dalam pendidikan phishing, ia menyimpulkan, "Dalam 90 hari terakhir PhishMe telah mengirim 1.790.089 email. Alasan simulasi phishing kami tidak menjadi berita utama nasional adalah kami tahu apa yang kami lakukan."
Jalan yang benar
Sebuah organisasi yang membuat kontrak dengan PhishMe untuk pendidikan phishing dapat memilih berbagai gaya email pengujian, tidak ada yang melibatkan simulasi pihak ketiga seperti TSP. Misalnya, mereka dapat menghasilkan pesan yang menawarkan makan siang gratis kepada karyawan. Yang perlu mereka lakukan adalah masuk ke situs web pesanan makan siang "menggunakan nama pengguna dan kata sandi jaringan Anda." Pendekatan lain adalah serangan double-barrel yang menggunakan satu email untuk mendukung validitas yang lain - taktik yang digunakan dalam serangan Ancaman Persisten Tingkat Lanjut di dunia nyata.
Apapun gaya surat phishing dipilih, setiap pengguna yang jatuh cinta akan mendapatkan umpan balik dan pelatihan segera, dan manajemen mendapatkan statistik rinci. Dengan putaran pengujian dan pelatihan yang berulang, PhishMe bertujuan untuk mengurangi risiko penetrasi jaringan melalui phishing hingga "80 persen."
Sebagian besar organisasi terlindungi dengan baik terhadap serangan jaringan yang masuk melalui Internet. Cara termudah untuk menembus keamanan adalah dengan menipu karyawan yang mudah tertipu. Perlindungan phishing yang dibangun ke dalam suite keamanan modern bekerja dengan baik terhadap penipuan gaya siaran, tetapi serangan "spear-phishing" yang ditargetkan adalah cerita lain.
Jika Anda bertanggung jawab atas keamanan organisasi Anda, Anda benar-benar perlu mendidik karyawan tersebut agar mereka tidak tertipu. Anda mungkin dapat menangani pelatihan sendiri, tetapi jika tidak, pelatih pihak ketiga seperti PhishMe siap membantu.