Jangan menyabot keamanan Anda sendiri, latih pengguna Anda

Saya pikir pertama kali saya melihat email phising adalah kembali pada tahun 2000 ketika saya sedang mengerjakan proyek pengujian dengan Oliver Rist, yang sekarang menjadi Editor Bisnis PCMag. Suatu pagi kami berdua menerima email dengan baris subjek, "I Love You, " yang juga merupakan isi email dan ada lampiran. Kami berdua langsung tahu bahwa email itu harus palsu karena, sebagai editor majalah, kami tahu bahwa tidak ada yang menyukai kami. Kami tidak mengklik lampiran. Kami, pada dasarnya, bertindak sebagai firewall manusia. Kami mengenali surel palsu pada pandangan, dan kami menghapusnya daripada membiarkan isinya menyebar ke komputer kami dan seluruh jaringan.

Bahkan saat itu, serangan seperti ini disebut "rekayasa sosial" oleh set hacker. Saat ini, email phishing mungkin adalah versi paling terkenal dari jenis eksploitasi ini. Mereka ditujukan terutama untuk mencuri kredensial keamanan tetapi mereka juga mampu memberikan jenis malware lain, terutama ransomware. Tetapi perlu dicatat bahwa ada jenis lain dari serangan rekayasa sosial selain phishing, termasuk beberapa di mana serangan itu fisik daripada digital.

Manusia: Masih Memimpin Serangan Vektor

Alasan mengapa email phising begitu dikenal luas adalah karena mereka sangat umum. Saat ini, cukup adil untuk mengatakan bahwa siapa pun yang memiliki akun email akan menerima email phishing di beberapa titik. Email tersebut sering berpura-pura berasal dari bank Anda, perusahaan kartu kredit Anda, atau bisnis lain yang sering Anda kunjungi. Tetapi email phishing juga bisa menjadi ancaman bagi organisasi Anda karena penyerang mencoba menggunakan karyawan Anda untuk melawan Anda. Versi awal lain dari serangan ini datang selama masa keemasan faks ketika penyerang hanya akan mengirim faks faktur untuk layanan yang tidak pernah diberikan kepada perusahaan besar, dengan harapan bahwa eksekutif yang sibuk akan mengirimkannya untuk pembayaran.

Mengejutkan Phishing ternyata efektif. Menurut sebuah studi oleh firma hukum BakerHostetler, yang melihat 560 pelanggaran data tahun lalu, phishing adalah penyebab utama insiden keamanan data hari ini.

Sayangnya, teknologi belum berhasil dengan serangan phishing. Meskipun ada sejumlah perangkat keamanan dan paket perangkat lunak yang dirancang untuk menyaring email berbahaya, orang jahat yang membuat email phishing bekerja keras untuk memastikan serangan mereka lolos dari celah. Sebuah studi oleh Cyren menunjukkan bahwa pemindaian email memiliki tingkat kegagalan 10, 5 persen dalam menemukan email berbahaya. Bahkan dalam bisnis kecil hingga menengah (SMB), yang dapat menambahkan hingga banyak email, dan siapa pun yang mengandung serangan rekayasa sosial dapat menjadi ancaman bagi organisasi Anda. Dan bukan ancaman umum seperti halnya sebagian besar malware yang berhasil menyelinap dengan langkah-langkah perlindungan titik akhir Anda, tetapi jenis yang lebih jahat yang secara khusus ditargetkan pada data dan sumber daya digital Anda yang paling berharga.

Saya diberitahu untuk laporan Cyren selama percakapan dengan Stu Sjouwerman, pendiri dan CEO KnowBe4, sebuah perusahaan yang dapat membantu profesional sumber daya manusia (SDM) mengajarkan kesadaran keamanan. Sjouwerman-lah yang memunculkan istilah "firewall manusia" dan yang juga membahas "peretasan manusia." Sarannya adalah agar organisasi dapat mencegah atau mengurangi efektivitas serangan rekayasa sosial dengan beberapa pelatihan yang konsisten yang dilakukan dengan cara yang juga melibatkan staf Anda dalam menyelesaikan masalah.

Tentu saja, banyak organisasi memiliki sesi pelatihan kesadaran keamanan. Anda mungkin pernah menghadiri beberapa pertemuan di mana kopi lama dipasangkan dengan donat basi, sementara seorang kontraktor yang disewa oleh HR menghabiskan waktu 15 menit untuk memberitahu Anda agar tidak jatuh cinta pada email phishing - tanpa benar-benar memberi tahu Anda apa itu atau menjelaskan apa yang harus dilakukan jika Anda pikir Anda telah menemukan satu. Ya, pertemuan itu.

Apa yang disarankan Sjouwerman bekerja lebih baik adalah menciptakan lingkungan pelatihan interaktif di mana Anda memiliki akses ke email phishing aktual di mana Anda dapat memeriksanya. Mungkin memiliki upaya kelompok di mana semua orang mencoba melihat faktor-faktor yang mengarah ke email phishing, seperti ejaan yang buruk, alamat yang hampir terlihat nyata, atau permintaan yang, pada pemeriksaan, tidak masuk akal (seperti meminta transfer langsung dari dana perusahaan kepada penerima yang tidak dikenal).

Membela Teknik Sosial

Tetapi Sjouwerman juga menunjukkan bahwa ada lebih dari satu jenis rekayasa sosial. Dia menawarkan seperangkat alat gratis di situs web KnowBe4 yang dapat digunakan perusahaan untuk membantu karyawan mereka belajar. Dia juga menyarankan sembilan langkah berikut yang bisa diambil perusahaan untuk melawan serangan rekayasa sosial.

• Buat firewall manusia dengan melatih staf Anda untuk mengenali serangan rekayasa sosial ketika mereka melihatnya.
• Sering-seringlah melakukan tes rekayasa sosial yang disimulasikan untuk menjaga agar karyawan Anda tetap waspada.
• Melakukan uji keamanan phishing; Knowbe4 memiliki yang gratis.
• Waspada terhadap penipuan CEO. Ini adalah serangan di mana penyerang membuat email palsu yang tampaknya berasal dari CEO atau perwira tinggi lainnya, mengarahkan tindakan seperti transfer uang secara mendesak. Anda dapat memeriksa untuk melihat apakah domain Anda dapat dipalsukan dengan menggunakan alat gratis dari KnowBe4.
• Kirim email phising yang disimulasikan kepada karyawan Anda dan sertakan tautan yang akan memberi tahu Anda jika tautan itu diklik. Pantau karyawan yang jatuh cinta padanya dan fokuskan pelatihan pada mereka yang jatuh cinta lebih dari satu kali.
• Bersiaplah untuk "vishing, " yang merupakan jenis rekayasa sosial voicemail di mana pesan dibiarkan yang mencoba untuk mendapatkan tindakan dari karyawan Anda. Mereka mungkin tampak panggilan dari penegak hukum, Internal Revenue Service (IRS), atau bahkan dukungan teknis Microsoft. Pastikan karyawan Anda tahu untuk tidak membalas panggilan itu.
• Alert karyawan Anda untuk "phishing teks" atau "SMiShing (phising SMS), " yang seperti phising email tetapi dengan pesan teks. Dalam hal ini, tautan dapat dirancang untuk mendapatkan informasi sensitif, seperti daftar kontak, dari ponsel mereka. Mereka harus dilatih untuk tidak menyentuh tautan dalam pesan teks, meskipun itu tampaknya berasal dari teman.
• Serangan Universal Serial Bus (USB) ternyata sangat efektif dan merupakan cara yang andal untuk menembus jaringan ber-udara. Cara kerjanya adalah seseorang meninggalkan memory stick USB di toilet, tempat parkir, atau tempat-tempat lain yang sering dikunjungi oleh karyawan Anda; mungkin tongkat memiliki logo atau label yang menarik. Ketika karyawan menemukan dan memasukkannya ke komputer yang praktis - dan mereka akan melakukannya jika mereka tidak diajari sebaliknya - maka malware di dalamnya masuk ke jaringan Anda. Inilah bagaimana malware Stuxnet menembus program nuklir Iran. Knowbe4 memiliki alat gratis untuk menguji ini juga.
• Serangan paket juga sangat efektif. Di sinilah seseorang muncul dengan banyak kotak (atau kadang-kadang pizza) dan meminta untuk dibiarkan masuk sehingga mereka dapat dikirim. Meskipun Anda tidak melihat, mereka memasukkan perangkat USB ke komputer terdekat. Karyawan Anda perlu dilatih dengan melakukan serangan simulasi. Anda dapat mendorong mereka dengan melatih untuk ini dan kemudian membagikan pizza jika mereka melakukannya dengan benar.

Seperti yang Anda lihat, rekayasa sosial bisa menjadi tantangan nyata dan itu bisa jauh lebih efektif daripada yang Anda inginkan. Satu-satunya cara untuk melawannya adalah dengan secara aktif melibatkan karyawan Anda dalam menemukan serangan seperti itu dan memanggil mereka. Dilakukan dengan benar, karyawan Anda akan benar-benar menikmati prosesnya - dan mungkin mereka juga akan mendapatkan pizza gratis.