视频: Артикли во французском языке; Articles (十一月 2024)
网络间谍设计了精心制作的rootkit和精心隐藏的恶意软件,以窃取秘密并侦听特权通信。 为了安装这些间谍工具,它们通常依赖于安全领域中最薄弱的环节。 用户。 为提高安全意识而开展的教育运动可能会大有帮助,但是有正确的道路和错误的道路。
升起红旗
《华盛顿邮报》上周报道说,一名陆军作战指挥官亲自评估了其部队检测网络钓鱼消息的能力。 他的测试消息指示接收者(少于100位)访问其退休金计划的网站,要求重设密码。 但是,该消息链接到一个虚假网站,其URL与该机构的真实网站Thrift Savings Plan非常相似。
接收者很聪明; 他们中没有一个人点击了虚假链接。 但是,他们与“成千上万的朋友和同事”共享了可疑的电子邮件,导致持续了数周的实际节俭计划的电话大量涌入。 最终,退休金计划的安全负责人将这一信息追溯到了一个陆军领域,而五角大楼则追查了肇事者。 根据该职位,这位未具名的指挥官“没有因为自己的行事而受到谴责,因为规则含糊不清。”
节俭储蓄计划在2011年实际遭到违反,这增加了受影响的联邦雇员的担忧因素。 一名国防官员告诉《邮报》:“这是人们的积蓄,是他们来之不易的积蓄。当您开始听到有关所有问题的TSP时,谣言四处流传。” 该机构继续根据网络钓鱼测试收到令人担忧的电话。
该帖子报告称,任何未来的网络钓鱼测试都需要得到五角大楼首席信息官的批准。 任何涉及诸如Thrift Savings Plan之类的真实实体的测试都需要获得该组织的事先许可。 TSP的执行董事格雷格·朗(Greg Long)明确表示,他的组织将不参加。
完全错误
那么,这位陆军指挥官哪里出了问题? PhishMe首席技术官Aaron Higbee在最近的博客文章中说,很好,几乎到处都有。 希格比说:“这种做法由于缺乏明确的目标,没有考虑到电子邮件可能产生的后果,没有与所有潜在的参与方进行交流,并可能滥用商标/商业外观或受版权保护的材料,从而犯下了模拟网络钓鱼的每一个主要罪过。”
Higbee说:“模拟钓鱼攻击要有效,就需要向接收者提供有关未来如何改进的信息。” “执行此操作的一种简单方法是让收件人知道攻击是一种训练,并在与电子邮件交互后立即提供训练。”
Higbee指出:“人们经常说PhishMe可以在公司内部进行模拟的网络钓鱼活动,从而质疑其价值。” “那些有这种心态的人应该把陆军最近的失误当作一个警告性的故事。” 他断定PhishMe是网络钓鱼教育的“无可争议的重量级冠军”,他总结说:“在过去90天里,PhishMe已发送了1, 790, 089封电子邮件。我们的网络钓鱼模拟之所以没有成为全国头条新闻,是因为我们知道我们在做什么。”
正确的方式
与PhishMe签约进行网络钓鱼教育的组织可以选择多种测试电子邮件样式,这些样式均不涉及模拟第三方(如TSP)。 例如,他们可以生成一条消息,为员工提供免费午餐。 他们所需要做的就是“使用您的网络用户名和密码”登录午餐订单网站。 另一种方法是双桶攻击,它使用一封电子邮件来支持另一封电子邮件的有效性,这是现实世界中的“高级持久威胁”攻击中使用的一种策略。
无论选择哪种形式的网络钓鱼邮件,任何陷入其中的用户都将立即获得反馈和培训,管理人员也将获得详细的统计信息。 通过反复的测试和培训,PhishMe旨在通过网络钓鱼将网络渗透的风险降低“最多80%”。
大多数组织都受到很好的保护,可以抵御Internet上的网络攻击。 渗透安全性的最简单方法是欺骗易受骗的员工。 内置于现代安全套件中的网络钓鱼防护可很好地抵抗广播式欺诈,但针对性的“鱼叉式网络钓鱼”攻击则是另一回事。
如果您负责组织的安全性,那么您确实需要对那些员工进行教育,以免他们受到欺骗。 您也许可以自己进行培训,但是如果没有,那么PhishMe之类的第三方培训师随时可以提供帮助。