التدريب ديي على نتائج التصيد العكسي للجيش

يبتكر الجواسيس الإلكترونيون جذور خفية معقدة وبرامج ضارة خفية من أجل سرقة الأسرار والاستماع إلى الاتصالات المميزة. لتثبيت أدوات التجسس هذه ، فإنها تعتمد عادة على أضعف عنصر في حلبة الأمان ؛ المستخدم. يمكن أن تكون الحملات التعليمية لزيادة الوعي الأمني ​​مساعدة كبيرة ، ولكن هناك طريقة صحيحة وطريقة خاطئة للقيام بذلك.

رفع الأعلام الحمراء

ذكرت صحيفة واشنطن بوست الأسبوع الماضي أن قائدًا في الجيش أخذ على عاتقه تقييم قدرة وحدته على اكتشاف رسائل الخداع. وجهت رسالة الاختبار المستلمين (أقل من 100 منهم) لزيارة موقع خطة المعاشات التقاعدية الخاصة بهم لإعادة تعيين كلمة المرور المطلوبة. ومع ذلك ، فإن الرسالة المرتبطة بموقع مزيف بعنوان URL مشابه جدًا للرسالة الحقيقية لوكالة Thrift Savings Plan.

المستلمون كانوا أذكياء. لا واحد منهم النقر على الرابط وهمية. ومع ذلك ، فقد قاموا بمشاركة البريد الإلكتروني المشبوه مع "الآلاف من الأصدقاء والزملاء" ، مما تسبب في طوفان من المكالمات إلى خطة الادخار الفعلية التي استمرت لمدة أسابيع. في نهاية المطاف ، تتبع رئيس الأمن في خطة التقاعد رسالة إلى مجال الجيش ، وتعقب البنتاغون الجاني. وفقا لهذا المنصب ، فإن القائد الذي لم يكشف عن اسمه "لم يتم توبيخه على التصرف من تلقاء نفسه ، لأن القواعد كانت غامضة".

حقيقة أن خطة الادخار الادخار واجهت خرقا فعليا في عام 2011 إضافة إلى عامل القلق للموظفين الفيدراليين المتضررين. وقال مسؤول دفاعي لصحيفة واشنطن بوست: "هذه بيض عش للناس ، مدخراتهم بشق الأنفس. عندما بدأت تسمع TSP بكل شيء ، أصبحت مطحنة الإشاعات منتشرة". تواصل الوكالة تلقي مكالمات قلق بناءً على اختبار التصيد.

يفيد المنشور أن أي اختبارات تصيد مستقبلية ستتطلب موافقة كبير مسؤولي المعلومات في البنتاغون. سيتطلب أي اختبار يتضمن كيانًا حقيقيًا مثل خطة التوفير Thrift إذنًا مسبقًا من تلك المؤسسة. أوضح المدير التنفيذي لـ TSP جريج لونج أن منظمته لن تشارك.

مخطئ تماما

إذن ، أين أخطأ قائد الجيش هذا؟ تدوّن مدونة منشورات حديثة لـ PhishMe CTO آرون هيبي ، حسناً ، في كل مكان تقريبًا. وقال هيبي: "ارتكب هذا التمرين كل خطيئة أساسية للتصيد الاحتيالي بالافتقار إلى أهداف محددة ، وفشل في النظر في التداعيات التي قد تكون للبريد الإلكتروني ، وعدم التواصل مع جميع الأطراف التي يحتمل أن تكون متورطة ، وربما إساءة استخدام العلامات التجارية / اللباس التجاري أو المواد المحمية بحقوق النشر".

وقال هيبي: "لكي تكون فعالة ، فإن هجوم التصيد الاحتيالي يحتاج إلى تزويد المتلقي بمعلومات حول كيفية التحسن في المستقبل". "هناك طريقة سهلة للقيام بذلك وهي السماح للمتلقين بمعرفة أن الهجوم كان تمرينًا تدريبيًا ، وتوفير التدريب فورًا بعد تفاعلهم مع البريد الإلكتروني."

"عادة ما يتساءل الناس عن القيمة التي يوفرها PhishMe بقولهم إنهم يستطيعون إجراء تمرينات تصيد داخلي محاكية" ، كما أشار هيجبي. "أولئك الذين لديهم تلك العقلية يجب أن يأخذوا فكرة" الجيش "الأخيرة كقصة تحذيرية". واختتم بقوله إن تعريف PhishMe بأنه "أبطال الوزن الثقيل بلا منازع" لتعليم التصيد الاحتيالي ، "في الـ 90 يومًا الماضية ، بعثت PhishMe بـ 1،790،089 بريدًا إلكترونيًا. والسبب في أن عمليات محاكاة التصيد لدينا لا تتصدر عناوين الصحف الوطنية هي أننا نعرف ما نقوم به."

الطريق الصحيح

يمكن للمؤسسة التي تتعاقد مع PhishMe لتعليم التصيد الاحتيالي أن تختار مجموعة متنوعة من أنماط اختبار البريد الإلكتروني ، لا يتضمن أي منها محاكاة طرف ثالث مثل TSP. على سبيل المثال ، يمكنهم إنشاء رسالة تقدم للموظفين وجبة غداء مجانية. كل ما يحتاجون إليه هو تسجيل الدخول إلى موقع طلب الغداء "باستخدام اسم مستخدم الشبكة وكلمة المرور." هناك طريقة أخرى تتمثل في الهجوم ذي الأسطوانة المزدوجة والذي يستخدم بريدًا إلكترونيًا واحدًا لدعم صلاحية أخرى - وهو تكتيك يستخدم في هجمات تهديد الوضع المستمر المتقدمة في العالم الحقيقي.

أيًا كان أسلوب بريد التصيد الاحتيالي الذي يتم اختياره ، فإن أي مستخدم يوافق عليه يتلقى تعليقات وتدريب فوريين ، وتحصل الإدارة على إحصائيات مفصلة. مع جولات متكررة من الاختبارات والتدريب ، يهدف PhishMe إلى تقليل خطر تغلغل الشبكة عبر التصيد بنسبة "تصل إلى 80 في المائة".

معظم المنظمات محمية بشكل جيد ضد هجمات الشبكة التي تأتي عبر الإنترنت. أسهل طريقة لاختراق الأمان هي خداع موظف ساذج. تعمل حماية الخداع المضمّنة في أجنحة الأمان الحديثة بشكل جيد ضد عمليات الاحتيال على نمط البث ، ولكن هجمات "التصيد العشوائي" المستهدفة هي قصة أخرى.

إذا كنت مسؤولاً عن أمن مؤسستك ، فأنت بحاجة فعلاً إلى تثقيف هؤلاء الموظفين حتى لا يتم خداعهم. قد تكون قادرًا على التعامل مع التدريب بنفسك ، ولكن إذا لم يكن الأمر كذلك ، فإن مدربي الطرف الثالث مثل PhishMe مستعدون للمساعدة.