Isang hindi tumpak na pekeng pekeng Google sign-in page. Emma Williams, CC BY-NDIsang hindi tumpak na pekeng pekeng Google sign-in page. Emma Williams, CC BY-ND

Ang mga kumpanya ay pinasabog ng mga pandaraya sa phishing araw-araw. Sa isang kamakailang survey ng higit sa 500 cyber security professionals sa buong mundo, 76% iniulat na ang kanilang organisasyon ay naging biktima sa pag-atake sa phishing sa 2016. Ang pag-uusap

Ang mga scam na ito ay gumagamit ng mga email na nagsisikap na akitin ang mga tauhan upang mag-download ng mga malisyosong attachment, mag-click sa mga link na tuso, o magbigay ng mga personal na detalye o iba pang sensitibong data. Ang isang naka-target na "sibat" na phishing email na kampanya ay sinisisi para sa pag-instigate ng kamakailang pag-atake sa cyber na dulot ng isang pangunahing kapangyarihan outage sa Ukraine.

Higit pang nababahala, ang pag-atake sa phishing ngayon ay ang pinaka-popular na paraan ng paghahatid ng ransomware sa isang network ng samahan. Ito ay isang uri ng software na kadalasang ine-encrypt ng mga file o nag-lock ng mga screen ng computer hanggang mabayaran ang isang ransom. Ang mga halaga na hinihiling ay sa pangkalahatan ay medyo maliit, ibig sabihin na maraming mga organisasyon ay magbabayad lamang ng pantubos nang walang, siyempre, anumang garantiya na ang kanilang mga sistema ay mai-unlock. Sa harap ng mga pag-atake sa phishing na ito, ang mga empleyado ay naging frontline ng cyber security. Samakatuwid, ang pagbawas ng kanilang kahinaan sa mga email sa phishing ay isang kritikal na hamon para sa mga kumpanya.

Mga problema sa pagdidisiplina

Habang nakikipagpunyagi ang mga organisasyon na maglaman ng banta, ang isang ideya na nakakakuha ng traksyon ay ang potensyal na paggamit ng mga pamamaraan ng pagdidisiplina laban sa mga tauhan na nag-click sa phishing emails. Ito ay mula sa pagkumpleto ng karagdagang pagsasanay sa pormal na aksiyong pandisiplina, lalo na sa tinatawag na "repeat clickers" (mga taong tumutugon sa mga email ng phishing nang higit sa isang beses). Kinakatawan nila ang a partikular na mahina point sa cyber security.

innerself subscribe graphic

Hindi na ito kinakailangan - o, sa katunayan, ito ay isang magandang ideya. Para sa isang panimula, hindi pa rin namin maintindihan kung ano ang nagiging sanhi ng mga tao na tumugon sa mga phishing email sa unang lugar. Sinisimulan lamang ng pananaliksik ang ibabaw ng kung bakit maaaring tumugon ang mga tao sa kanila. Mga gawi sa email, lugar ng trabaho kultura at kaugalian, ang antas ng kaalaman na ang isang indibidwal ay may, kung ang empleyado ay ginulo o sa ilalim ng isang mataas na antas ng presyur - mayroon iba-iba ang pag-unawa sa mga online na panganib, lahat ng ito ay maaaring maka-impluwensya kung ang mga tao ay makapag-kilalang isang phishing email sa isang partikular na punto sa oras.

Sa kasamaang palad, ito ay nangangahulugan na mayroong higit pang mga tanong kaysa sa mga sagot. Ang ilang mga tungkulin ng trabaho ay mas mahina dahil sa mga uri ng gawain na kanilang ginagawa? Epektibo ba ang pagsasanay sa pagtuturo ng kawani tungkol sa mga panganib ng pag-atake sa phishing? Magagawa ba ng mga empleyado na unahin ang seguridad sa iba pang mga pangangailangan sa lugar ng trabaho kapag kinakailangan? Kabilang sa mga hindi alam na ito, ang pagtutuon ng pansin sa isang diskarte sa pagdidisipasyon ay tila wala pa sa panahon at mga panganib na paghihigpit sa ibang mga pagsisikap na maaaring maging mas epektibo.

Ang naka-target na pag-atake ng phishing ay nagiging nagiging mas sopistikado at mahirap na makita, kahit na para sa mga teknikal na gumagamit. Kamakailang pag-atake (sa PayPal at Google, halimbawa) ipakita ito.

Ito ay hindi kapani-paniwalang madali upang gumawa ng isang mapanlinlang na email na mukhang katulad na katulad, kung hindi halos magkapareho, sa isang lehitimong isa. Ang mga spoofed na email address, ang pagsasama ng mga tumpak na logo, tamang layout at mga lagda sa email, ay maaaring gawin ng lahat na mahirap na makilala ang isang phishing email mula sa isang tunay na isa.

Kumalma at magpatuloy

Napakahusay din sa mga Phisher paglikha ng mga sitwasyon na mapakinabangan ang posibilidad na tutugon ang mga tao. Pinatutunayan nila ang isang pagkasindak at kaginhawahan sa pamamagitan ng mga bagay tulad ng paggaya ng mga numero ng kapangyarihan sa loob ng isang organisasyon lumikha ng isang pakiramdam ng krisis. O nakatuon sila sa potensyal na negatibong epekto ng hindi pagtugon. Kapag kinikilala natin ang mas mataas na pagiging sopistikado na ipinakita sa arsenal ng phisher, nagiging mas mahirap upang bigyang-katwiran ang mga parusa sa mga empleyado dahil sa pagkahulog ng biktima sa kanilang panlilinlang.

Ang mga kunwa na pag-atake sa phishing ay madalas na ginagamit bilang isang paraan ng pagtaas ng kamalayan sa mga empleyado. Habang may mga suhestiyon ng pinabuting mga rate ng pag-click pagsunod sa naturang mga programa, ang isang kumpletong pagsusuri ng hanay ng mga potensyal na epekto sa mga empleyado ay kulang. At ang ilang mga pananaliksik Itinuturo ng mga potensyal na ang mga empleyado ay nagbigay lamang ng pagsisikap na harapin ang pananakot na parang tila nawawalan ng labanan.

Ang isang kultura ng pagsisisi at pagbibiktima ay maaari ring gawing mas gusto ng mga empleyado na aminin ang kanilang mga pagkakamali. Ang alinman sa mga kinalabasan ay malamang na makapinsala sa relasyon sa pagitan ng mga tauhan ng seguridad ng samahan at ng iba pang mga empleyado nito. Sa gayon ito ay magkakaroon ng negatibong epekto sa kultura ng seguridad ng samahan. Nagpapahiwatig ito ng isang pagbabalik sa isang awtoritaryan papel para sa seguridad, na pananaliksik palabas ay isang hakbang pabalik kung tayo ay ganap na umaakit sa mga empleyado sa mga pagkukusa sa seguridad.

Ang pagbawas sa pagkakalantad ng isang organisasyon sa pag-atake sa phishing ay kumakatawan sa isang komplikadong at umuunlad na hamon. Ang kamakailang #AskOutLoud kampanya ng pamahalaan ng Australia upang hikayatin ang mga tao na humingi ng pangalawang opinyon kapag nakatanggap sila ng isang kahina-hinalang email ay nagbibigay ng isang mahusay na halimbawa kung paano maaaring simulan ang hamon na ito na matugunan. Hinihikayat nito ang pag-uusap at mga karanasan sa pagbabahagi. Ang paggamit ng diskarte na ito ay maaaring matiyak na ang mga empleyado ay nakadarama ng kapangyarihan at hinihikayat na mag-ulat ng mga suspetsa, isang mahalagang sangkap sa pagpapanatili ng cyber security.

Ang pananaliksik ay limasin na ang cyber security ay nakasalalay sa bukas na pag-uusap, pakikilahok mula sa mga empleyado pagdating sa pagbubuo ng mga solusyon at pagtitiwala sa pagitan ng mga tauhan ng seguridad ng organisasyon at iba pang kawani. Tulad ng lumang cliché napupunta: ikaw lamang bilang malakas na bilang iyong pinakamahina link. Samakatuwid ay kinakailangan na ang lahat ng mga empleyado ay suportado upang maging isang epektibong linya sa harap sa pagtatanggol ng kanilang organisasyon.

Tungkol sa Ang May-akda

Emma Williams, Fellow ng Pananaliksik, University ng Bath at Debi Ashenden, Propesor ng Cyber ​​Security, University of Portsmouth

Ang artikulong ito ay orihinal na na-publish sa Ang pag-uusap. Basahin ang ang orihinal na artikulo.

Mga Kaugnay Books

at InnerSelf Market at Amazon