セキュリティウォッチ 軍隊のためのフィッシング検出バックファイアに関するDIYトレーニング

軍隊のためのフィッシング検出バックファイアに関するDIYトレーニング

ビデオ: Чистая и Грязная (十一月 2024)

ビデオ: Чистая и Грязная (十一月 2024)
Anonim

サイバースパイは、秘密を盗み、特権通信を傍受するために、精巧なルートキットと巧妙に隠されたマルウェアを考案します。 これらのスパイツールをインストールするには、通常、セキュリティ分野で最も弱い要素に依存します。 ユーザー。 セキュリティ意識を高めるための教育キャンペーンは大きな助けになる可能性がありますが、それを実行する正しい方法と間違った方法があります。

赤い旗を掲げる

ワシントンポストは先週、陸軍戦闘司令官がフィッシングメッセージを検出する部隊の能力を評価するためにそれを使用したと報告しました。 彼のテストメッセージは、受信者(100人未満)に年金プランのWebサイトにアクセスしてパスワードのリセットを要求するよう指示しました。 ただし、メッセージは、代理店の実際のThrift Savings Planと非常によく似たURLを持つ偽のサイトにリンクされています。

受信者は賢明でした。 そのうちの1人が偽のリンクをクリックしたわけではありません。 しかし、彼らは疑わしい電子メールを「何千人もの友人や同僚」と共有し、実際に何週間も続いた実際の節約貯蓄プランへの問い合わせが殺到しました。 最終的に年金制度の安全保障責任者は軍の領域にメッセージを追跡し、ペンタゴンは加害者を追跡しました。 投稿によると、無名の司令官は「ルールがあいまいだったので、自分で行動したことでre責されなかった」。

2011年にThrift Savings Planが実際に違反を経験したという事実は、影響を受けた連邦政府の従業員の心配要因に追加されました。 国防当局者は、「これは人々の巣の卵、彼らの苦労して稼いだ貯金です。あなたがすべてのもののTSPを聞き始めたとき、うわさ工場は横行しました。」 代理店は、フィッシングテストに基づいて心配の電話を受け続けています。

この投稿では、今後のフィッシングテストにはペンタゴンの最高情報責任者による承認が必要になると報告されています。 Thrift Savings Planのような実世界のエンティティを含むテストには、その組織からの事前許可が必要です。 TSPのエグゼクティブディレクター、グレッグロングは、彼の組織が参加しないことを非常に明確にしました。

完全に間違っている

それで、この軍司令官はどこで間違ったのですか? PhishMeのCTOアーロンヒグビーによる最近のブログ投稿は、まあ、ほぼどこにでもあります。 「この演習では、定義された目標を欠き、電子メールが持つ可能性のある影響を考慮せず、潜在的に関係するすべての当事者と通信できず、おそらく商標/トレードドレスまたは著作権で保護された素材を濫用することにより、シミュレートされたフィッシングのすべての重大な罪を犯しました」とHigbee氏は述べています。

「効果的にするには、フィッシング攻撃をシミュレートすることで、受信者に将来の改善方法に関する情報を提供する必要があります」とHigbee氏は述べています。 「これを行う簡単な方法は、攻撃がトレーニング演習であることを受信者に知らせ、電子メールを操作した直後にトレーニングを提供することです。」

「多くの場合、PhishMeが提供する価値に疑問を投げかけるのは、社内でフィッシングをシミュレートできるということです」とHigbee氏は述べています。 「そのような考え方を持つ人は、軍隊の最近の失言を警告的な物語と見なすべきです。」 PhishMeをフィッシング教育の「議論の余地のないヘビーウェイトチャンピオン」と特定し、「過去90日間にPhishMeから1, 790, 089通のメールが送信されました。フィッシングシミュレーションが国の見出しにならないのは、私たちが何をしているのかがわかっているからです」

正しい方法

フィッシング教育のためにPhishMeと契約している組織は、さまざまなテストメールスタイルを選択できますが、いずれもTSPのようなサードパーティをシミュレートするものではありません。 たとえば、従業員に無料のランチを提供するメッセージを生成できます。 彼らがする必要があるのは、「ネットワークのユーザー名とパスワードを使用して」ランチオーダーWebサイトにログインすることだけです。 別のアプローチは、1つの電子メールを使用して別の電子メールの有効性をサポートする二重バレル攻撃です。これは、実際の高度な持続的脅威攻撃で使用される戦術です。

どのスタイルのフィッシングメールが選択されても、そのユーザーはすぐにフィードバックとトレーニングを受け、管理者は詳細な統計情報を受け取ります。 PhishMeは、繰り返しテストとトレーニングを繰り返して、フィッシングによるネットワーク侵入のリスクを「最大80%」削減することを目指しました。

ほとんどの組織は、インターネットを介したネットワーク攻撃から十分に保護されています。 セキュリティに侵入する最も簡単な方法は、だまされやすい従業員をだますことです。 最新のセキュリティスイートに組み込まれたフィッシング保護は、ブロードキャストスタイルの詐欺に対してうまく機能しますが、標的となる「スピアフィッシング」攻撃は別の話です。

組織のセキュリティを担当している場合、それらの従業員をだまされないように教育する必要があります。 トレーニングを自分で処理できる場合もありますが、そうでない場合は、PhishMeなどのサードパーティのトレーナーがお手伝いします。

軍隊のためのフィッシング検出バックファイアに関するDIYトレーニング