Zero
(Immagine: iStock)
Il novanta per cento dei cyber attacchi di iniziare da un utente che fa clic su un messaggio, ha detto Royce Curtin, capo dell’intelligence presso la Barclays Bank, presso l’azienda di Nuove Frontiere conferenza all’inizio di questo mese.
“Le persone sono l’anello debole”, la società ha twittato mentre parlava.
Curtin non è necessario selezionare il numero puramente retorica effetto. Non c’è ricerca.
Sappiamo, per esempio, che lo spear-phishing è una tecnica preferita di advanced persistent threat (APT) gruppi. Sappiamo che la posta elettronica è come le Cose Cattive. E sappiamo che imperfetta, distratto, fallibili esseri umani non sempre si nota una e-mail è in realtà un contenitore per le Cose Cattive in mimetica.
Trend Micro ha fatto il punto in il titolo del 2012 bianco carta Spear-Phishing e-Mail: Più Favorita Attacco APT Esca. Essi hanno scoperto che “91 per cento di attacchi mirati che coinvolgono lo spear-phishing e-mail”.
“APT campagne fanno spesso uso di tattiche di spear-phishing, perché questi sono essenziali per ottenere alta classifica obiettivi di aprire e-mail di phishing. Questi obiettivi possono essere sufficientemente a conoscenza delle best practice di sicurezza per evitare ordinarie e-mail di phishing o potrebbe non avere il tempo di leggere generico del suono e di messaggi. Lo spear phishing significativamente solleva la possibilità che gli obiettivi di leggere un messaggio che consente agli aggressori di compromettere le loro reti, i” Trend Micro ha scritto.
PhishMe, una società che fornisce la minaccia di phishing gestione umana, messa a fuoco, ha riferito lo stesso il 91% figura nella loro 2017 Phishing Difesa Guida [PDF].
“Phishing rimane il N ° 1 di vettore di attacco, oggi, perché funziona … i Dipendenti sono un bersaglio facile a causa della loro suscettibilità a varie emotivo e contestuale trigger,” l’azienda ha scritto. La loro analisi ha mostrato che due dei tre di maggior successo stimoli emotivi erano la paura e l’urgenza.
“La paura e l’urgenza sono una parte normale di lavoro di tutti i giorni per molti utenti. Considera che la maggior parte dei dipendenti sono consapevole di perdere il loro posto di lavoro a causa di scarse prestazioni (paura) e sono spesso guidati da scadenze (urgenza), portando loro di essere più suscettibili di rubare con questi componenti emotive.”
Nel frattempo, in Nuova Zelanda, Università di Otago, ha analizzato l’impatto di attacchi di spear-phishing a partire da giugno 2013.
Essi hanno scoperto che quando i dipendenti sono caduto per un tentativo di phishing, di solito erano lontani dalla propria scrivania, utilizzando dispositivi mobili che non necessariamente visualizzare le email in pieno. Di solito è accaduto al di fuori dell’orario, troppo, a tarda notte, quando erano stanchi o prima cosa al mattino, quando erano impegnati a partire di casa loro routine quotidiana.
“Questa aspettativa che stiamo andando a chiedere alle persone di lavorare per lunghe ore, essere chiamata a rispondere a e-mail e domande in qualsiasi momento, ha un enorme svantaggio, e riguarda la gestione delle aspettative,” ha detto Mark Borrie, dell’università information security manager, al AusCERT Information Security Conference per il 2015.
Organizzazioni implicitamente treno agli utenti di rispondere a bad e-mail, ha detto Borrie, consentendo incoerente via e-mail di sistemi per essere utilizzato. Ha citato uno studente orario di sistema che invia messaggi di posta elettronica non dall’università di otago.ac.nz dominio, ma il nome utente otago-m esterne .dominio com, e le e-mail che conteneva un link cliccabile per un secondo, esterno diverso .dominio com.
In sintesi, quindi, le organizzazioni di creare le condizioni per aumentare i loro dipendenti vulnerabilità agli attacchi di phishing.
Phishing formazione di sensibilizzazione esiste, ovviamente, ma ha limitato l’efficacia.
Nel 2016, i ricercatori in Germania, la Friedrich-Alexander-Universität (FAU) ha rilevato che, anche quando gli utenti si sapeva che cliccando su un link potranno essere rischioso, ancora cliccato su di esso. Nella loro ricerca, il 56 per cento dei destinatari di posta elettronica, e di circa il 40 per cento di Facebook gli utenti, cliccato su un link da un mittente sconosciuto.
Mentre il 78 per cento dei partecipanti ha detto che erano a conoscenza dei rischi, il motivo più comune dato per clic è stata la curiosità.
La curiosità è stata le altre tre trigger emotivo identificato in PhishMe di ricerca, insieme con la paura e l’urgenza.
“Non interrompere gli attacchi di phishing tramite la sensibilizzazione degli utenti,” PhishMe scritto, ma che non è un argomento contro l’anti-phishing di formazione. “Puntando sulla consapevolezza non è questo il punto. La vera soluzione è comportamentali condizionata”, l’azienda ha scritto.
“Con questo livello di comprensione, possiamo condizione nostri dipendenti di essere sull’allerta per le loro reazioni naturali a e-mail malevoli, e a utilizzare quelle reazioni come un trigger per l’aspetto più strettamente tecnico e di processo errori in quello che sta vedendo.”
Le organizzazioni che si avrà successo in questa strategia avrà sviluppato una cultura del lavoro, in cui la paura e l’urgenza non sono affari come al solito, ma la bandiera rossa, e gli indicatori che qualcosa sta andando storto.
Essi hanno anche una cultura in cui in discussione le istruzioni in un messaggio, o sottolineando che le cose stanno andando male, sono visti come essere intelligente e di essere resiliente, non come un segno di incompetenza, di non essere un “giocatore di squadra”.
Ma, naturalmente, ogni organizzazione ha già che la cultura, giusto? Se non, Royce Curtin sarà citando il fatto che il 90% figura per gli anni a venire.
Relativi Copertura
Google: la Nostra caccia per gli hacker svela il phishing è molto più mortale che le violazioni dei dati
Phishing attaccanti amore Gmail.
Equifax spende $87.5 milioni di euro in caso di violazione dei dati, più le spese sul ponte
Equifax terzo trimestre utili e ricavi non erano affatto male, considerando la sua violazione dei dati debacle.
Non fare clic su questo! Come individuare una fattura di rappresentazione attacco che finge di essere da un collega (TechRepublic)
Fattura di rappresentazione, gli attacchi sono in aumento, il tentativo di scaricare malware che ruba le vittime delle credenziali.
Questo attacco di phishing finge di provenire da qualcuno di cui ti fidi
Una nuova campagna di phishing utilizza fatture e altre esche in modo da ingannare le vittime in download di software dannoso.
Cybersecurity previsioni per il 2018: è intenzione di essere “molto di più della stessa” (TechRepublic)
Forcepoint Richard Ford prevede i tipi di attacchi che potrebbero peste le imprese nel prossimo anno.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0