Nul
(Beeld: iStock)
Negentig procent van de cyber-aanvallen starten door iemand klikken op een email, zei Royce Curtin, hoofd van intelligentie bij Barclays Bank, in de Nieuwe Grenzen conferentie eerder deze maand.
“Mensen zijn de zwakste schakel, het bedrijf getweet als hij sprak.
Curtin hoefde niet te kiezen dat de nummer een zuiver retorische effect. Er is onderzoek om een back-up.
We weten bijvoorbeeld dat spearphishing is een favoriete techniek van advanced persistent threat (APT) groepen. We weten dat e-mail is hoe de Slechte Dingen. En we weten dat onvolmaakte, afgeleid, feilbare mensen niet altijd zien wanneer een e-mail is echt een container voor de Slechte Dingen in camouflage.
Trend Micro punt gemaakt in de titel van hun 2012 wit papier Spear-Phishing e-Mail: Meest Favoriete APT-Aanval Aas. Ze vond dat “91 procent van gerichte aanslagen spearphishing e-mails”.
“APT-campagnes vaak gebruik maken van spearphishing tactiek, omdat deze essentieel zijn om hoge doelen te openen phishing e-mails. Deze doelstellingen kunnen worden voldoende bewust van security best practices om te voorkomen dat gewone phishing e-mails of niet de tijd hebben om te lezen generieke klinkende berichten. Spearphishing aanzienlijk verhoogt de kans dat slachtoffers een bericht lezen dat aanvallers compromis hun netwerken,” Trend Micro schreef.
PhishMe, een bedrijf dat zorgt voor phishing-bedreiging-beheer met een menselijke focus, meldde de dezelfde 91 procent figuur in hun 2017 Phishing Verdediging Handleiding [PDF].
“Phishing blijft de Nummer 1 van de aanval van vandaag, omdat het werkt … Medewerkers eenvoudiger doelwit vanwege hun gevoeligheid voor verschillende emotionele en contextuele triggers,” de vennootschap schreef. Hun analyse toonde aan dat twee van de drie meest succesvolle emotionele triggers waren angst en urgentie.
“Angst en urgentie zijn een normaal onderdeel van het dagelijks werk is voor veel gebruikers. Bedenk dat de meeste werknemers zijn gewetensvolle over het verliezen van hun baan als gevolg van de slechte prestaties (angst) en worden vaak gedreven door deadlines (urgentie), waardoor ze gevoeliger zijn voor phish met deze emotionele componenten.”
Ondertussen in Nieuw-Zeeland, de Universiteit van Otago, onderzocht de impact van spearphishing-aanvallen vanaf juni 2013.
Zij vonden dat wanneer werknemers viel voor een phish, meestal werden ze uit de buurt van hun bureau, met behulp van mobiele apparaten die niet per se display de e-mail. Het gebeurde meestal buiten kantooruren, te, ofwel laat op de avond, toen ze moe werden, of in het eerste ding in de ochtend toen ze bezig waren aan het begin van hun huishouden de dagelijkse routine.
“Deze verwachting is dat we gaan vragen aan de mensen om lange uren te werken, worden op oproep te beantwoorden e-mails en vragen, heeft een groot nadeel, en dat is over het managen van de verwachtingen”, zegt Mark Borrie, de universiteit information security manager, op de AusCERT Information Security Conferentie in 2015.
Organisaties impliciet trainen van gebruikers om te reageren op de slechte e-mails, zei Borrie, door het toestaan van inconsistente uitziende e-mail systemen worden gebruikt. Hij haalde een student tijdschema systeem dat de verzonden e-mails niet van de universiteit van otago.ac.nz-domein, de gebruikersnaam otago-m op een externe .com-domein, en deze e-mail bevatte een link naar een tweede, andere externe .com domein.
In een notendop, dan organisaties maken het heel voorwaarden die van hun medewerkers verhogen en de kwetsbaarheid voor phishing-aanvallen.
Phishing awareness training bestaat, natuurlijk, maar het is beperkt in zijn effectiviteit.
In 2016, onderzoekers in de duitse Friedrich-Alexander-Universität (FAU) vinden dat, zelfs als de gebruikers wist dat het klikken op een link konden riskant, ze nog steeds in gedrukt hebt. In hun onderzoek, 56 procent van de ontvangers van e-mails, en circa 40 procent van de Facebook gebruikers, klikte op een link van een onbekende afzender.
Terwijl 78 procent van de deelnemers zei dat ze zich bewust waren van de risico ‘ s, de meest voorkomende reden die wordt gegeven voor het klikken was nieuwsgierigheid.
Nieuwsgierigheid is de andere top drie emotionele trigger geïdentificeerd in PhishMe ‘ s onderzoek, samen met angst en urgentie.
“Je hoeft het niet stoppen voor phishing-aanvallen, door het verhogen van de kennis van gebruikers,” PhishMe schreef, maar dat is niet een argument tegen de anti-phishing-opleiding. “De focus op bewustzijn is niet het punt. De echte oplossing is behavioral airconditioning,” de vennootschap schreef.
“Met dit niveau van begrijpen kunnen we de conditie van onze medewerkers worden op de uitkijk voor hun natuurlijke reacties op kwaadaardige e-mails, en om het gebruik van die reacties als ‘trigger’ om meer aandacht voor technische-en proces fouten in wat ze zien.”
De organisaties die zal slagen in deze strategie wordt ontwikkeld en hebben een bedrijfscultuur waar angst en urgentie zijn niet business as usual, maar zijn rode vlag indicatoren dat er iets mis gaat.
Ze hebben ook een cultuur waar het ondervragen van de instructies in een bericht, of wijst uit dat de dingen gaan fout, worden gezien als slim en veerkrachtig, niet als een teken van incompetentie, niet zijnde een “team player”.
Maar natuurlijk heeft elke organisatie heeft al die cultuur, recht? Zo niet, Royce Curtin zal citeren, dat 90 procent figuur voor de komende jaren.
Verwante Dekking
Google: Onze jacht voor hackers onthult phishing is veel dodelijker dan datalekken
Phishing aanvallers liefde via Gmail.
Equifax besteedt $87,5 miljoen op schending van de beveiliging, meer uitgaven op het dek
Equifax het derde kwartaal de winst en omzet waren niet zo slecht, gezien de inbreuk op gegevens debacle.
Klik niet! Hoe spot je een factuur imitatie aanval die pretendeert te zijn van een collega (TechRepublic)
Factuur imitatie aanvallen zijn op de stijging, het downloaden van malware die steelt van de slachtoffers van de referenties.
Deze phishing-aanval pretendeert afkomstig te zijn van iemand die u vertrouwt
Een nieuwe phishing-campagne maakt gebruik van de facturen en andere lokmiddelen om te verleiden slachtoffers in het downloaden van kwaadaardige software.
Cybersecurity voorspellingen voor 2018: het gaat om “meer van hetzelfde” (TechRepublic)
Forcepoint Richard Ford voorspelt de soorten cyberaanvallen die kunnen pest bedrijven in het komende jaar.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0