Noll
(Bild: iStock)
Nittio procent av it-attacker börja med att någon klickar på en e-post, sade Royce Curtin, chefen för intelligence på Barclays Bank i bolagets Nya Gränser konferensen tidigare denna månad.
“Människor är den svaga länken,” bolaget twittrade när han talade.
Curtin inte behöver för att välja det nummer som rent retorisk effekt. Det är forskning för att backa upp det.
Vi vet till exempel att spearphishing är en populär teknik för avancerade ihållande hot (APT) grupper. Vi vet att e-post är hur Dåliga Saker och ting komma till oss. Och vi vet att vi är ofullkomliga, distraherad, ofullkomliga människor inte alltid märker när ett e-postmeddelande är verkligen en behållare för Dåliga Saker i kamouflage.
Trend Micro i den avdelning av deras 2012 vitt papper Spear-Phishing E-post: Mest Gynnade APT Attackera Betet. De fann att “91 procent av riktade attacker innebär spearphishing e-post”.
“APT kampanjer ofta använda sig av spearphishing taktik eftersom dessa är nödvändiga för att få högt uppsatta mål för att öppna phishing e-post. Dessa mål kan antingen vara tillräckligt medvetna om säkerhet för bästa praxis för att undvika vanliga phishing e-post eller kanske inte har tid att läsa generiska klingande meddelanden. Spearphishing betydligt ökar chanserna att målen kommer att läsa ett meddelande som kommer att göra det möjligt för angripare att kompromettera sina nätverk,” Trend Micro skrev.
PhishMe, ett företag som erbjuder phishing-hantering av hot med en människa fokus, rapporterade samma 91 procent figur i deras 2017 Phishing Försvar Guide [PDF].
“Phishing är fortfarande Nr 1 angreppspunkten idag eftersom det fungerar … Anställda är lättare mål på grund av deras känslighet för olika känslomässiga och kontextuella triggers,” bolaget skrev. Deras analys visade att två av de tre mest framgångsrika känslomässiga triggers var rädsla och brådskande.
“Rädsla och angeläget är en normal del av det dagliga arbetet för många användare. Anser att de flesta anställda är medvetna om att förlora sina jobb på grund av dåliga resultat (rädsla) och drivs ofta av tidsfrister (skyndsamt), vilket leder dem att vara mer mottagliga för phish med dessa känslomässiga komponenter.”
Under tiden i Nya Zeeland, University of Otago analyserat effekterna av spearphishing attacker med start i juni 2013.
De fann att när de anställda föll för en phish, de var oftast borta från sitt skrivbord, med hjälp av mobila enheter som inte nödvändigtvis visa e-post i sin helhet. Det brukar hände utanför kontorstid, även sent på natten när de var trötta eller första sak på morgonen när de var fullt upptagen med att hushållets dagliga rutin.
“Denna förväntan om att vi kommer att be människor att arbeta långa timmar, var på plats för att svara på e-post och frågor som helst, har en stor nackdel, och det handlar om att hantera förväntningar,” sade Mark Borrie, university information security manager, på AusCERT Information Security Conference 2015.
Organisationer implicit utbilda användarna att svara på dåliga e-post, sade Borrie, genom att låta inkonsekvent-ser-e-post-system som skall användas. Han citerade en student tidsplan system som skickade e-postmeddelanden inte från universitetets otago.ac.nz domän, men det användarnamn otago-m på en extern .com-domän, och de e-postmeddelanden som finns en klickbar länk till en andra, olika yttre .com-domän.
I ett nötskal, sedan, organisationer skapa de villkor som kommer att öka de anställdas utsatthet för phishing-attacker.
Phishing utbildning finns, naturligtvis, men den har begränsad effektivitet.
I och med 2016, forskare vid tyska Friedrich-Alexander-Universität (FAU) fann att även när användare visste att klicka på en länk coud vara riskabelt, men de är fortfarande klickade på den. I sin forskning, 56 procent av e-postmottagare, och omkring 40 procent av Facebook-användarna klickade på en länk från en okänd avsändare.
Medan 78 procent av deltagarna sa att de var medvetna om riskerna, vanligaste skälet för att klicka var nyfikenhet.
Nyfikenhet var den andra topp tre känslomässiga avtryckare som identifierats i PhishMe forskning, tillsammans med rädsla och brådskande.
“Du behöver inte stoppa nätfiske-attacker genom att öka användarnas medvetenhet,” PhishMe skrev, men det är inte ett argument mot anti-phishing utbildning. “Med fokus på medvetandet är inte poängen. Den verkliga lösningen är beteende luftkonditionering,” bolaget skrev.
“Med denna nivå av förståelse, vi kan villkor för våra anställda att vara på jakt efter sina naturliga reaktioner på skadlig e-post, och att använda dessa reaktioner som en utlösande faktor för att titta närmare för tekniska och process fel i vad de ser.”
De organisationer som kommer att lyckas i denna strategi har utvecklat en arbetsplats kultur där rädsla och angeläget är inte business as usual, men är red flag indikatorer på att något är fel.
De kommer också att ha en kultur där man ifrågasätter de instruktioner som finns i ett meddelande, eller att påpeka att saker och ting går fel, ses som att vara smart och att vara flexibel, inte som ett tecken på inkompetens, som inte är en “team player”.
Men naturligtvis måste alla organisationer som redan har den kulturen, eller hur? Om inte, Royce Curtin kommer att vara med hänvisning till att 90 procent figur i många år framöver.
Relaterade Täckning
Google: Vår jakt för hackare avslöjar phishing är långt dödligare än dataintrång
Phishing angripare älskar att använda Gmail.
Equifax spenderar $87,5 miljoner om dataintrång, mer kostnader på däck
Equifax tredje kvartalet och intäkter inte så illa med tanke på dess dataintrång debacle.
Klicka inte på det! Hur platsen en faktura personifiering attack som utger sig för att vara från en medarbetare (TechRepublic)
Faktura-imitation attacker är på uppgång, du försöker ladda ner skadliga program som stjäl offer’ referenser.
Detta phishing-attack låtsas att komma från någon du litar på
En ny phishing-kampanj använder fakturor och andra beten för att lura offer till att hämta skadlig programvara.
Cybersäkerhet prognoser för 2018: det kommer att bli “mycket mer av samma” (TechRepublic)
Forcepoint Richard Ford förutspår typer av it-angrepp som kan plåga företag under det kommande året.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0