一個非常準確的假Google登錄頁面。 艾瑪威廉姆斯,CC BY-ND一個非常準確的假Google登錄頁面。 艾瑪威廉姆斯, CC BY-ND

公司每天都受到網絡釣魚詐騙的轟炸。 在最近對全球超過500網絡安全專業人員的調查中,76% 報導 他們的組織成為2016中的網絡釣魚攻擊的受害者。 談話

這些騙局採用電子郵件的形式,試圖說服員工下載惡意附件,點擊狡猾的鏈接,或提供個人詳細信息或其他敏感數據。 有針對性的“長矛”網絡釣魚電子郵件活動被指責為煽動最近引發網絡攻擊的網絡攻擊 烏克蘭的主要停電事故.

更令人擔憂的是,網絡釣魚攻擊現在是將勒索軟件提供給組織網絡的最常用方式。 這是一種軟件,通常會加密文件或鎖定計算機屏幕,直到支付贖金為止。 要求的金額是 一般都很小,這意味著許多組織只需支付贖金,當然不保證他們的系統將被解鎖。 面對這些網絡釣魚攻擊,員工已經成為了 網絡安全的前沿。 因此,降低他們對網絡釣魚電子郵件的脆弱性已成為公司面臨的一項重大挑戰。

紀律問題

隨著組織努力控制威脅,一個正在獲得牽引力的想法是潛在的使用 紀律程序 針對點擊網絡釣魚電子郵件的員工。 這包括完成進一步培訓到正式紀律處分,特別是對於所謂的“重複答題”(不止一次回复網絡釣魚電子郵件的人)。 他們代表一個 特別的弱點 在網絡安全方面。


內在自我訂閱圖形


這不是必要的 - 事實上,它也不是一個好主意。 首先,我們仍然不了解導致人們首先回复網絡釣魚電子郵件的原因。 研究只是揭示了為什麼人們可能會對它們做出反應。 電郵習慣,工作場所 文化和規範,個人擁有的知識程度,無論是員工分心還是高度壓力 - 都有 對在線風險的不同理解所有這些都可能影響人們是否能夠在特定時間點識別網絡釣魚電子郵件。

不幸的是,這意味著問題仍然多於答案。 由於他們參與的任務類型,某些工作角色是否更容易受到攻擊? 培訓是否有效地教育員工了解網絡釣魚攻擊的風險? 員工是否能夠在必要時優先考慮安全性而非其他工作場所需求? 在這些未知因素中,專注於學科方法似乎為時過早,並且可能會使其他可能更有效的努力陷入困境。

即使對於技術用戶,有針對性的網絡釣魚攻擊也變得越來越複雜並且難以發現。 最近的攻擊(上 PayPal谷歌,例如)證明這一點。

現在製作欺詐性電子郵件非常容易,該電子郵件與合法電子郵件看起來非常相似(如果不是幾乎相同)。 欺騙性電子郵件地址,精確徽標的合併,正確的佈局和電子郵件簽名都可能使網絡釣魚電子郵件與真實電子郵件區分開來變得困難。

保持冷靜並進行

網絡釣魚者也非常擅長 創建場景 最大化人們回應的可能性。 他們通過模仿組織內部的權威人物等事物來灌輸一種恐慌和緊迫感 營造危機感。 或者他們關注潛在的負面影響 沒有回應。 當我們承認網絡釣魚者的武器庫中出現的複雜程度越來越高時,就越難以證明懲罰員工成為他們詭計的犧牲品。

模擬網絡釣魚攻擊通常被用作提高員工意識的一種方式。 雖然有人建議提高點擊率 遵循這些計劃,缺乏對員工潛在影響範圍的綜合評估。 和 有些研究 指出員工只是放棄試圖應對威脅的潛力,因為這似乎是一場失敗的戰鬥。

責備和受害的文化也可能使員工不願意承認自己的錯誤。 這些結果中的任何一個都可能損害組織的安全人員與其他員工之間的關係。 反過來,這將對組織的安全文化產生負面影響。 它表明了恢復安全的專制角色 研究表明, 如果我們要讓員工充分參與安全計劃,那就是倒退了一步。

減輕組織遭受網絡釣魚攻擊的風險是一項複雜且不斷變化的挑戰。 最近#AskOutLoud 澳大利亞政府的競選活動 鼓勵人們在收到可疑電子郵件時要求第二意見,這是一個很好的例子,說明如何開始解決這一挑戰。 它鼓勵對話和分享經驗。 使用這種方法可以確保員工感到有能力並鼓勵他們報告懷疑,這是維護網絡安全的重要因素。

研究是 明確 網絡安全取決於公開對話,員工參與開發解決方案以及組織安全人員與其他員工之間的信任。 正如陳舊的陳詞濫調:你只有你最薄弱的環節那麼強大。 因此,所有員工都必須得到支持,才能成為組織防禦的有效前線。

關於作者

Emma Williams,研究員, 巴斯大學 和網絡安全教授Debi Ashenden, 英國樸次茅斯大學

這篇文章最初發表於 談話。 閱讀 原創文章.

相關書籍

at InnerSelf 市場和亞馬遜