高管:网络钓鱼的新主要目标

高管:网络钓鱼的新主要目标
作者: Harold Walker, CISSP,网络钓鱼意识传播者,Terranova Security
发表日期: 2019年3月14日

我们知道网络钓鱼攻击正在上升, 但你知道吗,每天都有越来越多的高管落入这些网络钓鱼邮件的圈套? 新的针对高管的网络钓鱼活动是精心设计的,很难发现. 传统的硬件/软件保护无法跟上快速发展的网络钓鱼方法. 他们很容易绕过垃圾邮件过滤器和商业电子邮件折衷保护解决方案, 并成功地得到高管们的回复, 点击链接并打开文档.

一个明显的例子,根据 Agari网络情报部门的伦敦蓝色报告, 描述了一个犯罪组织, 就像任何现代组织一样, 创建了一个“超过50人的名单”,这是2018年初在五个月内产生的5,000名财务高管. 这个列表很可能被“伦敦蓝”用作大规模BEC攻击的目标库. 在他们中间, 71%的人拥有首席财务官头衔, 12%是财务总监或经理, 9%是控制者, 6%的人从事会计工作, 2%的人拥有行政助理头衔.”

据Intermedia报道, 34%的管理人员/所有者和25%的IT工作者自己报告成为网络钓鱼电子邮件的受害者, 比其他办公室职员更频繁.

在我最近的研究中,我与那些成功锁定目标高管的客户交谈, 我收到的第一封邮件里没有任何链接或文件. 黑客们正在研究这些高管和他们的交往圈子, 因此,他们可以发送简单的电子邮件,这些邮件来自目标高管以前与之有过业务往来或互动的组织和人员. 最初的几封邮件是用来建立信任的, 这样在未来的某个时刻目标就会点击链接, 打开文件或, 更糟糕的是, 告诉助理代表他或她做出回应.

到2018年8月, 至少有400家工业澳门赌场官方下载受到伪装成合法采购和会计函的鱼叉式网络钓鱼攻击, 据卡巴斯基实验室称.

这些人很聪明——非常聪明. 他们知道对于较低的量, 更少的批准, 因此,他们通常会寻求批准发放50美元以下的资金,每笔交易000美元. 现在, 此外,一些组织可能直到5个月后才意识到自己被钓鱼了, 这是一个可怕的提议.

不断发展的网络钓鱼攻击意味着犯罪分子不断寻找新的方法来完全掩盖他们的恶意url, 尤其是在移动设备上. 他们要么把它们隐藏在用户已经熟悉的谷歌翻译之类的页面后面,要么用自定义网页字体和修改的字符完全欺骗用户. One of the latest approaches is to create an Office 365 meeting invite that contains quiz buttons or a poll asking recipients to pick the topic or date for the next meeting; employees that end up clicking are presented with a fake Office 365 login page where they enter their O365 credentials and then lose control over their email account. 另一种方法是,你认识的人给你发邮件,请求你帮他们看一些东西. 当你点击链接或附件时, 系统上安装了恶意软件, 接管你的电子邮件客户端, 然后把同样的信息发给你所有的联系人.

然而,并不是所有的事情都失败了. 有一种方法可以帮助预防和挫败这些袭击. 你需要一个 安全意识计划 这会在整个组织中灌输一种安全文化,从董事会开始,以身作则.

根据网络安全 Ventures 2019年网络犯罪报告, “培训员工如何识别和防御网络攻击是网络安全行业中投入最不足的领域.”

如果超过92%的违规和黑客攻击是由于网络钓鱼, 然后是有电子邮件地址的员工, 社交媒体账号, 手机或平板电脑是澳门赌场官方下载最大的攻击面. 数百万美元花费在硬件和软件安全措施上, 直到今天, 单个用户的一次点击就可以绕过所有昂贵的保护措施. 也许是时候重新考虑你的网络安全方法,并开始应用 人类风险的人类修复.

有效地改变网络钓鱼行为,并在高管和所有员工中建立安全文化, 你需要一个精心策划的全面意识项目, 这是基于你的组织的具体需求和目标. 这是很难实现的,除非你应用一个行之有效的 安全意识框架-持续有条理的方法-应包括以下五个步骤:

第1步 分析您的组织的需求和目标,并制定一个产生结果的网络安全意识计划.
2 . - 计划你的活动,以保持正轨,并吸引你的员工和利益相关者.
3 . - 部署有效的培训计划,并见证行为的改变.
4 . 根据你的目标衡量你的活动的表现,并向利益相关者展示你的进展.
5 . - 相应地优化活动,并更新您的计划,以纳入新的见解.

没有框架, 只是打不中, 你永远也得不到你的用户, 不管他们是不是高管, 用无组织的方法改变他们的冒险行为. 一个框架的设计是考虑到一切——尤其是人们如何学习, 养成并保持新的习惯. 采用这种有条理的方法最终会形成一种安全意识的文化……大大减少与人为相关的安全漏洞.

在可预见的未来,恶意和欺诈性电子邮件将继续绕过过滤器和恶意软件检测解决方案, 让网络罪犯可以赚更多的钱. 但是,如果你利用一个久经考验的组合,还是有希望的 网络钓鱼模拟 针对高级管理层,包括基于教学方法的高管意识培训, 不断加强沟通,以改变当前的行为,并帮助减少最大的攻击面.

编者按: 有关此主题的更多见解, 下载网络钓鱼防御和治理白皮书,由ISACA与Terranova Security合作发布.