'N Onnauwkeurige, akkurate, fake Google-aanmeldbladsy. Emma Williams, CC BY-ND'N Onnauwkeurige, akkurate, fake Google-aanmeldbladsy. Emma Williams, CC BY-ND

Maatskappye word elke dag gebombardeer met phishing-swendelary. In 'n onlangse opname van meer as 500-sekuriteitspersoneel in die wêreld, het 76% berig dat hul organisasie slagoffers geword het vir 'n phishing-aanval in 2016. Die gesprek

Hierdie swendelary neem die vorm aan van e-posse wat probeer om personeel te oortuig om kwaadwillige aanhangsels af te laai, op dodgy skakels te klik, of persoonlike besonderhede of ander sensitiewe data te verskaf. 'N geteikende "spies" phishing e-pos veldtog was die skuld vir die aanvang van die onlangse cyber aanval wat veroorsaak het a groot kragonderbreking in die Oekraïne.

Nog meer kommerwekkend, is phishing-aanvalle nou die gewildste manier om ransomware op 'n organisasie se netwerk te lewer. Dit is 'n tipe sagteware wat tipies enkripsies versleut of rekenaarskerms sluit totdat 'n losprys betaal word. Die bedrae wat gevra word, is oor die algemeen redelik klein, wat beteken dat baie organisasies eenvoudig die losprys sal betaal sonder natuurlik enige waarborg dat hul stelsels ontsluit sal word. In die lig van hierdie phishing-aanvalle het werknemers die frontlinie van kuber sekuriteit. Die vermindering van hul kwesbaarheid vir phishing-e-posse het dus 'n kritieke uitdaging vir maatskappye geword.

Dissiplinêre probleme

Soos organisasies sukkel om die bedreiging te bevat, is een idee wat traksie kry, die potensiële gebruik van dissiplinêre prosedures teen personeel wat op phishing-e-posse klik. Dit wissel van die afronding van verdere opleiding tot formele dissiplinêre optrede, veral vir sogenaamde "repeat clickers" (mense wat meer as een keer op phishing-e-posse reageer). Hulle verteenwoordig 'n spesifieke swak punt in kuber sekuriteit.


innerself teken grafiese in


Dit is nie nodig nie - en dit is ook nie 'n goeie idee nie. Vir 'n begin verstaan ​​ons steeds nie wat veroorsaak dat mense in die eerste plek op phishing-e-posse reageer nie. Navorsing krap net die oppervlak van hoekom mense daarop kan reageer. E-pos gewoontes, werkplek kultuur en norme, die mate van kennis wat 'n individu het, of 'n werknemer afgelei word of onder 'n hoë mate van druk - daar is uiteenlopende begrip van aanlynrisiko's, wat almal kan beïnvloed of mense op 'n bepaalde tyd 'n phishing-e-pos kan identifiseer.

Ongelukkig beteken dit dat daar nog meer vrae is as antwoorde. Is sommige werksrolle meer kwesbaar as gevolg van die tipe taak waarvoor hulle betrokke is? Is opleiding effektief in die opvoeding van personeel oor die risiko's van phishing-aanvalle? Is werknemers in staat om sekuriteit oor ander eise van die werkplek te prioritiseer wanneer dit nodig is? Onder hierdie onbekendes blyk dit dat die fokus op 'n dissiplinêre benadering voorbarig is en risiko's in die gesig staar wat ander effektiewe pogings kan wees.

Teiken phishing-aanvalle word ook meer gesofistikeerd en moeilik om te sien, selfs vir tegniese gebruikers. Onlangse aanvalle (op PayPal en Google, byvoorbeeld) demonstreer dit.

Dit is ongelooflik maklik om 'n bedrieglike e-pos te maak wat baie gelykvormig lyk, as dit nie byna identies is nie. Spoofed e-pos adresse, die inkorporering van akkurate logo's, korrekte uitlegte en e-pos handtekeninge, kan dit moeilik maak om 'n phishing-e-pos van 'n regte een te onderskei.

Bly kalm en gaan voort

Phishers is ook baie goed in skep scenario's Dit verhoog die waarskynlikheid dat mense sal reageer. Hulle skep 'n gevoel van paniek en dringendheid deur dinge soos nabootsende gesagsfigure binne 'n organisasie skep 'n gevoel van krisis. Of hulle fokus op die moontlike negatiewe impak om nie te reageer nie. Wanneer ons die toenemende gesofistikeerdheid wat in die Phisher se arsenaal getoon word, erken, word dit moeiliker om werknemers te straf wat die slagoffers van die slagoffer raak.

Simuleerde phishing-aanvalle word dikwels gebruik as 'n manier om bewustheid onder werknemers te verhoog. Terwyl daar voorstelle is vir verbeterde klikkoerse volg sulke programme, 'n omvattende evaluering van die omvang van potensiële impakte op werknemers ontbreek. en 'n bietjie navorsing wys op die potensiaal wat werknemers bloot opgee om te probeer om die bedreiging te hanteer, aangesien dit soos 'n verlore stryd lyk.

'N Kultuur van skuld en viktimisering kan ook werknemers minder bereid verklaar om hul foute te erken. Een van hierdie uitkomste sal waarskynlik die verhouding tussen 'n organisasie se sekuriteitspersoneel en sy ander werknemers beskadig. Op sy beurt sal dit die veiligheidskultuur van die organisasie negatief beïnvloed. Dit stel voor dat 'n terugkeer na 'n outoritêre rol vir veiligheid, wat navorsing toon is 'n stap agteruit as ons werknemers in veiligheidsinisiatiewe ten volle moet betrek.

Die vermindering van 'n organisasie se blootstelling aan phishing-aanvalle verteenwoordig 'n komplekse en ontwikkelende uitdaging. Die onlangse #AskOutLoud veldtog deur die Australiese regering Om mense aan te moedig om 'n tweede opinie te vra wanneer hulle 'n verdagte e-pos ontvang, bied 'n goeie voorbeeld van hoe hierdie uitdaging aangespreek kan word. Dit moedig gesprek en gedeelde ervarings aan. Deur hierdie benadering te gebruik, kan werknemers voel bemagtig en aangemoedig om vermoedens te rapporteer, 'n belangrike element in die handhawing van kuberveiligheid.

Navorsing is duidelik daardie kuber sekuriteit hang af van oop dialoog, deelname van werknemers as dit gaan om die ontwikkeling van oplossings en vertroue tussen 'n organisasie se sekuriteitspersoneel en ander personeel. Soos die ou cliché gaan: jy is net so sterk soos jou swakste skakel. Dit is dus noodsaaklik dat alle werknemers ondersteun word om 'n doeltreffende voorpunt te wees in hul organisasie se verdediging.

Oor Die Skrywer

Emma Williams, navorsingsgenoot, Universiteit van Bath en Debi Ashenden, professor van Cyber ​​Security, Universiteit van Portsmouth

Hierdie artikel is oorspronklik gepubliseer op Die gesprek. Lees die oorspronklike artikel.

verwante Boeke

at InnerSelf Market en Amazon