在家管理钓鱼防御

通过 2020年7月22日 2020年10月2日 其中,保护你自己,SE

期间,在社会工程师在过去的6年里,LLC(SECOM),我们已经取得了超过45,000呼吁企业遍布世界各地。银行,创业公司,科技公司,制药公司,国防承包商,和许多其他组织染上我们做语音钓鱼(语音网络钓鱼),他们的电话。当我们调用这些组织,以测试他们的员工,我们的目标是找出他们的防御能力很强,而且他们需要设防。眼下,许多员工在家工作。这使得它一个完美的时间来检讨如何从家管理语音钓鱼的防御。

在SECOM我们习惯于从家庭式办公室的工作,但是我们的客户谁不是。他们是在一个新的环境,带来新的挑战和好处。这将迫使他们以新的方式探索和处理事情。那些依赖监控软件和附近的经理来捕捉糟糕的电话和对话的公司可能会发现,很难跟上来自世界各地的攻击。那些没有为员工提供最新培训的公司更有可能成为网络钓鱼的受害者。优德w88官网手机这些袭击让他们的员工不堪承受,直接进入他们的家中。

vishing

网络钓鱼的进展和影响

克里斯Hadnagy突破性的书,社会工程,人类黑客的艺术,该书于2010年出版,详细描述了许多坏人常用的战术和技巧。时代变了,克里斯会告诉你去读他的新书,社会工程学:人类黑客的科学,代替。虽然Hadnagy写关于原则可以是类似的,这些方法我们今天看到的是不断调整。攻击目标的员工可能离开自己的机器受损,揭示公司的数据以及如何进行远程访问。也有参与了在家工作的员工个人的风险。受损机器可以给攻击者自己的家的位置,列表中的设备他们的个人网络,等等。新闻报道已经详细说明攻击者如何使用基于语音邮件的攻击,打从上家的目标已经100000工作。

这些报告表明,最危险的攻击之一是一个简单的电话。它是有效的,个性化的,而且方法非常灵活。但是随着攻击的发展和适应,您如何保护您的员工不成为网络钓鱼攻击的受害者呢?

防守技术应用

运用防守技术将装备你的员工识别和避免语音网络钓鱼攻击。这里有六个,我们建议。

1.政策

员工应该被告知他们应该和谁分享什么信息。否则,他们就不能很好地完成自己的工作,也就不能为自己和公司辩护。通过把政策落实到位,你就给了你的员工一条出路。如果公司的政策不允许分享某些信息,员工们可以说不,而不会感到内疚或觉得自己很粗鲁。

2.优德w88官网手机培训

依靠员工是没有训练从未工程安全。优德w88官网手机从上SECOM语音网络钓鱼小组的成员之一直接引用:“其实我喜欢当人们试图‘抓’我。”后来,他提到的是,当他们在这种心态,他们总是放弃妥协的信息。如果没有适当的培训,并在适当位优德w88官网手机置设置策略,员工不太可能识别攻击,并且熟练的攻击者可以利用这一点,以获得更多信息。这是特别的情况下,当员工有从相信他们已经“中招”攻击者信心仓促。

3.验证

制定一个策略,允许他们验证供应商和同事。验证过程使您的员工能够对攻击者采取积极的行动。你不希望他们挂断那些真正的,真正的供应商和客户的问题或个性稍微有点偏离。

4.给员工结束通话电源

如果员工的培训是亲切友好,让来电者决定的通话时长和节奏,他们变得脆弱。“顾客永远是对的”的政策增加了对员工的巨大压力与要求使他们同意不敢说不。同样地,让员工在一定的时间内解决电话问题,或者面对后果,会使攻击者更有能力,并给员工带来压力,从而导致信息泄露。让他们自己决定什么时候可以结束通话。

5.升级协议

你的员工需要能够呼叫者发送给别人更高时,他们得到了怀疑。这是否是专用线路,以一组专门负责安全的,或向他们的经理。它有良好的可发送电子邮件提醒所有员工在家工作,如何准确地升级他们的关注。

6.给你的经理额外的安全培训优德w88官网手机

这么多年来很多次,可疑和智能的员工已经指示我们的经理,然后我们通过妥协经理组织。这意味着,管理人员本身需要在通话和信息的安全,并妥善处理好训练。优德w88官网手机同样,如果员工不舒服发送电话向他们的经理,甚至问他们问题,那么攻击者可以很容易施加压力和员工都没有追索权。

准备就绪的重要性

为什么现在在主场使用防守技术变得更重要了?因为人们都有压力。他们在一个与他们习惯的不同的环境中工作,这可能会影响他们的思维,导致安全上的失误。在公司里,当他们不在很近的地方的时候,需要有一个沟通系统。有时候在测试的时候,我们会被逮个正着,仅仅因为有人在隔壁隔间听到了可疑的对话。有时,当公司在午餐时间或一起喝咖啡时讨论奇怪的电话时,他们会变得更加警惕。攻击者还在幽闭恐怖的环境中捕食,许多人都被要求呆在家里。人们想要互相交谈;他们常常怀念他们所习惯的同志情谊。所有这些东西都可以成为攻击者现在特别有效的载体。

这些指导方针在每一层面都是有效的。他们来自于在vishing约定期间什么阻止了SECOM团队的第一手记录。来自客户处理攻击者的真实故事帮助我们改进了什么是重要的,现在我们在这里分享它。当很多人在家工作时,这些步骤对于保护你的员工和你的公司是至关重要的。它们是简单的、人类的、可训练的东西,你不需要依靠新的技术解决方案就可以学会。保持警惕并牢记这些原则88优德官网登录 为你的公司设计政策。请留意我们不断更新的新攻击向量和防御方法。

来源:
https://www.social-engineer.org/newsletter/working-remotely-cybersecurity-tips-to-work-from-home-safely/
https://healthitsecurity.com/news/voicemails-of-remote-workers-targeted-in-new-phishing-campaign
https://www.social-engineer.org/newsletter/is-your-front-door-secure/

图片:
https://www.dqindia.com/five-practical-problems-making-work-home-difficult-lockdown/

发表评论