Bir olaydan sonra her zaman bir miktar serpinti vardır. büyük güvenlik ihlali .
Bu haftanın en çok yılın endişe verici gelişmeleri İnternet güvenliğinde. Impact Team adlı bir grup, kredi kartı bilgilerinden cinsel tercihlere kadar her şeyi içeren 37 milyon kullanıcı hesabının verilerini çaldı. Ve şimdi sahipler verileri yayınladı . Büyük manşetlere çıkıyor ve daha da kötüleşecek.
Küçük işletmeler için asıl etki, işinizi etkileyebilecek yeni bir kimlik avı dolandırıcılığı turu olacaktır. Aslında benim tahminim sizin için çalışan çalışanlar Ashley Madison ihlaliyle ilgili bir e-posta almışlar.
İşte her şey nasıl çalışıyor. çok bağımlı olduğumuz için e-posta , hızlı bir şekilde işlemeye ve ilk önce en dikkate değer mesajları taramaya eğilimliyiz. Çalışanlar listelerini gözden geçirip cinsel geçmişinizi biliyoruz -- bunu herkese açık hale getirmekten kaçınmak için burayı tıklayın yazan bir mesaj gördüklerinde ne yapacaklarını düşünüyorsunuz? Çoğu tıklayacak. Muhtemelen hack hakkında zaten bilgi sahibi olacaklardır. Muhtemelen AshleyMadison.com sitesinde bir hesapları yoktur, ancak bu hala büyük bir konudur.
kimlik dolandırıcılığı genellikle veri çalmayı içermez. Aslında, bir olaylar zincirini başlatma eğilimindedirler. Bağlantı, e-postaları toplamanın bir yolu olabilir. İkinci bir mesaj daha doğrudan ve spesifik olabilir. Belki de ilk mesaj en azından şirketinizin adını belirler. İkincisi, e-postanın başlığında şirket adını kullanır. Veya ikinci e-posta ödeme talebinde bulunur. Dolandırıcılığın muhtemelen Ashley Madison veya veri ihlali ile ilgisi olmayacak.
hile denir fidye yazılımı , ve aslında insanların tıklamasını sağlamak için bir numara. Ancak dolandırıcılık çok daha karmaşık olabilir. Bağlantı ayrıca bilgisayara bulaşabilir ve verileri şifreleyebilir. Yine de, neredeyse her zaman e-postayla gönderilen veya bir çalışanın çevrimiçi bulduğu bir bağlantıya tıklanmasıyla başlar.
Güvenlik şirketindeki uzmanlarla konuştum BilBe4 ve diğer birkaç firma bu konuyla ilgili birkaç kez ve sürekli duyduğum şey, en iyi savunmanın çalışan eğitimi ile ilgili olduğudur. Geçenlerde bir okuyucu bana küçük bir şirkette güvenlikten sorumlu olduğunu ve sahte bir hesap oluşturduğu, dolandırıcılığı gönderdiği ve ardından hangi çalışanların bağlantıyı gerçekten tıkladığını takip ettiği bir kimlik avı dolandırıcılığı denemesi yürütmeyi planladığını söyledi. Oldukça dahice çünkü gerçekten bir sorun olup olmadığını anlamanın bir yolu. Bu çalışanlara geri dönebilir ve onları yeniden eğitebilir (veya azarlayabilir).
Benim tavsiyem, çalışanlarla hızlı bir hazırlıksız toplantı yapmak ve dalgalanma etkisi yaratan yeni bir büyük hack olduğunu açıklamak. Çalışanları bağlantıları tıklamak ve şüpheli görünen e-postaları açmak konusunda uyarın (veya yukarıda belirtilen taktikleri kullanın). Yardım etmek için buradayım, bu yüzden bu toplantının nasıl yapılacağı veya ne söyleneceği hakkında daha fazla fikre ihtiyacınız varsa, bana e-posta ile ping at .
