روانشناسی حملات فیشینگ


ما هیجان زده هستیم که Transform 2022 را به صورت حضوری در 19 ژوئیه و تقریباً 20 تا 28 ژوئیه بازگردانیم. برای گفتگوهای روشنگر و فرصت های شبکه هیجان انگیز به رهبران هوش مصنوعی و داده بپیوندید. امروز ثبت نام کنید!


در امنیت سایبری، وضعیت انسان رایج ترین – و ساده ترین – هدف است. برای بازیگران تهدید، سوء استفاده از اهداف انسانی آنها معمولاً به جای توسعه و به کارگیری یک اکسپلویت، پایین‌ترین میوه است. در نتیجه، دشمنان معمولاً از طریق حملات فیشینگ، ابتدا کارکنان یک سازمان را هدف قرار می دهند.

فیشینگ یک حمله مهندسی اجتماعی است که در آن عوامل تهدید، ارتباطات جعلی، معمولا ایمیل‌هایی را ارسال می‌کنند که به نظر می‌رسد از یک منبع قابل اعتماد هستند و حس به موقع بودن را به خواننده القا می‌کنند. گزارش جنایات اینترنتی 2021 FBI داده های 847376 جرایم سایبری گزارش شده را تجزیه و تحلیل کرد و افزایش شدیدی در تعداد حملات فیشینگ مشاهده کرد که از 25344 مورد در سال 2017 به 323972 در سال 2021 افزایش یافت.

پیچیدگی روزافزون فیشینگ

حملات فیشینگ اولیه ایمیل معمولاً شامل برخی پیام‌های کلاهبرداری با کلمات ضعیف برای فریب کاربران برای ارسال پول به حساب‌های بانکی متقلبانه می‌شد. آنها از آن زمان به حملات مهندسی اجتماعی پیچیده و خوش ساخت تبدیل شده اند. در دنیای دیجیتال امروز، همه می‌دانند که فیشینگ بد است، اما اعتماد همچنان عامل اصلی این حملات است. عوامل تهدید در مورد اهداف خود تحقیق می کنند. آنها به نمایه‌ها و پست‌های کارکنان عمومی، روابط فروشنده، و اگر بخش منابع انسانی سازمان از نوع خاصی از پورتال برای انتقال اطلاعات استفاده می‌کند، نگاه می‌کنند. اساس همه این فیش‌های بالقوه، اعتماد ضمنی کارکنان به رابطه قبلی است.

مشترک بودن این حملات از خطر آنها نمی کاهد. Verizon گزارش داد که فیشینگ بردار حمله اولیه برای 80٪ از حوادث امنیتی گزارش شده در سال 2020 بود و یکی از رایج ترین بردارها برای باج افزار بود، یک حمله بدافزار مخرب که داده ها را رمزگذاری می کند. فیشینگ همچنین نقطه ورود 22 درصد از موارد نقض داده در سال 2020 بود.

علاوه بر اعتماد ضمنی از ارسال یک فرستنده شناخته شده، یک ایمیل فیشینگ موفق، احساسات خواننده را از بین می برد و با استفاده از آن، احساس فوریت ایجاد می کند. فقط فشار کافی برای فریب یک کاربر سخت کوش راه های مختلفی برای اعمال فشار برای تأثیرگذاری بر کارمندان منطقی وجود دارد. ایمیل‌های جعلی که به نظر می‌رسد از طرف شخصی در مقامی هستند، از نفوذی که روسا و بخش‌هایی مانند منابع انسانی بر خواننده دارند استفاده می‌کنند. موقعیت‌های اجتماعی مانند رفتار متقابل، شاید کمک به همکار، و ثبات، پرداخت به موقع به فروشنده یا پیمانکار برای حفظ یک رابطه خوب، ممکن است خواننده را تحت تأثیر قرار دهد تا روی پیوندی در ایمیل فیشینگ کلیک کند.

بر اساس گزارش روانشناسی خطای انسانی 2022 توسط Tessian Research، که در ادامه گزارش سال 2020 آنها با دانشگاه استنفورد انجام شد، 52 درصد از مردم روی ایمیل فیشینگ کلیک کردند، زیرا به نظر می رسید که از طرف یکی از مدیران ارشد شرکت آمده است. 41 درصد در سال 2020. علاوه بر این، کارکنان در هنگام خستگی بیشتر مستعد خطا بودند که عوامل تهدید مرتباً از آن سوء استفاده می کنند. Tessian در سال 2021 گزارش داد که بیشتر حملات فیشینگ بین ساعت 2 تا 6 بعد از ظهر ارسال می شود، یعنی کسادی پس از ناهار زمانی که کارکنان به احتمال زیاد خسته یا حواس پرت هستند.

کارمندان ممکن است پس از اینکه متوجه شوند از روی اعتماد عمل کرده و فریب خورده اند، در گزارش حادثه فیشینگ مردد باشند. آنها به احتمال زیاد احساس بدی دارند و حتی ممکن است از مجازات سازمان خود ترس داشته باشند. با این حال، گزارش این حادثه بهترین سناریو است. اینکه کارمندان قربانی تلاش‌های فیشینگ و جارو کردن آن در زیر فرش شوند، چگونه یک رویداد سایبری می‌تواند به یک حادثه سایبری در مقیاس بزرگ تبدیل شود. در عوض، سازمان‌ها باید فرهنگی ایجاد کنند که در آن امنیت سایبری یک مسئولیت مشترک است و گفتگوی باز در مورد فیشینگ و سایر تهدیدات سایبری را تقویت کنند.

امنیت سایبری سخت است، اما یادگیری در مورد آن لازم نیست

سازمان هایی که در بحث امنیت سایبری موفق هستند، موضوع را برای همه کارمندان قابل ارتباط و قابل دسترس می کنند. برای تسهیل گفتگوی باز، سازمان ها باید از استراتژی دفاعی عمیق استفاده کنند. این ترکیبی از کنترل‌های فنی و غیرفنی است که تهدیدات امنیت سایبری را کاهش، کاهش و پاسخ می‌دهد. آموزش آگاهی از امنیت تنها یک تکه از پازل دفاعی عمیق است. برای ایجاد واقعی یک برنامه امنیتی قوی، بسیاری از کنترل های کاهش دهنده مختلف باید به محیط یک شرکت معرفی شوند.

آموزش آگاهی امنیتی سالیانه به اندازه کافی عنصر انسانی مورد سوء استفاده حملات فیشینگ را در نظر نمی گیرد. یکی از نمونه‌های یک برنامه آموزشی جذاب از سازمان آگاهی امنیتی، برنامه آموزشی است که از تکنیک‌های علوم رفتاری مانند داستان سرایی برای تأثیرگذاری بر آموزش کارکنان استفاده می‌کند. هدف رویکرد داستان سرایی برنامه درسی این است که بر کارمندان تأثیر بگذارد و آنها را قادر سازد (یا تأثیر بگذارند، از عوامل تهدید وام بگیرند) آنها را به خاطر بسپارند و اطلاعات مورد استفاده در سناریوهای دنیای واقعی را به خاطر بیاورند. رویکرد آنها شایستگی دارد – یکی از مشتریان Curricula گزارش داد که پس از راه‌اندازی یک برنامه آموزشی و شبیه‌سازی فیشینگ، شاهد کاهش نرخ کلیک از 32% به 3% در بین 600+ کارمند طی شش ماه بودند.

هنگامی که به درستی با ابزار، دانش و منابع مسلح شده باشید، کارمندانی که قبلاً حواسشان پرت شده و از کار افتاده اند، می توانند بزرگترین خط دفاعی شما باشند – فایروال انسانی در برابر فیشینگ، باج افزار و بدافزار.

برای موفقیت، مدیریت باید در فرآیند – و آموزش مشارکت داشته باشد

بخشی از درک شرایط انسانی درک این موضوع است که شما به بودجه و ابزارهایی برای ایمن سازی منابع فنی نیاز دارید که از خطرات دیجیتال جلوگیری، کاهش و انتقال می دهد تا فرهنگ امنیتی خود را بهینه کنید. سازمان ها ممکن است با گذراندن یک ممیزی امنیتی یا گواهینامه احساس امنیت کاذبی کنند. با این حال، همانطور که در چند سال گذشته نشان داده شده است، خطرات دیجیتال به طور مداوم در حال تغییر هستند و بازیگران تهدید از سرمایه گذاری بر تراژدی های ملی یا جهانی برای تبدیل جرایم سایبری به سود دریغ نخواهند کرد. عوامل تهدید معمولاً سازمان‌ها را به دلیل انتخاب‌های ضعیف فناوری و نادیده گرفتن عواملی مانند صنعت، اندازه یا نوع داده‌هایی که محافظت می‌کنند، هدف قرار می‌دهند.

علاوه بر این، مدیران سطح C از حملات موفق فیشینگ مصون نیستند. حملات فیشینگ یا شکار نهنگ مدیران خاصی را در یک سازمان هدف قرار می دهند. در سال 2017 اعلام شد که دو شرکت فناوری که به طور گسترده گمان می رود گوگل و فیس بوک هستند، قربانی یک حمله فیشینگ نیزه ای به ارزش 100 میلیون دلار شده اند. جون کیم، دادستان ایالات متحده، این رویداد را زنگ خطری نامید که هر کسی ممکن است قربانی فیشینگ شود.

اقتصاد دیجیتال با سرعتی سریع در حال تغییر است. IDC گزارش داده استکه تا سال 2023، 75 درصد از سازمان ها نقشه راه پیاده سازی تحول دیجیتال جامع خواهند داشت که از 27 درصد امروز افزایش یافته است.

برای اینکه سازمان‌ها واقعاً شکوفا شوند و فاز بعدی خطرات دیجیتالی را که با این تحولات همراه خواهد بود تحمل کنند، باید ابتدا یک فرهنگ امنیتی قوی ایجاد کنند و ابزارهایی را برای شناسایی، واکنش و گزارش حملات فیشینگ و سایر حملات در اختیار کارکنان قرار دهند. علاوه بر این، لایه‌بندی ابزارهای مناسب مانند احراز هویت چند عاملی، تشخیص و پاسخ نقطه پایانی، و حتی یک شریک بیمه سایبری قوی می‌تواند یک استراتژی دفاعی لایه‌ای عمیق ایجاد کند. این رویکرد دفاعی لایه‌ای به سازمان‌ها کمک می‌کند تا از تبدیل یک رویداد سایبری مانند فیشینگ به یک حادثه سایبری مختل کننده تجارت مانند نقض داده یا حمله باج‌افزار جلوگیری کنند.

تامی جانسون یک مهندس امنیت سایبری در Coalition است.

DataDecisionMakers

به انجمن VentureBeat خوش آمدید!

DataDecisionMakers جایی است که کارشناسان، از جمله افراد فنی که کار داده را انجام می دهند، می توانند بینش ها و نوآوری های مرتبط با داده ها را به اشتراک بگذارند.

اگر می‌خواهید درباره ایده‌های پیشرفته و اطلاعات به‌روز، بهترین شیوه‌ها و آینده فناوری داده و داده مطالعه کنید، به ما در DataDecisionMakers بپیوندید.

حتی ممکن است در نظر داشته باشید که مقاله ای از خودتان مشارکت دهید!

از DataDecisionMakers بیشتر بخوانید