後には常に放射性降下物があります 重大なセキュリティ違反 。
今週のものは最も多いものの1つです 今年の厄介な開発 インターネットセキュリティで。 Impact Teamというグループが、クレジットカード情報から性的嗜好まで、3,700万のユーザーアカウントのデータを盗みました。そして、彼らは今持っています データを公開しました 。それは大きな見出しを作っています、そしてそれは悪化するだけです。
中小企業の場合、主な影響は、ビジネスに影響を与える可能性のある新しいフィッシング詐欺です。実際、私の推測では、あなたのために働いている従業員は、アシュレイ・マディソンの違反に関連する電子メールをすでに受け取っていると思います。
すべての仕組みは次のとおりです。私たちは非常に大きく依存しているので Eメール 、私たちはそれを迅速に処理し、最も注目すべきメッセージを最初にスキャンする傾向があります。従業員がリストを一掃し、「あなたの性的履歴を知っています」というメッセージが表示されたら、ここをクリックして、公開しないようにします。ほとんどがクリックします。彼らはおそらくすでにハックについて知っているでしょう。彼らはおそらくAshleyMadison.comサイトにアカウントを持っていませんが、それでも大きなトピックです。
ザ・ フィッシング詐欺 通常、データを盗むことはありません。実際、彼らは一連の出来事を引き起こす傾向があります。リンクは、電子メールを収集する方法にすぎない可能性があります。 2番目のメッセージは、より直接的で具体的である可能性があります。たぶん、最初のメッセージは少なくともあなたの会社の名前を決定します。 2つ目は、電子メールのヘッダーに会社名を使用します。または、2番目の電子メールが支払いを要求します。この詐欺は、アシュレイマディソンやデータ侵害とは何の関係もない可能性があります。
策略は呼ばれます ランサムウェア 、そしてそれは本質的に人々にクリックさせるためのトリックです。ただし、詐欺ははるかに複雑になる可能性があります。リンクはコンピュータに感染し、データを暗号化する可能性もあります。それでも、ほとんどの場合、電子メールで送信されたリンクまたは従業員がオンラインで見つけたリンクをクリックすることから始まります。
警備会社の専門家と話をしました KnowBe4 そして、このトピックについて他のいくつかの企業が数回聞いていますが、私が聞き続けているのは、最善の防御策は従業員のトレーニングに関係しているということです。ある読者が最近、小さな会社でセキュリティを担当しており、偽のアカウントを作成して詐欺を送信し、実際にリンクをクリックした従業員を追跡するフィッシング詐欺実験を実行する予定であると教えてくれました。本当に問題があるかどうかを調べる方法なので、かなり独創的です。彼はそれらの従業員に戻って彼らを再訓練する(または彼らを叱る)ことができます。
ジョーダン・スミス ザ・ヴォイス ゲイ
私のアドバイスは、従業員との迅速な即席の会議を開催し、波及効果を生み出している新しい主要なハックがあることを説明することです。リンクをクリックして疑わしいと思われる電子メールを開くことについて従業員に警告します(または上記の戦術を使用します)。私がお手伝いしますので、この会議の方法や言い方についてさらにアイデアが必要な場合は、 メールでpingしてください 。
