איומיי הסייבר החדשים כאן - והם בלוחות השנה שלנו. ספאמרים שולחים הזמנות של Google Calendar עם קישורים, עוקפים את תיבת הדואר ונשענים על הגדרות ברירת המחדל של לוח השנה המאפשרות להזמנות להופיע אוטומטית, ללא קשר אם התקבלו או לא. שוחחנו עם המנהל שלנו לסיכונים וצייתנות, וס אנדריוס, על איך לחנך את החברה שלך על איומי ההנדסה החברתית המתעוררים (כמו פישינג או דואר זבל בלוח שנה), ואיך ידע נרחב יכול לסייע בשמירה על אבטחת המידע הפנימית שלך.

קצת על וס לפני שנכנס לעצותיו: הרקע שלו כולל שירות במחלקת ההגנה ובפקודות סייבר צבאיות בפנטגון, ואחריו ניהול מחלקת הסיכונים והציות ב-Dell SecureWorks. מיותר לומר, שהוא יודע על מה הוא מדבר.

פישינג איננו פריצה - זה גרוע יותר

בעוד שמהוליווד רוצים שנאמין ש"פריצה" כוללת אדם אחד מקליד במרץ פקודות במסוף, סוג זה של פגיעות בעיקר הוסרה (אם כי לא לחלוטין) בזכות תוכניות "תגמול על באגים". וס מסביר את זה כך: "תוכניות תגמול על באגים מאפשרות לחברות לומר, 'אנחנו נשלם לך אם תמצא משהו לא בסדר באפליקציה שלנו.' אל תנסה לפרוץ אלינו; פשוט תאמר לנו ואנחנו נשלם לך.'"

"הנדסה חברתית עוקפת את הניסיון המסורתי של פריצה ופוגעת ישירות באנשים שיש להם גישה לנתונים - וזה התברר כיעיל הרבה יותר."

חלק מהאימיילים באיכות נמוכה, אבל רבים מהם די משכנעים, חשים על הפחדים הקיימים שלנו בחשיפה כדי... לחשוף אותנו! אתה רק צריך אדם אחד להיכנס לפאניקה כדי שהנדסה חברתית תשפיע על חברה שלמה.

המקרה הקלאסי של אדם חכם שמוטעה על ידי הנדסה חברתית? ג'ון פודסטה. שנתיים לפני כן. ה-DNC. "הוא לחץ על הקישור לשינוי סיסמה ששמעתם על כך ברחבי העולם," אומר וס. "הוא עורך דין עם השכלה של ג'ורג'טאון שנפל בזה, אז אתה יכול לראות למה הנדסה חברתית מציעה הרבה יותר הזדמנויות מאשר פריצות."

איך להילחם בצורה יעילה נגד איומי אבטחה

אם התקפות הנדסה חברתית מתוכננות לשכנע אותנו שכבר נחשפנו, איך אתה, כחברה, מחנך את העובדים שלך להילחם בדחף הטבעי לפאניקה? כאן, וס חד משמעי:

"אתה חייב לשנות את התרבות."

"ב-Guru, אנחנו בדרך כלל משתפים את ניסיונות דואר הזבל המוזרים שאנו רואים - ולעיתים קרובות הם 'מגיעים' מריק [המנכ"ל של Guru], שמרגיש שהוא זקוק למספרי הטלפון הניידים שלנו. זה מצחיק, אבל זה גם לא. מה אם אחד מה-CSM שלנו נפל בזה ונתן מספר טלפון נייד או כתובת דוא"ל שחלקם שימשו כדי לפנות ללקוחות שלנו? זה יהיה בעייתי מאוד. למזלנו, מכיוון שאנחנו מעלים את האיומים הללו באופן קבוע, אנחנו יכולים לדבר עליהם ולחנך זה את זה בנוגע לטקטיקות חדשות, מה שהופך אותנו הרבה יותר סביר לזהות אותם."

חברות יכולות אף לנסות תרגולים של פישינג שמאפשרים לצוות הסיכונים והציות להגיע לאימיילים מזויפים כדי לראות מי בחברה עשוי ליפול על מתקפה אמיתית, אך זה מסכן את האמון בצוות. במקום זאת, כאן ב-Guru, וס דאג שכל אחד בחברה יעבור את מבדק הפישינג של Google Jigsaw למטרות הכשרה.

איך לא להילחם נגד איומי אבטחה

"מסיבה כלשהי, בהרבה מקרים, הסטנדרט הענק בתעשייה הוא 'לאמן' את העובדים באופן שנתי בנושא האבטחה בדרך פסיבית. כולם צופים בסרטון או מקבלים בליץ אימייל על הסיכונים של מענה לפישינג, ואז צוות האבטחה יכול לומר, 'היי, כולם צפו או קראו את זה, אז כולם המשיכו.'"

סוג כזה של הכשרה פסיבית לא מלמד אף אחד איך להגיב למתקפה או איך לזהות את האיומים האלו באופן פעיל, במיוחד כפי שהטקטיקות משתנות במהלך השנה. צוות הסיכונים והציות שלך צריך לשמור על הקו הזה פתוח עם בסיס העובדים הרחב יותר ולוודא שזו שיחה מתמשכת.

ההגנה החזקה ביותר נגד פישינג

"בסופו של דבר, ההגנה החזקה ביותר נגד פישינג היא חוסר אמון בריא," מסביר וס. בעולם אידיאלי, סוגים אלו של איומים לא היו קיימים, אבל מכיוון שהם קיימים, שמירה על רמה מספקת של סקפטיות כלפי הכלים שעליהם אנחנו תלויים היא הדרך היחידה להישאר באמת עירניים.

לפרטים נוספים על אבטחת סייבר, עיין בספר החדש ביותר של וס אנדריוס, "Chasing Vapor: Exploring the Murky Malice of Cybercrime," זמין עכשיו.