電子メールフィッシング詐欺はさらに巧妙化している

: By バース大学のEmmaWilliamsとポーツマス大学のDebiAshenden

ご覧いただきありがとうございます InnerSelf.com、どこに〜がある 20,000+ 「新しい態度と新しい可能性」を促進する人生を変える記事。すべての記事は次のように翻訳されます 30以上の言語. ニュースレター登録 週刊発行の InnerSelf Magazine と Marie T Russell's Daily Inference に掲載されています。 InnerSelfマガジン 1985年から出版されています。

間違いなく正確な偽のGoogleログインページ Emma Williams、CC BY-ND 間違いなく正確な偽のGoogleログインページエマ・ウィリアムス, BY-ND CC

企業は毎日フィッシング詐欺に襲われます。世界中の500サイバーセキュリティ専門家を対象とした最近の調査では、76％報告彼らの組織が2016のフィッシング攻撃の犠牲者になったことを示しています。

これらの詐欺は、悪質な添付ファイルをダウンロードしたり、不正なリンクをクリックしたり、個人の詳細や機密データを提供するように電子メールの形で行われます。最近のサイバー攻撃を扇動したウクライナの大規模な停電.

さらに心配して、フィッシング攻撃は現在、組織のネットワークにトランスクリプトを配信する最も一般的な方法です。これは、通常、ファイルを暗号化するか、または身代金が支払われるまでコンピュータの画面をロックするソフトウェアの一種です。要求額は以下のとおりです。一般にかなり小さいこれは、多くの組織が単に身代金を支払うだけで、システムのロックが解除される保証はありません。これらのフィッシング攻撃に直面して、従業員はサイバーセキュリティの最前線。したがって、フィッシング詐欺メールに対する脆弱性を軽減することは、企業にとって非常に重要な課題となっています。

懲戒上の問題

組織が脅威を封じ込めようとする中で、牽引力を得ている1つのアイデアは、懲戒手続フィッシングメールをクリックしたスタッフに対してこれは、訓練の完了から正式な懲戒処分、特にいわゆる「リピートクリッカー」（フィッシングメールに複数回返答した人々）の範囲です。彼らは特に弱点サイバーセキュリティにおいて

これは必ずしも必要ではありません。実際、それは良い考えです。まずは、最初にフィッシング詐欺メールに何が反応するのかをまだ理解していません。研究は人々がなぜそれに反応するのかという表面だけを傷つけているだけです。メールの習慣、職場文化と規範、個人が持っている知識の程度、従業員が気晴らしをしているのか、それとも高い圧力の下にあるのか - オンラインリスクの多様な理解これらのすべてが、特定の時点で人々がフィッシング詐欺メールを識別できるかどうかに影響を与える可能性があります。

残念ながら、これは答えよりもまだ多くの質問があることを意味します。彼らが従事する仕事の種類によって、より脆弱な職種もありますか？訓練はフィッシング攻撃のリスクについてスタッフに教育するのに有効ですか？従業員は、必要に応じて他の職場の要求よりもセキュリティの優先順位付けが可能ですか？これらの未知数の中で、懲戒的アプローチに焦点を当てることは時期尚早であり、より効果的な可能性のある他の取り組みを捨てる危険性があります。

標的となるフィッシング攻撃も、技術的なユーザであっても、ますます洗練され、見つけにくくなっています。最近の攻撃（ PayPal & でログイン例えば、）これを実証する。

合法的なものと非常に似通っていると思われる不正な電子メールを作成することは、現在非常に簡単です。偽装された電子メールアドレス、正確なロゴ、正しいレイアウト、電子メール署名の組み込みにより、フィッシング詐欺メールを本物のものから区別することが困難になります。

冷静に、戦い続けよ

フィッシング詐欺師も非常に上手ですシナリオの作成人々が反応する可能性を最大限に引き出します。彼らは、組織内の権威を模倣するようなものによって、パニックと緊急感を覚える。危機感を生み出す。あるいは、潜在的な悪影響に焦点を当てる応答しない。フィッシャーの兵器庫に登場する洗練されたものが増えていることを認識すると、従業員に違法行為の被害者が罰されることを正当化することがより困難になります。

シミュレートされたフィッシング攻撃は、従業員の意識を高める手段としてよく使用されます。改善されたクリック率の提案がありましたがそのようなプログラムに続いて従業員への潜在的な影響範囲の包括的な評価は不十分である。そしていくつかの研究従業員が脅威に対処しようとすることをあきらめる可能性があることを指摘しています。

責任や犠牲を払う文化は、従業員が自分の間違いを認めたくないこともあります。これらの成果のいずれかは、組織のセキュリティ担当者と他の従業員との関係を損なう可能性があります。これは、組織のセキュリティ文化に悪影響を及ぼします。それは、セキュリティの権威主義的役割への復帰を示唆している。研究ショー社員がセキュリティ対策に専念するためには、一歩後退しています。

フィッシング攻撃への組織の被害を軽減することは、複雑で進化する課題です。最近の#AskOutLoud オーストラリア政府によるキャンペーン疑わしい電子メールを受け取ったときに人々が第二意見を求めるよう促すために、この課題にどのように取り組むことができるかの良い例が挙げられます。会話と経験を共有することを奨励します。このアプローチを使用することで、従業員がサイバーセキュリティを維持するための重要な要素である疑惑を報告するように権限を与えられ、奨励されるようにすることができます。

研究はクリアサイバーセキュリティはオープンな対話、組織のセキュリティスタッフと他のスタッフとの間のソリューションや信頼関係の開発に従事する従業員からの参加に依存します。古いクリシェが行くように：あなたはあなたの最も弱いリンクと同じくらい強いです。したがって、組織の防衛の有効な最前線になるためには、すべての従業員がサポートされることが不可欠です。