صفحة تسجيل دخول مزيفة دقيقة بشكل غريب على Google. Emma Williams، CC BY-NDصفحة تسجيل دخول مزيفة دقيقة بشكل غريب على Google. إيما ويليامز, CC BY-ND

يتم قصف الشركات بحيل الخداع كل يوم. في استبيان حديث لأكثر من 500 متخصصين في مجال الأمن الإلكتروني عبر العالم ، 76٪ وذكرت أن منظمتهم وقعت ضحية لهجوم تصيد في 2016. المحادثة

تأخذ هذه الحيل شكل رسائل البريد الإلكتروني التي تحاول إقناع الموظفين بتنزيل مرفقات ضارة ، أو النقر على روابط المراوغة ، أو تقديم تفاصيل شخصية أو بيانات حساسة أخرى. وألقي باللوم على حملة البريد الإلكتروني التصيد "الرمح" المستهدف لتحريض الهجوم السيبراني الأخير الذي تسبب في انقطاع التيار الكهربائي الرئيسي في أوكرانيا.

والأكثر مدعاة للقلق هو أن هجمات التصيد الاحتيالي هي الآن الطريقة الأكثر شيوعًا لتوصيل الفدية إلى شبكة المنظمة. هذا هو نوع من البرامج التي تقوم عادة بتشفير الملفات أو تأمين شاشات الكمبيوتر حتى يتم دفع فدية. المبالغ المطلوبة هي عموما صغيرة جداوهذا يعني أن العديد من المنظمات ستدفع الفدية دون ضمان ، بالطبع ، أي ضمان بأن أنظمتها ستكون غير مقفلة. في مواجهة هذه الهجمات التصيد ، أصبح الموظفون الخط الأمامي للأمن السيبراني. لذلك ، أصبح الحد من تعرضهم لرسائل البريد الإلكتروني الاحتيالية يمثل تحديًا مهمًا للشركات.

مشاكل تأديبية

بينما تكافح المنظمات لاحتواء التهديد ، فإن إحدى الأفكار التي تكتسب القوة هي الاستخدام المحتمل لـ اجراءات تأديبية ضد الموظفين الذين ينقرون على رسائل البريد الإلكتروني التصيدية. ويتراوح ذلك من إكمال التدريب الإضافي إلى الإجراءات التأديبية الرسمية ، خاصة بالنسبة إلى ما يسمى بـ "تكرار النقر" (الأشخاص الذين يستجيبون لرسائل البريد الإلكتروني التصيدية أكثر من مرة واحدة). انهم يمثلون نقطة ضعف خاصة في الأمن السيبراني.

رسم الاشتراك الداخلي

هذا ليس ضروريا - ولا ، في الواقع ، هو فكرة جيدة. كبداية ، ما زلنا لا نفهم الأسباب التي تجعل الأشخاص يردون على رسائل البريد الإلكتروني الاحتيالية في المقام الأول. البحث هو مجرد خدش سطح لماذا قد يستجيب الناس لهم. عادات البريد الإلكتروني، مكان العمل الثقافة والمعاييردرجة المعرفة التي يمتلكها الفرد ، سواء كان الموظف مشتتًا أو تحت درجة عالية من الضغط - هناك الفهم المتنوع للمخاطر عبر الإنترنت، والتي قد تؤثر جميعها على ما إذا كان الأشخاص قادرون على تحديد البريد الإلكتروني التصيد في نقطة زمنية معينة.

لسوء الحظ ، هذا يعني أنه لا تزال هناك أسئلة أكثر من الإجابات. هل بعض وظائف الوظيفة أكثر عرضة للإصابة بسبب أنواع المهام التي ينخرطون فيها؟ هل التدريب فعال في تثقيف الموظفين حول مخاطر هجمات التصيد؟ هل يمكن للموظفين تحديد أولويات الأمن على متطلبات أماكن العمل الأخرى عند الضرورة؟ من بين هذه الأشياء المجهولة ، يبدو أن التركيز على النهج التأديبي سابق لأوانه ويخاطر بتحييد الجهود الأخرى التي قد تكون أكثر فعالية.

كما أصبحت هجمات التصيد الاحتيالي المستهدفة أكثر تطوراً وصعوبة في الظهور ، حتى بالنسبة للمستخدمين التقنيين. الهجمات الأخيرة (على PayPal و شراء مراجعات جوجلعلى سبيل المثال) إثبات ذلك.

أصبح من السهل للغاية الآن صياغة بريد إلكتروني احتيالي يبدو مشابهاً للغاية ، إن لم يكن متطابقًا تقريبًا ، مع عنوان مشروع. يمكن أن تجعل جميع عناوين البريد الإلكتروني المخادعة ، وإدراج الشعارات الدقيقة ، والتصميمات الصحيحة وتوقيعات البريد الإلكتروني ، من الصعب تمييز رسائل البريد الإلكتروني التصيدية عن رسائل حقيقية.

حافظ على هدوء أعصابك واستمر

المحتالون هم أيضا جيدة جدا في خلق سيناريوهات التي تزيد احتمالية استجاب الناس. أنها تغرس الشعور بالذعر والإلحاح من قبل أشياء مثل محاكاة الشخصيات السلطة داخل منظمة ل خلق شعور من الأزمة. أو أنها تركز على التأثير السلبي المحتمل فشل في الاستجابة. عندما نعترف بالتطور المتزايد الذي يظهر في ترسانة المخادع ، يصبح من الصعب تبرير معاقبة الموظفين على الوقوع ضحية لخداعهم.

غالبًا ما تستخدم هجمات الخداع المحاكاة كوسيلة لزيادة الوعي بين الموظفين. في حين كانت هناك اقتراحات لتحسين معدلات النقر بعد هذه البرامج، هناك نقص في التقييم الشامل لمجموعة من التأثيرات المحتملة على الموظفين. و بعض البحوث يشير إلى احتمال أن يستسلم الموظفون لمجرد محاولة التعامل مع التهديد كما يبدو معركة خاسرة.

إن ثقافة اللوم والإيذاء قد تجعل الموظفين أقل استعدادًا للاعتراف بأخطائهم. ومن المحتمل أن يؤدي أي من هذه النتائج إلى الإضرار بالعلاقة بين موظفي الأمن التابعين للمنظمة وموظفيها الآخرين. وهذا بدوره سيكون له تأثير سلبي على ثقافة أمن المنظمة. يقترح العودة إلى دور سلطوي للأمن ، والذي تظهر الأبحاث هي خطوة إلى الوراء إذا أردنا إشراك الموظفين بشكل كامل في المبادرات الأمنية.

يمثل الحد من تعرض المنظمة لهجمات التصيد الاحتيالي تحديًا معقدًا ومتطورًا. #AskOutLoud الأخير حملة من قبل الحكومة الأسترالية لتشجيع الناس على طلب رأي ثانٍ عندما يتلقون بريدًا إلكترونيًا مريبًا ، يقدم مثالًا جيدًا لكيفية بدء معالجة هذا التحدي. يشجع الحوار وتبادل الخبرات. يمكن أن يضمن استخدام هذا النهج أن يشعر الموظفون بالتمكين والتشجيع على الإبلاغ عن الشكوك ، وهو عنصر حيوي في الحفاظ على الأمن السيبراني.

البحث هو واضح أن الأمن السيبراني يعتمد على الحوار المفتوح ، ومشاركة الموظفين عندما يتعلق الأمر بتطوير الحلول والثقة بين موظفي الأمن في المنظمة والموظفين الآخرين. كما يقول الكليشيه القديم: أنت قوي بنفس قوة الحلقة الأضعف لديك. لذلك من الضروري أن يتم دعم جميع الموظفين لكي يكونوا واجهة أمامية فعالة في دفاعهم.

نبذة عن الكاتب

إيما وليامز ، زميلة أبحاث ، جامعة باث وديبي أشندن ، أستاذ الأمن السيبراني ، جامعة بورتسموث

تم نشر هذه المقالة في الأصل المحادثة. إقرأ ال المقال الأصلي.

كُتبٌ ذاتُ صِلَةٍ

at سوق InnerSelf و Amazon