비디오: I TRIED TO MAKE CUTE AMONG US ARTS & CRAFTS ON TIKTOK (십월 2024)
사이버 스파이는 비밀을 훔치고 권한있는 통신을 청취하기 위해 정교한 루트킷과 정교하게 숨겨진 맬웨어를 고안합니다. 이러한 스파이 도구를 설치하려면 일반적으로 보안 분야에서 가장 약한 요소에 의존합니다. 사용자. 보안 인식을 높이기위한 교육 캠페인은 큰 도움이 될 수 있지만 올바른 방법과 방법이 있습니다.
붉은 깃발을 높이기
워싱턴 포스트는 지난 주 육군 전투 사령관이 자신의 부대가 피싱 메시지를 탐지하는 능력을 평가하기 위해 자신의 입장을 취했다고 보도했다. 그의 테스트 메시지는 수신자 (100 명 미만)에게 필요한 비밀번호 재설정을 위해 연금 계획 웹 사이트를 방문하도록 지시했습니다. 그러나이 메시지는 대행사의 실제 절약 사이트 인 Thrift Savings Plan과 매우 유사한 URL로 가짜 사이트에 연결되었습니다.
받는 사람은 영리했습니다. 그들 중 누구도 가짜 링크를 클릭하지 않았습니다. 그러나 그들은 의심스러운 이메일을 "수천 명의 친구 및 동료들"과 공유하여 몇 주 동안 지속 된 실제 중고품 절약 계획에 대한 전화가 쇄도했습니다. 결국 연금 계획의 보안 책임자는 군대의 메시지를 추적했고 국방부는 가해자를 추적했다. 그 포스트에 따르면, 이름이없는 사령관은 "규칙이 모호하기 때문에 스스로 행동 한 것에 대해 책망을받지 않았다"고 말했다.
Thrift Savings Plan이 2011 년에 실제 위반을 경험 한 사실은 영향을받는 연방 직원의 걱정 요소에 추가되었습니다. 한 국방 장관은 "이것은 사람들의 둥지 알이며, 힘들게 얻은 저축입니다. 모든 것에 대한 TSP를 듣기 시작했을 때, 소문 공장이 만연했습니다." 이 기관은 피싱 테스트에 따라 계속해서 걱정되는 전화를받습니다.
이 포스트는 향후의 피싱 테스트는 국방부의 최고 정보 책임자 (CIO)의 승인이 필요할 것이라고보고했다. 중고등 저축 계획과 같은 실제 실체와 관련된 모든 테스트에는 해당 조직의 사전 허가가 필요합니다. TSP의 전무 이사 인 Greg Long은 그의 조직이 참여하지 않을 것이라는 점을 분명히했습니다.
완전히 잘못
이 군대 사령관은 어디에서 잘못 되었습니까? PhishMe CTO의 최근 블로그 게시물 인 Aaron Higbee는 거의 모든 곳에서 말합니다. Higbee는 "이 연습은 정의 된 목표가없고, 이메일로 인한 결과를 고려하지 못하고, 잠재적으로 관련된 모든 당사자와의 의사 소통을하지 못하고, 상표 / 무역 복장 또는 저작권이있는 자료를 남용함으로써 모의 피싱의 모든 주요 죄를 저지른 것"이라고 말했다.
Higbee는“효과적인 모의 피싱 공격은 수신자에게 향후 개선 방법에 대한 정보를 제공해야합니다. "이 작업을 수행하는 쉬운 방법은 수신자에게 공격이 훈련 연습임을 알리고 이메일과 상호 작용 한 직후 교육을 제공하는 것입니다."
"사람들은 종종 사내에서 시뮬레이션 된 피싱 운동을 수행 할 수 있다고 말함으로써 PhishMe가 제공하는 가치에 의문을 제기합니다"라고 Higbee는 말합니다. "그 마음가짐을 가진 사람들은 육군의 최근 기린을 조심스럽게 이야기해야한다." 그는 피싱 교육의 "확실한 헤비급 챔피언"으로 식별하면서 "지난 90 일 동안 PhishMe는 1, 790, 089 개의 이메일을 보냈습니다. 피싱 시뮬레이션이 전국 헤드 라인을 만들지 못하는 이유는 우리가하는 일을 알고 있기 때문입니다."라고 결론지었습니다.
옳은 길
피싱 교육을 위해 PhishMe와 계약을 맺은 조직은 다양한 테스트 전자 메일 스타일을 선택할 수 있으며 TSP와 같은 타사를 시뮬레이션하지는 않습니다. 예를 들어 직원에게 무료 점심을 제공하는 메시지를 생성 할 수 있습니다. "네트워크 사용자 이름과 비밀번호를 사용하여 점심 주문 웹 사이트에 로그인하기 만하면됩니다." 또 다른 접근 방식은 한 이메일을 사용하여 다른 이메일의 유효성을 지원하는 이중 배럴 공격 (실제 Advanced Persistent Threat 공격에 사용되는 전술)입니다.
어떤 스타일의 피싱 메일을 선택하든, 그에 해당하는 모든 사용자는 즉각적인 피드백과 교육을 받고 경영진은 자세한 통계를받습니다. 반복적 인 테스트 및 교육을 통해 PhishMe는 피싱을 통한 네트워크 침투 위험을 "최대 80 %"로 줄였습니다.
대부분의 조직은 인터넷을 통해 들어오는 네트워크 공격으로부터 보호됩니다. 보안에 침투하는 가장 쉬운 방법은 속이는 직원을 속이는 것입니다. 최신 보안 제품군에 내장 된 피싱 방지 기능은 브로드 캐스트 스타일 사기에 잘 맞지만 대상인 "스피어 피싱"공격은 또 다른 이야기입니다.
조직의 보안을 담당하는 경우 직원을 속이지 않도록 교육해야합니다. 교육을 직접 처리 할 수도 있지만 그렇지 않은 경우 PhishMe와 같은 타사 트레이너가 도와 줄 준비가되어 있습니다.
