Selalu ada kejatuhan setelah pelanggaran keamanan besar .
Yang minggu ini adalah salah satu yang paling perkembangan yang mengganggu tahun ini dalam keamanan Internet. Sebuah grup bernama Impact Team mencuri data untuk 37 juta akun pengguna, mulai dari info kartu kredit hingga preferensi seksual. Dan, mereka punya sekarang merilis data . Itu menjadi berita utama utama, dan itu hanya akan menjadi lebih buruk.
Untuk bisnis kecil, dampak utama adalah babak baru penipuan phishing yang dapat memengaruhi bisnis Anda. Faktanya, dugaan saya adalah bahwa karyawan yang bekerja untuk Anda telah menerima email terkait pelanggaran Ashley Madison.
Inilah cara kerjanya. Karena kita sangat bergantung pada surel , kami cenderung memprosesnya dengan cepat dan memindai pesan yang paling penting terlebih dahulu. Ketika karyawan menyapu daftar mereka dan melihat pesan yang mengatakan Kami tahu riwayat seksual Anda -- klik di sini untuk menghindari publikasi, menurut Anda apa yang akan mereka lakukan? Sebagian besar akan mengklik. Mereka mungkin sudah tahu tentang peretasan. Mereka mungkin tidak memiliki akun di situs AshleyMadison.com, tetapi itu masih menjadi topik besar.
Itu penipuan phising biasanya tidak melibatkan pencurian data. Bahkan, mereka cenderung memicu rantai peristiwa. Tautan mungkin hanya cara untuk memanen email. Pesan kedua mungkin lebih langsung dan spesifik. Mungkin pesan pertama setidaknya menentukan nama perusahaan Anda. Yang kedua menggunakan nama perusahaan di header email. Atau, email kedua membuat permintaan pembayaran. Penipuan kemungkinan tidak akan ada hubungannya dengan Ashley Madison atau pelanggaran data.
Jurus itu disebut ransomware , dan ini pada dasarnya adalah trik untuk membuat orang mengklik. Penipuan bisa jauh lebih rumit. Tautan mungkin juga menginfeksi komputer dan mengenkripsi data. Namun, hampir selalu dimulai dengan klik pada tautan yang dikirim melalui email atau yang ditemukan karyawan secara online.
Saya sudah berbicara dengan para ahli di perusahaan keamanan TahuBe4 dan beberapa firma lain tentang topik ini beberapa kali, dan yang terus saya dengar adalah bahwa pembelaan terbaik berkaitan dengan pelatihan karyawan. Seorang pembaca baru-baru ini memberi tahu saya bahwa dia bertanggung jawab atas keamanan di sebuah perusahaan kecil dan bermaksud menjalankan eksperimen penipuan phishing di mana dia membuat akun palsu, mengirimkan penipuan, dan kemudian melacak karyawan mana yang benar-benar mengklik tautannya. Ini agak cerdik, karena ini adalah cara untuk mengetahui apakah memang ada masalah. Dia bisa kembali ke karyawan itu dan melatih mereka kembali (atau memarahi mereka).
berapa umur danny count?
Saran saya adalah mengadakan pertemuan dadakan dengan karyawan dan menjelaskan bahwa ada peretasan besar baru, yang menciptakan efek riak. Peringatkan karyawan tentang mengklik tautan dan membuka email yang terlihat mencurigakan (atau gunakan taktik yang disebutkan di atas). Saya di sini untuk membantu, jadi jika Anda membutuhkan lebih banyak ide tentang bagaimana melakukan pertemuan ini atau apa yang harus dikatakan, cukup ping saya melalui email .
