Phishing for Dollars: Penipuan Email Perusahaan yang Membayar Miliaran

cara transfer sms banking bri

Phishing for Dollars: Penipuan Email Perusahaan yang Membayar Miliaran

Mengapa Karyawan Anda Terus Mengklik Email Phishing, dan Bagaimana Anda Dapat Menghentikannya

Laporan Pelanggaran Data Verizon 2017 sudah keluar, dan itu penuh dengan berita besar & ndash; jika Anda adalah seorang peretas. Penelitian, yang meneliti lebih dari 1.900 pelanggaran dan lebih dari 42.000 upaya di 84 negara, menunjukkan bahwa cyberspionase dan ransomware sedang meningkat. Industri manufaktur sangat rentan memiliki kekayaan intelektual dan rahasia perusahaan yang dicuri oleh mata-mata cyber. Bagaimana mata-mata dan peretas berbagai kebun ini masuk ke dalam sistem perusahaan? Cukup sering, laporan Verizon menemukan, semuanya dimulai dengan serangan rekayasa sosial, paling sering email phishing.

& ldquo; Email Bisnis Berkompromi & rdquo; Penipuan Perusahaan Penentuan Miliaran Dolar

Verizon menemukan bahwa metode rekayasa sosial digunakan dalam 43% pelanggaran yang dilaporkan, dan dari mereka, 93% dalam bentuk email phishing. Setelah peretas berhasil lolos ke jaringan organisasi, langkah berikutnya biasanya (95% dari waktu) memasang perangkat lunak perusak.

Tidak lama setelah Verizon DBIR memukul tribun virtual, FBI keluar dengan statistiknya sendiri yang memberatkan terkait varian phishing yang dikenal sebagai & ldquo; kompromi email bisnis & rdquo; (BEC). Dalam penipuan BEC, peretas mendapatkan kredensial info masuk untuk akun email milik eksekutif perusahaan tingkat tinggi & ndash; sekali lagi, ini biasanya dilakukan melalui phishing & ndash; dan menggunakannya untuk mengirim email yang tampaknya sah yang meminta karyawan atau vendor melakukan pembayaran transfer kawat. Penipuan BEC, FBI melaporkan, melihat lonjakan 2,370% yang mengejutkan dalam & ldquo; kerugian yang terekspos & rdquo; selama periode dua tahun yang berakhir pada Desember 2016, sebesar $ 5 miliar.

Perlu diingat bahwa angka $ 5 miliar ini tidak menghitung kerugian dari jenis email phishing lainnya, seperti spoofing email atau kompromi akun email pribadi. Sco phishing penipuan Google Docs yang menjerat sekitar satu juta korban minggu lalu biaya negara bagian Minnesota sendiri diperkirakan $ 90.000, sebagai karyawan negara bergegas untuk menangani serangan bukannya melakukan pekerjaan mereka.

Hacks Akan Terus Berlanjut Hingga Keamanan Cyber ​​Proaktif Diprioritaskan

Mengapa karyawan terus mengklik email phishing? Dalam banyak kasus, itu karena mereka tidak tahu lebih baik. Meskipun hidup di dunia yang semakin terhubung, mayoritas orang Amerika memiliki sedikit atau tidak ada pemahaman tentang praktik terbaik keamanan cyber, terutama bagaimana mengidentifikasi email phishing. Mereka belum belajar tentang praktik terbaik keamanan cyber pada waktu mereka sendiri, dan majikan mereka juga tidak mengajar mereka. Perusahaan menyerahkan kredensial login karyawan mereka, mungkin memasang paket firewall dan anti-virus, dan berharap yang terbaik.

Meskipun kontrol teknis seperti filter anti-spam, segmentasi jaringan, dan menghindari server email pribadi kecuali organisasi Anda memiliki staf internal dan keahlian untuk mengelolanya adalah penting, cara terbaik untuk melindungi organisasi terhadap phishing adalah dengan mengatasi faktor manusia dan ajarkan karyawan tentang keamanan dunia maya. Beberapa hal yang perlu diingat:

&banteng; Semua karyawan harus dilatih praktik terbaik keamanan cyber, bukan hanya kelompok tertentu. Terlalu sering, perusahaan akan secara komprehensif melatih staf TI mereka dan anggota staf tingkat atas lainnya, hanya untuk memiliki resepsionis atau pekerja magang yang mendapat phishing. Tempat kerja kerah putih perlu mengambil keselamatan dunia maya seserius lingkungan kerah biru mengambil keselamatan fisik; siapa pun dalam organisasi yang menyentuh komputer karena alasan apa pun perlu mengetahui cara mengoperasikannya dengan aman, termasuk pekerja paruh waktu, temps, dan magang.

&banteng; Pelatihan kesadaran cyber membutuhkan pendidikan berkelanjutan. Lingkungan ancaman berubah setiap hari, dan karyawan harus terus mengetahui tentang bahaya terbaru dan cara menghindarinya.

&banteng; Penetrasi pengujian adalah bagian penting dari pelatihan. Dengan mengirimkan email phishing palsu kepada karyawan dan melihat siapa yang mengkliknya, perusahaan akan tahu di mana titik lemah mereka, dan karyawan yang menjadi korban penipuan akan belajar dari pengalaman tersebut.

&banteng; Perusahaan harus memiliki prosedur khusus untuk melaporkan email yang mencurigakan. Jika seorang karyawan menerima email yang terlihat mencurigakan, mereka harus tahu persis siapa yang harus mereka waspada dan bagaimana. Karyawan harus merasa nyaman melaporkan aktivitas apa pun yang tidak tampak benar sehingga petugas keamanan dapat menyelidiki lebih lanjut.

Tidak ada yang namanya organisasi & ldquo; terlalu kecil & rdquo; atau & ldquo; tidak penting & rdquo; diretas. Beberapa organisasi kecil berpikir bahwa mereka tidak dapat membayar keamanan cyber yang proaktif, tetapi bisakah mereka kehilangan puluhan, bahkan ratusan ribu dolar untuk pelanggaran? Mengamankan sistem perusahaan Anda sama pentingnya dengan mengunci pintu bangunan Anda pada malam hari; Anda tidak mampu untuk tidak melindungi jaringan Anda. Sampai semua orang menyadari ini, peretasan akan terus berlanjut, dan kerugian akan terus meningkat.