C'è sempre qualche ricaduta dopo un grave violazione della sicurezza .
Quello di questa settimana è uno dei più sviluppi preoccupanti dell'anno nella sicurezza di Internet. Un gruppo chiamato Impact Team ha rubato dati per 37 milioni di account utente, dalle informazioni sulla carta di credito alle preferenze sessuali. E ora hanno rilasciato i dati . Sta facendo grandi titoli e peggiorerà solo.
Per le piccole imprese, la principale ripercussione sarà un nuovo ciclo di truffe di phishing che potrebbe avere un impatto sulla tua attività. In effetti, suppongo che i dipendenti che lavorano per te abbiano già ricevuto un'e-mail relativa alla violazione di Ashley Madison.
Ecco come funziona. Dal momento che siamo così fortemente dipendenti da e-mail , tendiamo a elaborarlo rapidamente e a cercare prima i messaggi più importanti. Quando i dipendenti sfogliano la loro lista e vedono un messaggio che dice Conosciamo la tua storia sessuale - clicca qui per evitare di renderlo pubblico cosa pensi che faranno? La maggior parte farà clic. Probabilmente sapranno già dell'hack. Probabilmente non hanno un account sul sito AshleyMadison.com, ma è ancora un grande argomento.
Il truffe di phishing di solito non comportano il furto di dati. In realtà, tendono a innescare una catena di eventi. Il collegamento potrebbe essere solo un modo per raccogliere e-mail. Un secondo messaggio potrebbe essere più diretto e specifico. Forse il primo messaggio determina almeno il nome della tua azienda. Il secondo utilizza il nome della società nell'intestazione dell'e-mail. Oppure, la seconda e-mail richiede il pagamento. La truffa probabilmente non avrà nulla a che fare con Ashley Madison o la violazione dei dati.
Lo stratagemma si chiama ransomware , ed è essenzialmente un trucco per convincere le persone a fare clic. La truffa può essere molto più complicata, però. Il collegamento potrebbe anche infettare il computer e crittografare i dati. Eppure, quasi sempre inizia con un clic su un collegamento inviato via e-mail o uno che un dipendente trova online.
Ho parlato con esperti della società di sicurezza KnowBe4 e diverse altre aziende su questo argomento un paio di volte, e quello che continuo a sentire è che la migliore difesa ha a che fare con la formazione dei dipendenti. Un lettore mi ha detto di recente che è responsabile della sicurezza in una piccola azienda e intende eseguire un esperimento di truffa di phishing in cui crea un account falso, invia la truffa e quindi tiene traccia di quali dipendenti fanno effettivamente clic sul collegamento. È piuttosto ingegnoso, perché è un modo per scoprire se c'è davvero un problema. Può tornare da quei dipendenti e riqualificarli (o sgridarli).
con chi è sposato Teddy Riley
Il mio consiglio è di tenere un incontro veloce e improvvisato con i dipendenti e spiegare che c'è un nuovo grande hack, uno che sta creando un effetto a catena. Avvertire i dipendenti di fare clic sui collegamenti e di aprire e-mail che sembrano sospette (o utilizzare le tattiche sopra menzionate). Sono qui per aiutarti, quindi se hai bisogno di altre idee su come fare questo incontro o cosa dire, basta ping me via e-mail .
