Er is altijd wat neerslag na een after grote inbreuk op de beveiliging .
Die van deze week is een van de meest verontrustende ontwikkelingen van het jaar op het gebied van internetbeveiliging. Een groep genaamd Impact Team heeft gegevens gestolen van 37 miljoen gebruikersaccounts, van creditcardgegevens tot seksuele voorkeuren. En ze hebben nu de gegevens vrijgegeven . Het haalt grote krantenkoppen en het zal alleen maar erger worden.
Voor kleine bedrijven zal de belangrijkste repercussie een nieuwe ronde van phishing-scams zijn die gevolgen kunnen hebben voor uw bedrijf. Ik vermoed zelfs dat werknemers die voor u werken al een e-mail hebben ontvangen met betrekking tot de Ashley Madison-inbreuk.
Hier is hoe het allemaal werkt. Omdat we zo sterk afhankelijk zijn van e-mail , hebben we de neiging om het snel te verwerken en eerst te zoeken naar de meest opvallende berichten. Wanneer werknemers hun lijst doorbladeren en een bericht zien met de tekst We kennen uw seksuele geschiedenis -- klik hier om te voorkomen dat ze openbaar worden gemaakt, wat denkt u dat ze zullen doen? De meeste zullen klikken. Ze zullen waarschijnlijk al van de hack weten. Ze hebben waarschijnlijk geen account op de AshleyMadison.com-site, maar het is nog steeds een groot onderwerp.
De phishing meestal niet gepaard gaan met het stelen van gegevens. In feite hebben ze de neiging om een reeks gebeurtenissen in gang te zetten. De link is misschien gewoon een manier om e-mails te verzamelen. Een tweede bericht kan directer en specifieker zijn. Misschien bepaalt het eerste bericht in ieder geval de naam van uw bedrijf. De tweede gebruikt de bedrijfsnaam in de kop van de e-mail. Of de tweede e-mail vraagt om betaling. De zwendel heeft waarschijnlijk niets te maken met Ashley Madison of het datalek.
De truc heet ransomware , en het is in wezen een truc om mensen te laten klikken. De zwendel kan echter veel gecompliceerder zijn. De link kan ook de computer infecteren en gegevens versleutelen. Toch begint het bijna altijd met een klik op een link die per e-mail is verzonden of die een medewerker online vindt.
Ik heb gesproken met experts van het beveiligingsbedrijf KnowBe4 en verschillende andere firma's een paar keer over dit onderwerp, en wat ik steeds hoor is dat de beste verdediging te maken heeft met de opleiding van werknemers. Een lezer vertelde me onlangs dat hij de leiding heeft over de beveiliging bij een klein bedrijf en van plan is een phishing-zwendelexperiment uit te voeren waarbij hij een nepaccount aanmaakt, de zwendel verstuurt en vervolgens bijhoudt welke werknemers daadwerkelijk op de link klikken. Het is nogal ingenieus, omdat het een manier is om erachter te komen of er echt een probleem is. Hij kan teruggaan naar die medewerkers en ze opnieuw opleiden (of uitschelden).
Mijn advies is om snel een spontane vergadering met werknemers te houden en uit te leggen dat er een nieuwe grote hack is, een die een rimpeleffect creëert. Waarschuw medewerkers voor het klikken op links en het openen van e-mails die er verdacht uitzien (of gebruik de hierboven genoemde tactieken). Ik ben hier om te helpen, dus als je wat meer ideeën nodig hebt over hoe je deze vergadering moet doen of wat je moet zeggen, gewoon ping me per e-mail .
