捕鯨攻撃を防ぐ方法:包括的なガイド
あなたの高位の従業員は、あなたの会社に関する機密情報の宝庫へのゲートキーパーです。 あなたの比喩的なデータ城の奥深くに隠されているのは、従業員の社会保障番号、企業の銀行口座情報、顧客のクレジットカード番号のようなものです。 悪人の手で、あなたのブランドの完全性を損なうことができ、および/またはあなたの会社の何百万ドルもの費用がかかること。 そして、それが取るすべては、一人が昼寝をキャッチすることです。
他の業界の専門家のように、サイバー犯罪者は常に学習し、進化しています。 これまでの最も複雑なスキームの一つは、彼らがあなたやあなたの執行役員のいずれかを偽装し、あなたの従業員を詐欺しようとする捕鯨攻撃です。
あなたがこれを読んでも、自称船長アハブは彼の次の超洗練された捕鯨攻撃を計画しています-そして、あなたはどんな標的と同じくらい良いです。 ここでは、事前にその攻撃を発見し、そのトラックで死んだ銛を停止するために必要なすべてのものと、FAQスタイルのガイドです。
捕鯨攻撃とは何ですか?
捕鯨攻撃(whaling phishingとも呼ばれます)は、詐欺師があなたの会社の高官になりすまし、従業員をだまして多額の資金を配線したり、機密情報を明らかにしたりする
捕鯨攻撃とフィッシング攻撃の違いは何ですか?
すべての捕鯨攻撃はフィッシング攻撃ですが、すべてのフィッシング攻撃が捕鯨攻撃ではありません。
フィッシング攻撃は四半世紀前から存在しています。 90年代半ばには、この用語は、AOLユーザーからのパスワードとクレジットカード番号を「フィッシュ」するために、電子メールの爆発を「ルアー」として送信したハッカーを記述するために排他的に使用されていました。
今日では、より広義には、誰かが欺瞞的な手段によって機密情報を巻き込もうとするインターネット詐欺と定義されています。 注意してください:あなたの叔父のいたずらのために落ちることができれば、あなたはフィッシング詐欺のために落ちることができます。
これらの詐欺は一般的に広範なネットを投げかけます(成功率は比較的低い)が、槍フィッシング攻撃として知られる変種は、単一のユーザーを標的とする個別化されたアプローチを伴います。 それらの大半は、感情的に被害者をかき立てるために社会工学を使用しています。
捕鯨攻撃はそのカテゴリに該当しますが、このような場合、”槍”ははるかに大きな賞で運搬するという考えで思慮深く設計されています。
捕鯨攻撃はどのように機能するのですか?
捕鯨社会工学は信じられないほど複雑です; 犯罪者は、通常、Cスイートエグゼクティブの偽装を超現実的に見えるようにするために、偉大な長さに行くでしょう。
最も一般的には、a)組織内のターゲット、b)上司になりすましていることについて詳細な調査を行います。
後者は難しいですが、同様の電子メールドメインを使用し、会社のロゴや電子メール署名を組み込むことで、ハロウィンにふさわしいデジタル変装を作 それ以外の場合は、通常のGmailアドレスを使用して、「個人アカウント」からメッセージを送信していると主張することがあります。
ターゲットは、従業員のFacebookを見て、仕事後のハッピーアワーから写真を見つけ、”その幹部だけが知ることができた”詳細を組み込むことは、通常は難しくありません。
たとえいくつかの赤い旗があなたの従業員に警戒をさせたとしても、詐欺師は信頼、緊急性、または遵守しなければ仕事を失う恐れなどのものを
起こりうる最悪の事態は何ですか?
2016年に捕鯨攻撃の犠牲になったSnapchatに尋ねてください。 ソーシャルメディア大手の組織の人事担当者は、ストックオプションのデータやW-2に記載されているすべてのものを含む、いくつかの従業員の個人情報を明らかにした給与データをフォークした。
かろうじて一ヶ月後、マテルの財務幹部は、”新しいCEO”からの電子メールの指示を得た後、中国の銀行に3万ドルを有線。
これらの詐欺は、企業に数千万ドルの費用がかかるいくつかの大規模な攻撃と比較して、小さなジャガイモとさえ考えられるかもしれません。 さらに悪いことに、彼らはそう簡単に妥協された結果として、消費者の信頼の多くを失いました。
さて、どうすればこれが起こらないようにすることができますか?
1月中旬の雪の中で遊びに行く子供のように、保護のいくつかの層が必要になります。 これらのヒントに従ってください、あなたは毎日起こって捕鯨攻撃の突風に自分自身があまり脆弱になります。
役員と従業員を教育する
ほとんどの人はフィッシング詐欺に非常に欠陥があり、見つけやすいと考えているので、細心の捕鯨ソーシャルエンジニアリングを完全に疑うことはないかもしれません。 これらの詐欺が存在することをあなたのチームに知らせることから始めましょう!
次に、彼らを訓練する
あなたのチームが捕鯨攻撃の警告兆候を見つけることを学ぶのを助けることは、あなたに何百万人も救うことになりま マルコのようなITに精通した企業も、あなたの従業員がどのように影響を受けやすいかを判断するのに役立つ奇襲攻撃をシミュレートす
ネットワーク外のメールにフラグを付ける
これは、偽装されたメールアドレスを公開する非常に簡単で効果的な方法です。 “@”の違いsmithlenses.com”と”@smith1″を発表した。com”は特定のフォントで見つけるのは難しいかもしれませんが、電子メールがネットワーク外であることを示すと警告が発生します。
捕鯨防止プロトコルの設定
これのいくつかの素晴らしい例には、電話などの他のチャネルを介して機密情報の要求を検証することが含まれます。 これらの要求にサインオフするために他の人を強制することも素晴らしいアイデアです—それは詐欺二人よりも難しいです。
DLPソフトウェアへの投資
Data Loss Prevention(DLP)ソフトウェアは、設定したプロトコルの違反をブロックできます。 また、ドメインの名前と年齢(新しいドメインがより疑わしい)、既知の連絡先への表示名の類似性、および”電信送金”などの不審なキーワードに基づいて電子
従業員にソーシャルメディアプロファイルを非公開にさせる
従業員のLinkedInとFacebookのプロファイルを友人にのみ表示するように設定すると、ランダムな詐欺師が自分の個人情報にアクセスし、捕鯨攻撃の一部として使用することが難しくなります。
警戒心を維持
捕鯨攻撃を防ぐ唯一の方法は、できるだけ熱心に彼らのために準備することです。 マルコのような会社から少し助けを今得ることはラインの下の何百万のドルそしてクジラ大きさで分類された頭痛救うことができる。