Il y a toujours des retombées après un faille de sécurité majeure .
Celui de cette semaine est l'un des plus développements troublants de l'année en sécurité Internet. Un groupe appelé Impact Team a volé les données de 37 millions de comptes d'utilisateurs, allant des informations de carte de crédit aux préférences sexuelles. Et, ils ont maintenant publié les données . Cela fait les gros titres, et cela ne fera qu'empirer.
Pour les petites entreprises, la principale répercussion sera une nouvelle série d'escroqueries par hameçonnage qui pourraient avoir un impact sur votre entreprise. En fait, je suppose que les employés travaillant pour vous ont déjà reçu un e-mail lié à la violation d'Ashley Madison.
Voici comment tout cela fonctionne. Étant donné que nous sommes si fortement dépendants de e-mail , nous avons tendance à le traiter rapidement et à rechercher d'abord les messages les plus notables. Lorsque les employés parcourent leur liste et voient un message qui dit Nous connaissons votre histoire sexuelle - cliquez ici pour éviter de le rendre public, que pensez-vous qu'ils feront ? La plupart cliqueront. Ils seront probablement déjà au courant du hack. Ils n'ont probablement pas de compte sur le site AshleyMadison.com, mais c'est toujours un gros sujet.
le les escroqueries par phishing n'implique généralement pas le vol de données. En fait, ils ont tendance à déclencher une chaîne d'événements. Le lien pourrait simplement être un moyen de récolter des e-mails. Un deuxième message pourrait être plus direct et spécifique. Peut-être que le premier message détermine au moins le nom de votre entreprise. Le second utilise le nom de l'entreprise dans l'en-tête de l'e-mail. Ou, le deuxième e-mail fait une demande de paiement. L'arnaque n'aura probablement rien à voir avec Ashley Madison ou la violation de données.
Le stratagème s'appelle ransomware , et c'est essentiellement une astuce pour amener les gens à cliquer. L'arnaque peut être beaucoup plus compliquée, cependant. Le lien peut également infecter l'ordinateur et crypter les données. Pourtant, cela commence presque toujours par un clic sur un lien envoyé par e-mail ou qu'un employé trouve en ligne.
J'ai parlé à des experts de la société de sécurité KnowBe4 et plusieurs autres entreprises sur ce sujet à quelques reprises, et ce que j'entends sans cesse, c'est que la meilleure défense a à voir avec la formation des employés. Un lecteur m'a dit récemment qu'il était responsable de la sécurité dans une petite entreprise et qu'il avait l'intention de mener une expérience d'escroquerie par phishing dans laquelle il crée un faux compte, envoie l'arnaque, puis suit quels employés cliquent réellement sur le lien. C'est plutôt ingénieux, car c'est un moyen de savoir s'il y a vraiment un problème. Il peut retourner auprès de ces employés et les recycler (ou les réprimander).
jessie james decker vrai papa
Mon conseil est d'organiser une réunion impromptue rapide avec les employés et d'expliquer qu'il y a un nouveau hack majeur, qui crée un effet d'entraînement. Avertissez les employés de cliquer sur des liens et d'ouvrir des e-mails qui semblent suspects (ou utilisez les tactiques mentionnées ci-dessus). Je suis là pour vous aider, donc si vous avez besoin de plus d'idées sur la façon de faire cette réunion ou quoi dire, juste ping moi par email .
