Der er altid noget nedfald efter en større sikkerhedsbrud .
Den ene denne uge er en af de mest foruroligende udvikling i året i internetsikkerhed. En gruppe kaldet Impact Team stjal data til 37 millioner brugerkonti, alt fra kreditkortoplysninger til seksuelle præferencer. Og det har de nu frigivet dataene . Det skaber store overskrifter, og det bliver kun værre.
For små virksomheder vil den vigtigste konsekvens være en ny runde phishing-svindel, der kan påvirke din virksomhed. Faktisk er mit gæt, at medarbejdere, der arbejder for dig, allerede har modtaget en e-mail relateret til overtrædelsen af Ashley Madison.
Sådan fungerer det hele. Da vi er så stærkt afhængige af e-mail , vi har tendens til at behandle det hurtigt og scanne efter de mest bemærkelsesværdige meddelelser først. Når medarbejdere gennemgår deres liste og ser en besked, der siger, at vi kender din seksuelle historie - klik her for at undgå at offentliggøre, hvad tror du de vil gøre? De fleste klikker. De ved sandsynligvis allerede om hacket. De har sandsynligvis ikke en konto på AshleyMadison.com-siden, men det er stadig et stort emne.
Det phishing-svindel involverer normalt ikke stjæling af data. Faktisk har de en tendens til at udløse en kæde af begivenheder. Linket kan bare være en måde at høste e-mails på. En anden besked kan være mere direkte og specifik. Måske bestemmer den første besked i det mindste navnet på din virksomhed. Den anden bruger firmanavnet i overskriften på e-mailen. Eller den anden e-mail stiller et krav om betaling. Svindlen vil sandsynligvis ikke have noget at gøre med Ashley Madison eller databruddet.
Tricket kaldes ransomware , og det er i det væsentlige et trick at få folk til at klikke. Svindlen kan dog være meget mere kompliceret. Linket inficerer muligvis også computeren og krypterer data. Alligevel starter det næsten altid med et klik på et link sendt via e-mail eller et, som en medarbejder finder online.
Jeg har talt med eksperter i sikkerhedsfirmaet KnowBe4 og flere andre firmaer om dette emne et par gange, og hvad jeg ved med at høre er, at det bedste forsvar har med medarbejderuddannelse at gøre. En læser fortalte mig for nylig, at han har ansvaret for sikkerhed i et lille firma og har til hensigt at køre et phishing-fiduseksperiment, hvor han opretter en falsk konto, sender scam ud og sporer derefter, hvilke medarbejdere der faktisk klikker på linket. Det er ret genialt, fordi det er en måde at finde ud af, om der virkelig er et problem. Han kan gå tilbage til disse medarbejdere og træne dem om (eller skælde dem ud).
Mit råd er at afholde et hurtigt improviseret møde med medarbejderne og forklare, at der er et nyt stort hack, der skaber en krusningseffekt. Advar medarbejdere om at klikke på links og åbne e-mails, der ser mistænkelige ud (eller brug den ovennævnte taktik). Jeg er her for at hjælpe, så hvis du har brug for nogle flere ideer til, hvordan man gør dette møde, eller hvad man skal sige, bare ping mig via e-mail .
