حماية عملك الصغير من هجمات التصيد الاحتيالي

نشرت: 2021-07-27

اسأل أي شخص وإما أنه أو أي شخص يعرفه سيكون قد تعرض لهجوم تصيد احتيالي. ليس ذلك فحسب ، بل ربما يعرفون شخصًا خسر مالًا بالفعل بسبب أحدهم.

لا يزال التصيد الاحتيالي هو النوع الأكثر شيوعًا من الهجمات الإلكترونية ، حيث نجح 74٪ من المؤسسات في الولايات المتحدة في الهجوم عليه في العام الماضي. الشركات الصغيرة للأسف معرضة بشكل خاص لأنها تفتقر عمومًا إلى الموارد والمعرفة اللازمة للحماية من هذه الهجمات.

لماذا يحب المتسللون استهداف الشركات الصغيرة؟

في كثير من الأحيان ، تميل الشركات الصغيرة إلى الشعور بأن الأمن السيبراني ليس ذا صلة بهم لأنهم لا يمتلكون كميات هائلة من البيانات أو الأصول المالية التي يعتقدون أن المتسللين يسعون وراءها ، فلماذا عناء بذل الوقت والجهد لحماية أنفسهم ؟

هذا هو بالضبط نوع العقلية التي يعتمد عليها مجرمو الإنترنت ، حيث ستفشل هذه الشركات في تنفيذ تدابير أمنية فعالة ، مما يجعلها أهدافًا سهلة وسلسة للمتسللين. لا تميل الشركات الصغيرة إلى الاستثمار في التدريب على الأمن السيبراني لموظفيها ، لذا فإن هجمات التصيد ، المصممة لخداع الأشخاص ، من المرجح أن تكون ناجحة عندما لا يكون لدى المتلقي الخبرة اللازمة للتعامل معها.

بالنسبة لبعض الهجمات ، لا تكون الشركات الصغيرة حتى الهدف النهائي. يستخدم المتسلل شركة صغيرة كنقطة دخول سهلة ، ونقطة انطلاق للشركات الأكبر في سلسلة التوريد التي ستكافئهم حقًا. تتزايد هجمات سلسلة التوريد هذه وتبدأ دائمًا تقريبًا بشركة صغيرة لم يكن لديها الدفاعات الإلكترونية لحماية نفسها بشكل صحيح.

كيف يعمل التصيد؟

التصيد

لا تزال هجمات التصيد الاحتيالي من أكثر أنواع الهجمات الإلكترونية انتشارًا على الشركات ، حيث سجلت 241324 حادثة في الولايات المتحدة وحدها العام الماضي. كشف مسح الخروقات الإلكترونية الذي أجرته حكومة المملكة المتحدة في عام 2021 عن التصيد باعتباره ناقل التهديد الأول ، المسؤول عن 83٪ من الهجمات.

يستغرق اختراق نظام ما وقتًا وجهدًا ، ولكن الحصول على شخص ما يمنحك إمكانية الوصول إلى تلك الأنظمة من خلال الاستفادة من ثقته وخداعه أسهل بكثير. يتم توجيه التصيد الاحتيالي عبر البريد الإلكتروني على وجه التحديد إلى البشر وغالبًا ما يستخدم تقنيات الهندسة الاجتماعية لإغراء المستخدم بتقديم معلومات حساسة أو النقر فوق ارتباط يؤدي إلى تثبيت البرامج الضارة أو برامج الفدية على نظام المستلم.

قد يتم استهدافك كجزء من حملة جماهيرية أو قد يكون هجومًا أكثر تحديدًا ومدروسًا على مؤسستك. في الحالة الأخيرة ، قد يستخدم المتسللون معلومات معينة عن شركتك أو موظفين آخرين لجعل البريد الإلكتروني يبدو أكثر إقناعًا. يُعرف هذا النوع من الهجوم باسم التصيد بالرمح.

تجعل حالات تسوية البريد الإلكتروني للأعمال من الصعب تحديد موقع المحتال لأنه بقدر ما يمكنك أن تقول ، فأنت تتلقى بريدًا إلكترونيًا شرعيًا من زميل أو شريك تجاري. تُستخدم هذه الأنواع من الهجمات لتشجيع الموظفين أو العملاء أو أي شخص في سلسلة التوريد على تقديم بيانات حساسة أو تحويل الأموال (والتي سيتم توجيهها بالطبع إلى الحساب المصرفي للمتسلل).

يمكن أن تكون الخسارة المالية تداعيات خطيرة على شركة صغيرة متورطة في هجوم تصيد ، ولكن يمكن أن تزداد الأمور سوءًا إذا تم استهداف من هم خارج مؤسستك من خلال شركتك. إذا تمكن المتسللون من الوصول إلى حساب موظف وإرسال رسائل بريد إلكتروني إلى موردي عملك أو عملائك أو شركائك ، فقد تؤثر بشكل خطير على هذه العلاقات الموثوقة وتفقد الأعمال بسبب مخاوف من أن شركتك ليست آمنة.

كيفية اكتشاف هجوم التصيد

نعتقد جميعًا أننا نعرف كيفية اكتشاف رسالة بريد إلكتروني ، لكن رسائل التصيد الاحتيالي اليوم أكثر تعقيدًا ، وتتطلب مستويات أعلى من اليقظة.

إذن ما الذي يمكن أن تبحث عنه؟

  • ابحث دائمًا عن كثب في المرسل. قد تكون المجالات المخادعة مجرد مجال موثوق به تم تغييره بمهارة ، على سبيل المثال ، واحد "i" إلى "1"
  • تحقق من المحتوى. إذا تم تقديم وعود مشبوهة وبدا الأمر جيدًا لدرجة يصعب تصديقها ، فمن المحتمل أن يكون الأمر كذلك.
  • كن حذرا من النغمة. غالبًا ما يستخدم المتسللون الإلحاح في رسائل التصيد الاحتيالي الإلكترونية لإقناعك بالتصرف قبل أن تتاح لك فرصة التفكير.
  • التهجئة والقواعد اللغوية. لا تعتبر القواعد النحوية والإملائية الصحيحة دائمًا نقطة قوة للهاكر ، لذا قد تكون الأخطاء الواضحة علامة على وجود بريد عشوائي.

فيما يتعلق بعمليات الاحتيال BEC ، والتي عادة ما يكون اكتشافها أصعب بكثير ، من المهم توخي الحذر قبل إرسال أي معلومات. تتضمن عمليات الاحتيال الشائعة إرسال فواتير مزيفة للعملاء ، أو انتحال شخصية شخص في الإدارة العليا لطلب أموال من الموظفين ، أو انتحال صفة المحامين لطلب الأموال من العملاء. بشكل عام ، يوصى بالتحقق مرة أخرى من أي طلبات لتحويل الأموال تصل إلى صندوق الوارد الخاص بك.

ماذا يمكنك أن تفعل كشركة صغيرة؟

تدريب الموظفين

المفتاح لحماية عملك من هجمات التصيد هو التأكد من تدريب الموظفين بشكل صحيح ، لأن الخطأ البشري هو سبب نجاح محاولة التصيد. تقع على عاتق المدير التنفيذي أو مالك المؤسسة مسؤولية ضمان حصول الموظفين على التوجيه الصحيح بشأن هجمات التصيد وكيفية اكتشافها وما يجب فعله في حالة مواجهة أحدها.

إن غرس ثقافة الأمن والوعي والتأكد من أن الموظفين لديهم المعرفة الصحيحة أمر مهم بشكل خاص عندما يكون بعض المستخدمين يعملون من المنزل ، لأن الرؤية والتحكم أقل في هذه البيئات.

تعد السياسات الأمنية طريقة جيدة لنقل هذا التوجيه والتأكد من أن الموظفين يقرؤونه ويفهمونه يمكن أن يكون جزءًا من عملية إعداد الموظف. تعتبر تمارين الأمن السيبراني أيضًا طريقة جيدة لاختبار هذه المعرفة - هناك الكثير من التمارين عبر الإنترنت التي يمكن استخدامها مجانًا ، مثل "التمرين في صندوق" الخاص بالمركز الوطني للأمن الإلكتروني. مقابل بضعة دولارات شهريًا ، يمكن للشركات الأخرى توفير تدريب أمني مثل محاكاة التصيد ، حيث يمكنك تتبع ردود الموظفين.

صلاحية التحكم صلاحية الدخول

من المفيد تحديد عدد نقاط الدخول القيمة التي يمكن أن يستغلها المتسلل عن طريق تقليل امتيازات الحساب عبر شركتك. يجب أن يكون الموظفون قادرين فقط على الوصول إلى ما يحتاجون إليه لأداء دورهم الوظيفي.

بهذه الطريقة ، إذا كان على مجرم الإنترنت اختراق حسابه ، فلن يتمكن من الوصول إلى جميع البيانات الحساسة للشركة ويمكن احتواء الانتهاك. يجب حجز حسابات المسؤولين لإدارة المستوى الأعلى. لمزيد من الحماية لحساباتك من الاختراق ، مارس الأمان الجيد لكلمة المرور وتأكد من تنشيط المصادقة متعددة العوامل.

النسخ الاحتياطي للبيانات

سيعني النسخ الاحتياطي المنتظم لجميع البيانات الحساسة داخل مؤسستك أنه لن يتم فقد كل شيء إذا تمكن أحد المتطفلين من الوصول عبر محاولة تصيد. من الناحية المثالية ، يجب أن تفي إستراتيجية النسخ الاحتياطي الخاصة بك بأفضل الممارسات المتمثلة في ثلاث نسخ: نسختان على وسائط مختلفة ، واحدة خارج الموقع ، ويجب تشفير جميع النسخ الاحتياطية لمزيد من الأمان. يمكنك اختيار النسخ الاحتياطي باستخدام موفر السحابة أو محرك أقراص خارجي ، ولكن مهما كانت الطريقة ، يجب مراقبتها وفحصها بانتظام للتأكد من إمكانية الاسترداد.

برامج الأمن

يعد ضمان تحديث برامج الأمان دائمًا أمرًا ضروريًا للحماية من الانتهاكات وهجمات التصيد الاحتيالي. غالبًا ما يتم تعيين هذه للتحديث تلقائيًا ولكن الأمر يستحق دائمًا التحقق من أحدث التصحيحات. على الرغم من أن تدريب الموظفين سيلعب الدور الأكبر في منع هجمات التصيد الاحتيالي ، إلا أن الإجراءات الوقائية الإضافية مفيدة لأنه لا يمكنك دائمًا ضمان أن البشر سيحصلون عليها بشكل صحيح ، بغض النظر عن مقدار التدريب واليقظة الإلكترونية التي يتمتعون بها.

يمكن تنفيذ حلول الأمان التابعة لجهات خارجية للعمل في الخلفية ، ومراقبة نشاط البريد الإلكتروني للمستخدمين ، ومحاولات تسجيل الدخول ، وتنزيلات الملفات ، بحيث يتم العثور بسرعة على أي حالات شاذة أو حسابات تم اختراقها والإبلاغ عنها. يمكن أن يساعد ذلك في إنشاء شبكة أمان حتى عندما يرتكب موظف في الشركة خطأً ، لا يجب أن يكون كارثيًا.

خاتمة

لا يجب أن تكون حماية مؤسستك من هجمات التصيد الاحتيالي مكلفة أو تستغرق وقتًا طويلاً ، ولكن من الضروري أن يكون للشركات الصغيرة والمتوسطة نهج متعدد الطبقات ، مما يضمن حصول الموظفين على التدريب المناسب بالإضافة إلى إدارة البرامج وتكوينها بشكل صحيح لمزيد من البناء دفاعاتك.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

  • أنواع هجمات التصيد التي يجب الحماية منها
  • كيف تحمي نفسك من خداع Netflix الاحتيالي الجديد الذي يقوم بجولاته
  • كيف تنقذ نفسك من هجوم التصيد الاحتيالي [معلومات رسومية]
  • هناك خدعة تصيد احتيالي جديدة من Apple تدور حولها - وإليك كيفية اكتشافها