中小企業をフィッシング攻撃から保護する
公開: 2021-07-27誰かに聞いてみてください。そうすれば、彼らまたは彼らが知っている誰かがフィッシング攻撃を経験するでしょう。 それだけでなく、彼らはおそらく、1人のために実際にお金を失った人を知っています。
フィッシングは依然として最も一般的な種類のサイバー攻撃であり、米国の組織の74%が昨年攻撃に成功しました。 中小企業は、これらの攻撃から保護するために必要なリソースと知識が一般的に不足しているため、残念ながら特に脆弱です。
なぜハッカーは中小企業を標的にするのが好きなのですか?
多くの場合、中小企業は、ハッカーが求めていると思われる膨大な量のデータや金融資産を持っていないため、サイバーセキュリティは自分たちに関係がないと感じる傾向があります。 ?
これはまさにサイバー犯罪者が依存している種類の考え方ですが、これらの企業は効果的なセキュリティ対策を実装できず、ハッカーの標的になりやすくなります。 中小企業は従業員向けのサイバーセキュリティトレーニングに投資する傾向がないため、受信者がそれに対処するためのノウハウを持っていない場合、人をだますように設計されたフィッシング攻撃が成功する可能性がはるかに高くなります。
一部の攻撃では、中小企業が最終的な標的にさえなりません。 ハッカーは、中小企業を簡単なエントリポイントとして使用します。これは、サプライチェーン内の大企業への足がかりであり、真に報われるものです。 これらのサプライチェーン攻撃は増加傾向にあり、ほとんどの場合、適切に防御するためのサイバー防御がなかった中小企業から始まります。
フィッシングはどのように機能しますか?
フィッシング攻撃は依然として企業に対する最も一般的な種類のサイバー攻撃の1つであり、昨年は米国だけで241,324件のインシデントが発生しました。 2021年に行われた英国政府のサイバー侵害調査でも、攻撃の83%を占める最大の脅威ベクトルとして、フィッシングが明らかになりました。
システムへのハッキングには時間と労力がかかりますが、信頼を利用してシステムをだまし、誰かにそれらのシステムへのアクセスを許可してもらう方がはるかに簡単です。 電子メールフィッシングは特に人間を対象としており、多くの場合、ソーシャルエンジニアリング技術を使用して、機密情報を提供したり、受信者のシステムにマルウェアやランサムウェアのインストールをトリガーするリンクをクリックしたりするようにユーザーを誘導します。
大規模なキャンペーンの一部として標的にされる場合もあれば、組織に対するより具体的で考え抜かれた攻撃である場合もあります。 後者の場合、ハッカーはあなたの会社や他の従業員に関する特定の情報を使用して、電子メールをより説得力のあるものにする可能性があります。 このタイプの攻撃は、スピアフィッシングとして知られています。
ビジネス電子メールの侵害の事例は、あなたが知る限り、同僚やビジネスパートナーから正当な電子メールを受信しているため、詐欺師を見つけることを特に困難にします。 これらの種類の攻撃は、従業員、顧客、またはサプライチェーン上の誰もが機密データを提供したり、資金を送金したりするように促すために使用されます(もちろんハッカーの銀行口座に送金されます)。
経済的損失は、フィッシング攻撃に関与する中小企業にとって深刻な影響を与える可能性がありますが、組織外の人々が会社を通じて標的にされると、事態はさらに悪化する可能性があります。 ハッカーが従業員のアカウントにアクセスし、ビジネスのサプライヤー、クライアント、またはパートナーに電子メールを送信することに成功した場合、これらの信頼できる関係に深刻な影響を及ぼし、会社が安全でないという懸念のためにビジネスを失う可能性があります。
フィッシング攻撃を発見する方法
私たちは皆、1つを見つける方法を知っていると思いますが、今日のフィッシングメールははるかに洗練されており、さらに高いレベルの警戒が必要です。
では、何に注意することができますか?
- 常に送信者を注意深く見てください。 なりすましドメインは、たとえば1つの「i」から「1」に微妙に変更された信頼できるドメインである可能性があります。
- 内容を確認してください。 疑わしい約束がなされて、それが真実であるには良すぎるように見える場合、それはおそらくそうです。
- トーンに注意してください。 ハッカーは、フィッシングメールで緊急性を利用して、考える機会がなくなる前に行動するように説得することがよくあります。
- スペルおよび文法。 正しいスペルと文法が必ずしもハッカーの長所であるとは限らないため、明らかな間違いはスパムの兆候である可能性があります。
通常は検出がはるかに難しいBEC詐欺に関しては、情報を送信する前に注意を払うことが重要です。 人気のある詐欺には、偽の請求書を顧客に送信する、上級管理職になりすまして従業員にお金を要求する、弁護士になりすまして顧客にお金を要求するなどがあります。 一般的に、受信トレイに入ってくる送金のリクエストを再確認することをお勧めします。
あなたは中小企業として何ができますか?
従業員研修
フィッシング攻撃からビジネスを保護するための鍵は、人為的ミスがフィッシングの試みが成功する理由であるため、スタッフが適切にトレーニングされていることを確認することです。 従業員がフィッシング攻撃、それらを発見する方法、およびフィッシング攻撃に遭遇した場合の対処方法について正しいガイダンスを確実に得られるようにするのは、CEOまたは組織の所有者の責任です。
セキュリティと意識の文化を育み、従業員が正しい知識を持っていることを確認することは、一部のユーザーが自宅で作業している可能性がある場合に特に重要です。これらの環境では可視性と制御が低下するためです。
セキュリティポリシーは、このガイダンスを伝達し、従業員がそれを読んで理解できるようにするための優れた方法であり、従業員のオンボーディングプロセスの一部にすることができます。 サイバーセキュリティ演習もこの知識をテストする良い方法です。NCSCの「ボックス内の演習」など、無料で使用できるオンライン演習がたくさんあります。 月に数ドルで、他の企業がフィッシングシミュレーションなどのセキュリティトレーニングを提供し、従業員の応答を追跡できます。
アクセス制御
会社全体のアカウント権限を減らすことで、ハッカーが悪用できる貴重なエントリポイントの数を制限すると便利です。 スタッフは、職務を遂行するために必要なものにのみアクセスできる必要があります。
そうすれば、サイバー犯罪者が自分のアカウントをハッキングした場合、ビジネスの機密データのすべてにアクセスできなくなり、違反を封じ込めることができます。 管理者アカウントは、トップレベルの管理用に予約する必要があります。 アカウントを侵害からさらに保護するには、適切なパスワードセキュリティを実践し、多要素認証が有効になっていることを確認してください。
データバックアップ
組織内のすべての機密データを定期的にバックアップするということは、ハッカーがフィッシングの試みを介してアクセスできたとしても、すべてが失われるわけではないことを意味します。 理想的には、バックアップ戦略は3つのコピーのベストプラクティスを満たす必要があります。2つは異なるメディアにあり、1つはオフサイトであり、すべてのバックアップはセキュリティを強化するために暗号化する必要があります。 クラウドプロバイダーまたは外付けドライブを使用してバックアップすることを選択できますが、どの方法でも、リカバリが可能であることを確認するために、それらを定期的に監視およびチェックする必要があります。
セキュリティソフトウェア
侵害やフィッシング攻撃から保護するには、セキュリティソフトウェアが常に最新であることを確認する必要があります。 多くの場合、これらは自動的に更新されるように設定されていますが、常に最新のパッチを確認する価値があります。 フィッシング攻撃の防止には従業員のトレーニングが最大の役割を果たしますが、トレーニングやサイバー警戒の程度に関係なく、人間が正しく攻撃できることを常に保証できるとは限らないため、追加の保護手段が役立ちます。
サードパーティのセキュリティソリューションを実装してバックグラウンドで動作し、ユーザーの電子メールアクティビティ、ログイン試行、ファイルのダウンロードを監視できるため、異常や侵害されたアカウントをすばやく見つけて報告できます。 これらは、会社の従業員がミスを犯した場合でも、それが悲惨である必要がないように、セーフティネットを作成するのに役立ちます。
結論
フィッシング攻撃から組織を保護するために費用や時間がかかる必要はありませんが、中小企業にとっては、階層化されたアプローチを採用し、スタッフが適切なトレーニングを受けられるようにするとともに、ソフトウェアを適切に管理および構成してさらに構築することが不可欠です。あなたの防御。
これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。