Финансы - инвестирование - Консультанты: избежать фишинг-атак и Киберпреступлений






Согласно отчета нарушение исследования данных, опубликованных на Verizon в 2016 году, наблюдается определенная тенденция увеличения количества людей, нажав на “фишинговые” электронные письма с 2014 года. Фишинг является одним из видов социальной инженерии, используемых злоумышленниками, чтобы обмануть людей, ввести вирус в их компьютер или раскрывать конфиденциальную информацию.
Управление рисками в этом месяце обновление (РМУ) обсуждаются некоторые недавние фишинга и пошаговые инструкции фирмы могут предпринять, чтобы помочь защитить себя от этих угроз. В целях оказания практической и практические рекомендации, этот РМУ упоминание определенных продуктов и поставщиков; однако, это дает лишь предложения и не должны рассматриваться конкретные рекомендации. (Для больше от этого автора см.: как избежать ошибок в области Кибербезопасности. )
Примеры фишинговых атак
Около 70% кибер нарушения влекут за собой взломанных пользователей. К сожалению, хакеры получают очень сложные. Ниже приведены три примера текущая фишинг-атак, которые в ловушке высокий процент жертв.
Пример 1: Фишинг
Сотрудник получает следующее письмо, которое, кажется, приходят из HR-специалист:
“Это было доведено до нашего внимания была проблема с АДФ, что, возможно, повлияло на ваше 2016 W-2 формы. Пожалуйста, прочтите прилагаемую записку и сообщить мне, если вы столкнулись. ”
Сотрудник нажимает на привязанность, которая гласит:
“Пожалуйста, проверьте ваш 29 декабря 2016 года выплата и согласовать цифры с 2016 форма W-2. Если номера совпадают, вам не нужно предпринимать никаких дальнейших действий. Однако, если есть какие-то неточности, пожалуйста, сообщите HR и мы опубликуем исправленный 2016 форма W-2. ”
Конечно, зарплаты заглушки и W-2 матча, но вложение содержит вирус, что компьютер сотрудника и, возможно, сети фирмы был заражен.
Пример 2: Охота На Китов
Всех сотрудников (кроме генерального директора) получают следующее письмо, которое, кажется, пришли от генерального директора фирмы:
“Один из наших крупнейших клиентов является открытие пиццерии в нескольких минутах ходьбы от нашего офиса в 123 с. Калифорния Бул. Хозяин хочет дать каждому сотруднику бесплатную среднюю пиццу! Пожалуйста, нажмите на кнопку ниже, чтобы скачать ваш купон на бесплатную пиццу, и, пожалуйста, распространить слово, чтобы поддержать наших уважаемых клиентов. ”
Электронная почта все Пицца хат брендинг и бесплатная пицца кнопка выглядит привлекательно, но при нажатии на кнопку показывает сообщение об ошибке “http 404 – файл не найден,” и вирус оседает в компьютере. (Для связанного чтения, см.: советники: это кибер-преступлений, чтобы следить за. )
Пример 3: Фишинг
Фирма разместила должностные инструкции на некоторых досках объявлений заявив, заинтересованные лица должны отправить резюме на humanresources@АВС-компании. ком. Хакер троллей для компаний, которые разместили должностных инструкций и попытки “фишинг” HR человек, отправив письмо с поддельным резюме прилагается. Все выглядит нормально, и с HR человек ожидает получить резюме, ничего не кажется подозрительным. Однако возобновить вирус добавленные который активирует, когда возобновится открыт.
Протоколы направлены для профилактики
Ознакомление Пользователей
Знание-сила, поэтому очень важно постоянно обучать сотрудников на актуальные типы угроз и что можно сделать для предотвращения кибератак. Ниже приведены некоторые советы для определения фишинга:
1. Проверьте URL-адрес, чтобы помочь определить легитимность.
2. Подтвердить доменное имя отправителя, адрес электронной почты отображается правильно.




3. Проверьте содержимое электронной почты (если видимых без вскрытия):
Получается что-то, что обычно отправляется от отправителя?
Содержит ли она какие-либо слова с ошибками?
Это прошу конфиденциальную информацию?
Это требует открытия ссылки или вложения?
4. Не нажимайте на ссылки или вложения, если сообщения содержат угрозы.
5. Будьте бдительны и не доверяйте без получения подтверждения.
Осуществлять Фишинг-Моделирования
Имитация фишинговых писем, которые отслеживают, кто открывает электронную почту и кто нажмет на соответствующую ссылку или вложение, можно периодически отправляются сотрудникам. Для этого типа тренировки, чтобы быть эффективным, человек не должен быть проинформирован условного письма, и тех, кто открывает письма должны получить короткие, обязательные тренировки .
Фишинг моделирования и последующего обучения помогают уменьшить “кликов” . Кроме того, это улучшение измеримые и документально.
Предложенных поставщиков: Институт Информзащиты и KnowBe4 предлагаем различные инструменты повышения осведомленности пользователей и образовательных услуг.
Двухфакторная проверка подлинности (“2-факторную авторизацию”)
Кибербезопасность-это режим для предотвращения несанкционированного доступа. Основной способ проверки подлинности имя пользователя и пароль, и присвоении этих полномочий является одним из самых распространенных способов нарушения сети.
2-факторную авторизацию внутреннего контроля, что значительно повышает безопасность и требует второй документ, удостоверяющий личность в дополнение к имени пользователя и пароля. Примеры 2-факторную авторизацию не отвечает на вопросы, признавая выбранных изображений на сайте, SMS текстовых маркеров сообщение (шести-значный одноразовый код, который нужно ввести), и брелки, которые генерируют коды безопасности .
2-факторную авторизацию становится стандартным. В 2016 году, в результате широко разрекламированного нарушение базы данных государственного служащего, Президент Обама поручил 2fa для всех государственных учреждений. Кроме того, банки обязаны использовать 2-факторную авторизацию, а также ряд популярных веб-сайтов и сервисов предлагаем 2-факторную авторизацию, включая Microsoft Office 365, который компания Amazon, Facebook и Gmail. Возможность есть. Пользователю нужно просто включить дополнительную безопасность. 2-факторную авторизацию экономичен и может быть очень эффективным в предотвращении несанкционированного доступа.
Предложенных поставщиков: ОГА и Yubico предлагают разнообразные от 2fa товаров и услуг.
Мониторинг конечных точек и защиты
Каждое электронное устройство, которое подключается к сети фирмы является “конечной точки”, который должен быть защищен. Оконечном устройстве может быть мобильное устройство, портативный компьютер, домашний компьютер, и/или рабочее место в офисе. Мониторинг конечных точек позволяет фирме контролировать сетевую активность доступа в режиме реального времени и, в некоторых случаях, предотвратить попытку кибератаки.
Предложенных поставщиков: Entreda и Symantec предлагают конечной точки мониторинга продукты.
Заключение
Поддержание сильной программы кибербезопасности является непростой задачей для фирмы, учитывая шквал кибератак, которые продолжают подрывать разумные усилия. Соответствие персонала должны работать в тесном сотрудничестве с ИТ-персонала для обеспечения адекватной защиты. Оценка рисков должна проводиться ежегодно и непрерывное обучение сотрудников является обязательным. Очень важно также, чтобы высшее руководство обеспечивает достаточные ресурсы продолжают выделяться в программе фирмы кибербезопасности . (Для больше от этого автора см.: почему нормативно-маятник для качания в направлении Дерегуляции. )
Автор: Крэйг Ватанабе, Ср. Соответствие Консультант; Редактор: Тина Митчелл, Приводят Ср. Соответствие консультант, Основные соответствия &амп; Юридические услуги (“БКК”). БКК активно работает с консультантами по инвестициям, брокеров-дилеров, инвестиционных компаний, хедж-фондов, частных инвестиционных компаний и банков по вопросам соблюдения нормативных .
Эта статья предназначена для информационных целей и не содержит или передать по юридическим и налоговым вопросам. Информация в настоящем документе не следует полагаться в отношении любого конкретного факта или обстоятельства, без предварительной консультации с адвокатом и/или профессиональных налоговых.





Похожие статьи


Эфириума принять доказательство-Кола
Эфириума Переживает Новый Хак

Комментарии


Ваше имя:

Комментарий:

ответьте цифрой: три + пять =



Консультанты: избежать фишинг-атак и Киберпреступлений