Sempre hi ha algunes conseqüències després d’un bretxa de seguretat important .
El d’aquesta setmana és un dels que més esdeveniments preocupants de l'any en seguretat a Internet. Un grup anomenat Impact Team va robar dades de 37 milions de comptes d'usuari, des de la informació de la targeta de crèdit fins a les preferències sexuals. I, ara sí va publicar les dades . Està fent notícies importants i només empitjorarà.
Per a les petites empreses, la principal repercussió serà una nova ronda d’estafes de pesca que poden afectar el vostre negoci. De fet, suposo que els empleats que treballen per a vosaltres ja han rebut un correu electrònic relacionat amb l’incompliment d’Ashley Madison.
Així és com funciona tot. Ja que en som tan dependents correu electrònic , solem processar-lo ràpidament i cercar primer els missatges més destacats. Quan els empleats exploren la seva llista i veuen un missatge que diu 'Coneguem el vostre historial sexual', feu clic aquí per evitar fer-lo públic, què creieu que faran? La majoria farà clic. Probablement ja sabran del hack. Probablement no tinguin cap compte al lloc AshleyMadison.com, però no deixa de ser un tema important.
El estafes de pesca generalment no impliquen robar dades. De fet, solen iniciar una cadena d’esdeveniments. L’enllaç només pot ser una forma de recollir correus electrònics. Un segon missatge pot ser més directe i específic. Potser el primer missatge determini almenys el nom de la vostra empresa. El segon utilitza el nom de l’empresa a la capçalera del correu electrònic. O bé, el segon correu electrònic fa una sol·licitud de pagament. Probablement, l’estafa no tindrà res a veure amb Ashley Madison ni amb la violació de dades.
La trucada es diu ransomware , i és essencialment un truc per fer que la gent faci clic. L’estafa pot ser molt més complicada, però. L'enllaç també pot infectar l'ordinador i xifrar les dades. Tot i això, gairebé sempre comença amb un clic en un enllaç enviat per correu electrònic o que un empleat troba en línia.
He parlat amb experts de l’empresa de seguretat KnowBe4 i diverses altres empreses sobre aquest tema unes quantes vegades, i el que segueixo sentint és que la millor defensa té a veure amb la formació dels empleats. Recentment, un lector em va dir que s’encarrega de la seguretat en una petita empresa i que té intenció d’executar un experiment d’estafa de phishing en què crea un compte fals, envia l’estafa i, a continuació, fa un seguiment dels empleats que realment fan clic a l’enllaç. És bastant enginyós, perquè és una manera d’esbrinar si realment hi ha algun problema. Pot tornar a aquests empleats i tornar-los a entrenar (o renyar).
El meu consell és mantenir una reunió ràpida i improvisada amb els empleats i explicar que hi ha un nou hack important, que està creant un efecte ripple. Aviseu els empleats sobre fer clic a enllaços i obrir correus electrònics que semblin sospitosos (o utilitzeu les tàctiques esmentades anteriorment). Estic aquí per ajudar-vos, per tant, si necessiteu algunes idees més sobre com fer aquesta reunió o què heu de dir, simplement envia’m un correu electrònic .
