尽管企业非常喜欢他们的反网络钓鱼培训计划,但在与客户就重要的运营工作进行沟通时,他们不知何故没有考虑到这一点。许多例行发送的消息看起来和行为完全像网络钓鱼消息。
这些公司高管似乎没有意识到的是,这种行为会损害他们自己的业务。所以如何?通过培训他们的客户——几乎所有的客户都有不同程度的访问权限或凭证进入该企业的系统——通过他们意想不到的电子邮件点击未知链接或打开未知附件,他们只是在自找麻烦。
天哪,这怎么可能出错呢?
寻找主要的网络攻击者,开始给这些公司的首席信息官和首席信息官送糖果和鲜花,并附上一张纸条:“非常感谢您培训您的客户更有效地落入我们的网络钓鱼攻击!我们欠你个人情。我们向你索要赎金后会再联系的。说话很快。”
是什么引起了我的关注?我最近收到了两封来自两家无关企业的邮件。其中一封来自一家大型电信运营商,询问维修订单安排问题,另一封来自一家大型医疗保健公司,询问账单问题。这两条消息都出乎意料。运营商的邮件含糊其辞,然后让我点击一个链接。(“是的,”我想。“这是不可能的。”)关于医疗保健的那份也很含糊,要求我打开一个PDF附件。(我又一次想,“不。一个意想不到的PDF文件比Zip文件只安全一个档次。这也不会发生。”)
打了两个电话,听了一大堆音乐杂音后,我才知道这两条信息都是合法的。但这不是重点。关键是,他们让人们点击一个未知链接或打开一个未知附件的努力是自杀。
认证公司Token的首席执行官约翰·冈恩将这种策略比作父母试图教三岁的孩子如何避免被绑架。
“你不能告诉三岁的孩子,‘可以从这个陌生人那里拿糖果,但不能从另一个陌生人那里拿。或者帮助这个陌生人寻找丢失的小狗,而不是帮助另一个陌生人。”这些公司给消费者增加了额外的负担,让他们辨别什么是合法的,什么是不合法的。”
这里的部分问题在于,“那封电子邮件看起来很假”这句话在过去一年左右发生了很大变化。(例如,这些电子邮件不再意味着大量的错别字。)
企业联系这些问题的正确方式是这样的:“有一个新的账单问题需要您的关注。请登录您的门户,查看一下。”
为什么大多数企业不这样做呢?有些人把原因归咎于缺乏培训——这绝对是有道理的。但是,这通常是有意为之的。
更负责任的企业已经尝试以适当的方式来做这件事,但是太多的客户抱怨说,“您知道我必须处理多少门户吗?给我一个你要我使用的传送门的链接。”
这让我们回到了安全vs。方便的噩梦。
这个问题很复杂,因为情况分为两步。这并不是说如果客户点击了你的链接就会受到伤害。而是你无意中让他们舒服地点击了一个未知的链接,他们可能会在两天后遇到真正的网络钓鱼攻击邮件时受到伤害。企业会被追究责任吗,特别是如果你不能证明受害者是因为发送的内容点击的吗?
更糟糕的是。过去的建议是把鼠标放在可疑链接上,确保它们是合法的。今天,这个建议不起作用了。首先,许多通信正在转向不存在鼠标悬停的移动环境。(Bayse首席执行官大卫?皮尔逊指出,移动设备上的用户可以长点击,但这很危险,因为链接很容易打开。)其次,攻击者已经掌握了假装鼠标移动的艺术,KnowBe4的防御传道者罗杰·格兰姆斯(Roger Grimes)说。
除此之外,许多公司现在与多家第三方公司合作处理各种功能,包括计费、调度、运输、支付等。这意味着顾客期望看到他们喜欢的零售商的名字,而不是看到一个不熟悉的名字。
这让我们回到对用户的基本建议:永远不要点击任何意想不到的链接或打开任何意想不到的附件。没有例外,除非用户可以转向可信的通信手段来验证合法性,例如拨打支付卡背面的号码。
IT顾问艾伦·阿尔福德(Allan Alford)表示,要消除类似网络钓鱼的信息并不容易。
“我们训练用户不要点击不好的东西或可疑的东西。或者看起来像我们的人,但实际上不是我们的人。”然后,一个外包的人力资源SaaS产品冒充人力资源主管,向全公司发送电子邮件。然后市场营销和销售都发出了同样的信息。底线是‘不要点击那个东西’是不切实际的建议。”
阿尔福德说,唯一的回应是“教最终用户联系发送方并进行核实。然后我们需要训练业务不要做我们训练用户不要做的事情。”
网络风险管理公司CyberSaint的首席执行官Padraic O'Reilly表示,这在很大程度上源于同一公司内部业务部门之间的脱节。O'Reilly说:“安全、IT功能和运营部门之间经常存在脱节。“这些功能有时比它们应该的更加离散。”
TCF Strategy的首席执行官布莱斯?奥斯汀(Bryce Austin)说得更直接一些:“任何给别人发电子邮件、短信或其他东西,说请点击他们的链接的公司,都需要真正反思一下他们的业务流程。”
皮尔森认为,更大的问题是解决电子邮件钓鱼问题所附带的投资回报率。
“当他们计算风险格局时,这是一个足够高的优先级吗?”皮尔森说,这表明答案是否定的,它并不是一个特别重要的问题。
这种情况需要改变。
