Çalışanların Covid Bonus Teklifini Eğitin Bir Kimlik Avı Testi Oluyor

LONDRA – Bir İngiliz demiryolu şirketinin maaş bordrosu departmanından gelen e-posta, zor bir yıl boyunca birçok şirket ofisinden bir kaçınıyor gibi görünüyordu ve çalışanlara, salgın.

Ancak Nisan ayında bağlantıyı izleyen ve giriş bilgilerini giren West Midlands Trains çalışanları, sonuçta hiçbir bonus olmadığını, yalnızca e-postanın bir güvenlik testi olduğunu ve alıcıların dışarıdan bilgisayar korsanları tarafından sahte mesajlara duyarlılığını ölçtüğünü keşfettiler. Eğlenmeyen ve öfkeli, şirket çalışanları için bir sendika testi “alaycı ve şok edici bir numara” olarak nitelendirdi ve bir özür çağrısında bulundu.

İngiliz demiryolu operatörü, ekonomik açıdan stresli bir dönemde finansal kazançlar vaat eden siber güvenlik testleriyle çalışanlarını kızdıran tek şirket değil. Ancak siber suçları körükleyen salgının duygusal ve finansal baskısıyla birlikte, serpinti, kimlik avı testleri için ne kadar uzak olduğu hakkında bir konuşmaya dönüştü.

Çevrimiçi dolandırıcılıklar artıyor ve bir siber saldırının sonuçları bir işletme için maliyetli ve sakatlayıcı olabilir. Bu nedenle, şirketlerin çalışanların, güvenilir gönderenleri finansal, gizli veya kişisel bilgileri aramaları için taklit eden sözde kimlik avı e-postaları veya metin mesajlarına dikkat etmelerini istemesi mantıklı geliyor. Ancak siber güvenlik uzmanları, şirketlerin çalışanları test ederlerse dikkatli davranmaları gerektiğini çünkü bu tür sahte tekliflerin yalnızca psikolojik olarak zarar vermekle kalmayıp aynı zamanda bir şirketin güvenliğini de azaltabileceğini söylüyor.

İşçilerden bir sendika temsilcisi, e-postanın zulmü olarak gördüğü şeye şaşırdığını söyledi.

Şirketteki işçileri temsil eden bir işçi sendikası olan TSSA’nın genel sekreteri Manuel Cortes yaptığı açıklamada, “Bu virüse karşı mücadelede bu kadar çok şey yapan işçilere yanlış bir şekilde ikramiye vermeyi seçtikleri neredeyse inanılmayacak bir şey,” dedi. Şirketteki birçok personelin koronavirüse yakalandığını ve bir kişinin Covid’e yakalandıktan sonra hayatını kaybettiğini sözlerine ekledi.

West Midlands Trains, tatbikatı “gerçek siber suçlular tarafından kullanılan dili taklit etmek için tasarlanmış, ancak zarar verici sonuçları olmayan bir“ önemli test ”savundu. ”

Bir şirket sözcüsü e-postayla yaptığı açıklamada, “Siber güvenliği çok ciddiye alıyoruz, konu hakkında düzenli eğitim veriyoruz ve dayanıklılığımızı test etmek için egzersizler yapıyoruz” dedi. E-postanın yönetim rollerindeki yaklaşık 420 personele gönderildiğini de sözlerine ekledi.

Alıcıyı kötü amaçlı yazılım indirmeye, gölgeli web sitelerini ziyaret etmeye veya kredi kartı bilgilerinden fikri mülkiyete kadar hassas bilgileri paylaşmaya ikna etmeye çalışan kimlik avı e-postaları ve metinleri yalnızca salgın sırasında çoğaldı. Ve işletmeler, geçen yıl siber güvenlik önlemlerini uygulamanın daha zor olduğunu bildirdi.

İngiltere Ulusal Siber Güvenlik Merkezi tarafından bu hafta yayınlanan bir rapor, internetten kaldırılan dolandırıcılık sayısında 15 kat artış olduğunu gösterdi ve ajansın, geçtiğimiz yıl dolandırıcılık sitelerini önceki üç yıla göre çevrimdışına aldığını söyledi. kombine.

Bu yılın ilk çeyreğinde, hükümet istatistiklerine göre, İngiltere’deki işletmelerin neredeyse yüzde 40’ı, orta ve büyük ölçekli firmalar için ortalama 13.400 pound veya 18.800 dolar maliyetle dijital ihlal veya saldırı bildirdi. Ve ciddi bir ihlalin maliyeti çok daha ürkütücü olabilir: Geçen yıl 17 ülkede 524 kuruluşla görüşen Ponemon Institute for IBM Security tarafından yapılan bir çalışma, 2020’deki veri ihlallerinin bir kuruluşa ortalama 3 dolara mal olduğunu buldu. 86 milyon.

Kimlik avı, büyükanne ve büyükbabaları birikimlerini dolandırmaya çalışan dolandırıcılar tarafından, istihbarat kurumları tarafından bilgi ve diplomatik avantaj elde etmek için ve BT departmanları tarafından çalışanların dikkatini verip vermediğini görmek için kullanıldı.

University College London’da güvenlik mühendisliği profesörü olan Steven J. Murdoch, “Yeterince iyi tasarlanmış bir kimlik avı e-postası, zamanın yüzde 100’ünde tıklanacak,” dedi ve tüm şirketlerin kimlik avına karşı savunmasız olduğunu ekledi.

Ancak çalışanları ikramiyelerle ilgili sahte e-postalarla test etmenin “tuzak” olduğunu söyleyerek, güvenlik için çok önemli olan şirketler ve çalışanlar arasındaki ilişkiye zarar verme riski taşıdığını da sözlerine ekledi. Örnek olarak bazı saldırıların hoşnutsuz çalışanlardan geldiğini söyledi. “Yangın güvenliğinden sorumlu kişiler binayı ateşe vermezler” dedi testler.

Çalışanları herhangi bir bağlantıya tıklamaktan vazgeçirmek yerine, daha etkili stratejiler arasında kimlik avı e-postalarını engelleme, fidye yazılımlarına karşı koruma sağlamak için yazılım yükleme ve şifre kullanımının ele alınması yer alabilir.

Bir siber güvenlik şirketi olan Cygenta’nın kurucularından Jessica Barker, çalışanları yabancılaştırmanın aynı zamanda şüpheli faaliyetleri şirket departmanlarına bildirme olasılıklarının daha düşük olması anlamına geldiğini, saldırıların daha ciddi hale gelmesini önlemenin çok önemli bir yöntem olduğunu söyledi.

Dr. Barker, “İnsanlar bir şeyden şüphelendikleri anda rapor ederlerse, bu büyük ölçüde herhangi bir saldırıyı hafifletebilir” dedi. “Bu tür bir simülasyonla ilgili sorun, insanları haber yapmaktan alıkoyabilmesidir. ”

Dr. Barker, siber güvenliğin nihayetinde bir işyerinin ahlakını, psikolojik güvenliğini ve kültürünü dikkate alması gerektiğini söyledi. “Odak noktası insanları kandırmaya çalışmak veya” biz onlara karşı “yaklaşımı olmamalı, odak noktası şudur: İş gücümüze nasıl yardımcı olabiliriz?”

Kimlik avı simülasyonlarının yeri vardı, dedi. “Ancak finansal belirsizlik döneminde finansal bonus kadar duygusal bir şey, iyi karşılanacak bir şey değil. ”

Bu, The Baltimore Sun ve The Chicago Tribune’un sahibi olan Tribune Publishing Company için kesinlikle geçerliydi. Geçen yıl benzer bir siber güvenlik testi yaptıktan sonra çalışanlara 10.000 $ ‘a kadar sahte bonus vaat ettikten sonra özür diledi. Web barındırma sağlayıcısı GoDaddy tarafından Aralık ayında gönderilen bir başka test, çalışanlardan 650 $ ‘lık tatil bonusu talep etmek için kişisel bilgilerini doldurmalarını istedi. Ayrıca özür dilemek zorunda kaldı.

Bu tür testleri kullanan şirketlerin, West Midlands Trenlerinin aldatmacayı düzeltmesinin bir yolu olduğunu söyleyen TSSA sendikası gibi talepler için hazırlıklı olmaları gerekebilir: sonuçta her çalışana bir ikramiye ödemek “bir yanlışı düzeltmek için ki bu gereksiz yere çok fazla acıya neden oldu. “