ईमेल प्राप्त करते समय कर्मचारी पर्याप्त सतर्क नहीं होते हैं। कंपनियों में फ़िशिंग सिमुलेशन के एक मौजूदा कैस्पर्सकी विश्लेषण [1] से पता चलता है कि कई कर्मचारियों को आमतौर पर कंपनी के मामलों में छिपे हुए नुकसान और ई-मेल में कथित वितरण समस्याओं के बारे में सूचनाएं दिखाई नहीं देती हैं।
इस प्रकार के फ़िशिंग हमले की नकल करने वाले ईमेल टेम्प्लेट में लगभग पाँच में से एक ने लिंक पर क्लिक किया। अन्य सामान्य फ़िशिंग ई-मेल, जो घोषणा करते हैं कि किसी का अपना कंप्यूटर हैक कर लिया गया है या लाभ का वादा करते हैं, एक से दो प्रतिशत के क्लिक रूपांतरण के साथ मुश्किल से ही सफल होते हैं।
9 में से 10 हमले फिशिंग से शुरू होते हैं
ऐसा अनुमान है कि दस में से नौ साइबर हमले (91 प्रतिशत) फ़िशिंग ईमेल से शुरू होते हैं; फ़िशिंग तकनीकें सभी सफल डेटा उल्लंघनों के दो-तिहाई (32 प्रतिशत) [2] में फंसी हुई हैं।
इस खतरे के बारे में अधिक जानकारी हासिल करने के लिए, Kaspersky के विशेषज्ञों ने एक फ़िशिंग सिम्युलेटर से डेटा एकत्र किया और उसका विश्लेषण किया जो उपयोगकर्ताओं ने स्वेच्छा से प्रदान किया था। Kaspersky सुरक्षा जागरूकता प्लेटफ़ॉर्म [3] में एकीकृत, यह उपकरण संगठनों को यह सत्यापित करने में मदद करता है कि कर्मचारी कॉर्पोरेट डेटा से समझौता किए बिना फ़िशिंग ईमेल खोज सकते हैं। एक व्यवस्थापक टेम्पलेट्स के एक सेट से चुनता है जो सामान्य फ़िशिंग परिदृश्यों की नकल करता है या एक कस्टम टेम्पलेट बनाता है, फिर इसे कर्मचारियों के चयनित समूह को चेतावनी के बिना भेजता है और परिणामों को ट्रैक करता है। लिंक पर क्लिक करने वाले उपयोगकर्ताओं की एक बड़ी संख्या दर्शाती है कि अतिरिक्त साइबर सुरक्षा प्रशिक्षण की आवश्यकता है।
फ़िशिंग ईमेल में पाँच सबसे प्रभावी विषय पंक्तियाँ
- "विफल वितरण प्रयास - दुर्भाग्य से हमारा कूरियर आपका आइटम वितरित करने में असमर्थ था" माना जाता है कि डाक वितरण सेवा से: 18,5 प्रतिशत का रूपांतरण क्लिक करें
- "मेल सर्वर अतिभारित होने के कारण ई-मेल वितरित नहीं किए गए" माना जाता है कि Google सहायता टीम से: 18 प्रतिशत रूपांतरण पर क्लिक करें
- "ऑनलाइन कर्मचारी सर्वेक्षण: आप कंपनी में काम करने के बारे में क्या सुधार करेंगे?" माना जाता है कि मानव संसाधन विभाग से: 18 प्रतिशत का क्लिक रूपांतरण
- "अनुस्मारक: नई कंपनी-व्यापी ड्रेस कोड" माना जाता है कि मानव संसाधन विभाग से: 17,5 प्रतिशत का क्लिक रूपांतरण
- "सभी कर्मचारियों पर ध्यान दें: नए भवन के लिए निकासी योजना" माना जाता है कि सुरक्षा विभाग से: 16 प्रतिशत रूपांतरण पर क्लिक करें
फ़िशिंग ईमेल के लिए अधिक प्रभावी हुक
- बुकिंग सेवा से आरक्षण की पुष्टि (11 प्रतिशत)
- ऑर्डर प्लेसमेंट सूचनाएं (11 प्रतिशत)
- आईकेईए प्रतियोगिता की घोषणा (10 प्रतिशत)
प्राप्तकर्ता को धमकी देने वाले या तत्काल लाभ का वादा करने वाले ई-मेल कम "सफल" प्रतीत होते हैं। "मैंने आपके कंप्यूटर को हैक किया है और मैं आपके खोज इतिहास को जानता हूं" विषय के साथ एक टेम्पलेट ने केवल दो प्रतिशत उपयोगकर्ताओं को क्लिक किया, मुफ्त नेटफ्लिक्स और $ 1.000 केवल एक प्रतिशत की पेशकश की।
"फ़िशिंग सिमुलेशन कर्मचारियों की साइबर लचीलापन की जांच करने और उनके साइबर सुरक्षा प्रशिक्षण की प्रभावशीलता का मूल्यांकन करने के सबसे आसान तरीकों में से एक है। हालांकि, ऐसे महत्वपूर्ण पहलू हैं जिन्हें वास्तव में प्रभावी होने के लिए इसे लागू करते समय ध्यान में रखा जाना चाहिए," कास्परस्की में मध्य यूरोप के प्रबंध निदेशक क्रिश्चियन मिल्डे बताते हैं। "चूंकि साइबर अपराधी लगातार अपने तरीकों को अपना रहे हैं, सिमुलेशन को सामान्य साइबर अपराध परिदृश्यों के अलावा वर्तमान सामाजिक इंजीनियरिंग प्रवृत्तियों को प्रतिबिंबित करना चाहिए। यह महत्वपूर्ण है कि सिम्युलेटेड हमले नियमित रूप से किए जाते हैं और उपयुक्त प्रशिक्षण के साथ पूरक होते हैं। इस तरह, उपयोगकर्ता एक मजबूत जागरूकता विकसित करते हैं जो उन्हें लक्षित हमलों या स्पीयर फ़िशिंग से बचने में सक्षम बनाता है।
फ़िशिंग हमलों से सुरक्षा के लिए कास्परस्की की सिफारिशें
- कर्मचारियों को नियमित रूप से फ़िशिंग ईमेल [4] के बुनियादी हॉलमार्क के बारे में सूचित करें, जैसे कि एक खतरनाक विषय पंक्ति, त्रुटियां और टाइपो, परस्पर विरोधी प्रेषक पते और संदिग्ध लिंक।
- यदि प्राप्त ईमेल के बारे में कोई संदेह है, तो क्लिक करने से पहले अटैचमेंट के प्रारूप और लिंक की सटीकता की जांच कर लेनी चाहिए। माउस कर्सर के साथ इन मदों पर होवर करना यह सुनिश्चित कर सकता है कि पता प्रामाणिक दिखता है और संलग्न फाइलें निष्पादन योग्य प्रारूप में नहीं हैं।
- फ़िशिंग हमलों की सूचना हमेशा आईटी सुरक्षा विभाग को दी जानी चाहिए। यह साइबर सुरक्षा टीम को एंटी-स्पैम नीतियों को पुन: कॉन्फ़िगर करने और किसी घटना को रोकने की अनुमति देता है।
- साइबर सुरक्षा में कर्मचारियों को नियमित रूप से प्रशिक्षित किया जाना चाहिए। Kaspersky सुरक्षा जागरूकता प्रशिक्षण [5] जैसे प्रशिक्षण का उद्देश्य शिक्षार्थियों के व्यवहार को बदलना और उन्हें खतरों से निपटने के तरीके सिखाना है।
- क्योंकि फ़िशिंग प्रयास भ्रामक हो सकते हैं और सभी अनजाने क्लिकों से बचने की कोई गारंटी नहीं है, सभी उपकरणों को Kaspersky Small Office Security [6] जैसे विश्वसनीय समाधान से सुरक्षित किया जाना चाहिए। संबंधित समाधान एंटी-स्पैम फ़ंक्शंस प्रदान करते हैं, संदिग्ध व्यवहार को ट्रैक करते हैं और रैंसमवेयर हमलों के मामले में बैकअप बनाते हैं।
[2] https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
[3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[4] https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
[5] https://www.kaspersky.de/enterprise-security/security-awareness
[6] https://www.kaspersky.de/small-business-security/small-office-security
Kaspersky.com पर अधिक