एक अनजाने सटीक नकली Google साइन-इन पेज एम्मा विलियम्स, सीसी BY-NDएक अनजाने सटीक नकली Google साइन-इन पेज एम्मा विलियम्स, सीसी द्वारा एनडी

कंपनियां हर दिन फ़िशिंग घोटालों के साथ बमबारी कर रही हैं दुनिया भर में 500 से अधिक साइबर सुरक्षा पेशेवरों के एक हाल के सर्वेक्षण में, 76% की रिपोर्ट कि उनके संगठन 2016 में एक फ़िशिंग आक्रमण के शिकार हो गए। वार्तालाप

ये घोटाले ईमेल का रूप लेते हैं जो दुर्भावनापूर्ण अटैचमेंट को डाउनलोड करने के लिए स्टाफ को राजी करने की कोशिश करते हैं, डग्स लिंक पर क्लिक करते हैं, या व्यक्तिगत विवरण या अन्य संवेदनशील डेटा प्रदान करते हैं। एक लक्षित "भाला" फ़िशिंग ईमेल अभियान पर हाल ही के साइबर हमले को उकसाने के लिए दोषी ठहराया गया था जिसके कारण एक यूक्रेन में प्रमुख बिजली आउटेज.

और भी चिंताजनक रूप से, फ़िशिंग हमलों अब एक संगठन के नेटवर्क पर ransomware देने का सबसे लोकप्रिय तरीका है। यह सॉफ्टवेयर का एक प्रकार है जो आम तौर पर फाइलों को एन्क्रिप्ट करता है या फिर एक फिरौती के भुगतान के लिए कंप्यूटर स्क्रीन को लॉक करता है। की मांग की गई राशि हैं आम तौर पर काफी छोटा, जिसका अर्थ है कि कई संगठन केवल, बिना किसी गारंटी के बिना फिरौती का भुगतान करेंगे, उनकी व्यवस्था अनलॉक हो जाएगी। इन फ़िशिंग हमलों के चेहरे में, कर्मचारी बन गए हैं साइबर सुरक्षा की अग्रिम पंक्ति। फ़िशिंग ईमेल में उनकी भेद्यता को कम करना इसलिए कंपनियों के लिए एक महत्वपूर्ण चुनौती बन गई है

अनुशासनात्मक समस्याएं

संगठनों को खतरे को शामिल करने के लिए संघर्ष करते हैं, एक विचार जो कर्षण प्राप्त कर रहा है, इसका संभावित उपयोग है अनुशासनात्मक प्रक्रिया फ़िशिंग ईमेल पर क्लिक करने वाले कर्मचारियों के खिलाफ यह अतिरिक्त प्रशिक्षण को औपचारिक अनुशासनात्मक कार्रवाई के लिए पूरा करता है, खासकर तथाकथित "दोहराने वाले क्लिकर्स" (जो लोग फ़िशिंग ईमेल पर एक से अधिक बार जवाब देते हैं) के लिए। वे एक प्रतिनिधित्व करते हैं विशेष रूप से कमजोर बिंदु साइबर सुरक्षा में


आंतरिक सदस्यता ग्राफिक


यह आवश्यक नहीं है - न ही वास्तव में, यह एक अच्छा विचार है। एक शुरुआत के लिए, हम अब भी समझ नहीं पाते हैं कि लोगों को फ़िशिंग ईमेल को पहली जगह पर किस प्रकार जवाब देना चाहिए। अनुसंधान केवल उन चीजों को खरोंच कर रहा है, जिनके कारण लोग उनका जवाब दे सकते हैं। ईमेल वाला, कार्यस्थल संस्कृति और मानदंड, किसी व्यक्ति के पास ज्ञान की डिग्री, चाहे एक कर्मचारी विचलित हो या उच्च दबाव वाले दबाव के तहत- वहाँ है ऑनलाइन जोखिमों की विविध समझ, जिनमें से सभी प्रभावित हो सकते हैं कि क्या लोग समय पर किसी विशेष बिंदु पर फ़िशिंग ईमेल की पहचान करने में सक्षम हैं या नहीं।

दुर्भाग्य से, इसका मतलब है कि जवाबों से अब भी अधिक प्रश्न हैं। क्या कुछ नौकरी की भूमिकाएं उन कार्यों के प्रकार की वजह से अधिक कमजोर हैं जो वे करते हैं? फ़िशिंग हमलों के जोखिम के बारे में कर्मचारियों को शिक्षित करने में प्रशिक्षण प्रभावी है? क्या कर्मचारी कार्यस्थल की अन्य मांगों पर सुरक्षा को प्राथमिकता देने में सक्षम हैं जब आवश्यक हो? इन अनजानों में, एक अनुशासनात्मक दृष्टिकोण पर ध्यान केंद्रित करना समयपूर्व और जोखिमों के अन्य प्रयासों को दूर करने के जोखिमों को ध्यान में रखते हुए अधिक प्रभावी हो सकता है

लक्षित फ़िशिंग हमले भी तेजी से परिष्कृत और मुश्किल हो रहे हैं, यहां तक ​​कि तकनीकी उपयोगकर्ताओं के लिए भी। हाल के हमलों (पर पेपैल और गूगल, उदाहरण के लिए) यह प्रदर्शित।

यह एक धोखाधड़ी के ईमेल को तैयार करने के लिए अब अविश्वसनीय रूप से आसान है, जो बहुत ही समान दिखता है, यदि लगभग एक समान नहीं है, तो एक वैध एक के लिए स्पूफ़ेड ईमेल पते, सटीक लोगो को शामिल करना, सही लेआउट और ईमेल हस्ताक्षर, सभी को फ़िशिंग ईमेल को वास्तविक से अलग करना मुश्किल हो सकता है

शांत रहें और आगे बढ़ते रहें

फिशर्स भी बहुत अच्छे हैं परिदृश्य पैदा करना कि संभावना है कि लोगों को जवाब देंगे अधिकतम वे एक संगठन के भीतर अधिकारियों के आंकड़ों की नकल करने जैसी चीज़ों के द्वारा आतंक और तत्काल आवश्यकता की भावना पैदा करते हैं संकट की भावना पैदा करो। या वे संभावित नकारात्मक प्रभाव पर ध्यान केंद्रित करते हैं जवाब देने में नाकाम रहने का। जब हम फिशर के शस्त्रागार में दिखाए गए बढ़ते परिष्कारों को स्वीकार करते हैं, तो उनकी चालबाजी के शिकार शिकार करने वालों को दंडित करने का औचित्य साबित करना अधिक मुश्किल हो जाता है

नकली फ़िशिंग हमले अक्सर कर्मचारियों के बीच जागरूकता बढ़ने का एक तरीका के रूप में उपयोग किया जाता है। हालांकि बेहतर क्लिक दर के सुझाव दिए गए हैं ऐसे कार्यक्रमों का पालन करना, कर्मचारियों पर संभावित प्रभावों की सीमा का एक व्यापक मूल्यांकन कम है। तथा कुछ शोध संभावित बताते हैं कि कर्मचारी केवल खतरे से निपटने की कोशिश कर रहे हैं क्योंकि यह एक हारने वाली लड़ाई की तरह लगता है

दोष और अत्याचार की संस्कृति भी कर्मचारियों को अपनी गलतियों को स्वीकार करने के लिए कम इच्छुक बना सकती है। इनमें से किसी भी परिणाम से संगठन के सुरक्षा कर्मियों और उसके अन्य कर्मचारियों के बीच संबंधों को नुकसान पहुंचने की संभावना है। इसके बदले संगठन के सुरक्षा संस्कृति पर नकारात्मक प्रभाव पड़ेगा। यह सुरक्षा के लिए एक सत्तावादी भूमिका में वापसी का सुझाव देती है, जो अनुसंधान से पता चला एक कदम पीछे है अगर हम पूरी तरह से सुरक्षा पहल में कर्मचारी संलग्न हैं

फ़िशिंग हमलों के लिए एक संगठन के जोखिम को मिटाने के लिए एक जटिल और विकसित चुनौती का प्रतिनिधित्व करता है। हाल ही में # एस्कऑट लाउड ऑस्ट्रेलियाई सरकार द्वारा अभियान लोगों को एक दूसरे की राय के लिए प्रोत्साहित करने के लिए प्रोत्साहित करने के लिए जब उन्हें संदेहास्पद ईमेल प्राप्त होता है तो इसका अच्छा उदाहरण बताता है कि यह चुनौती कैसे शुरू हो सकती है। यह बातचीत और साझा अनुभवों को प्रोत्साहित करता है। इस दृष्टिकोण का उपयोग करना सुनिश्चित कर सकता है कि कर्मचारियों को सशक्त और साइबर सुरक्षा बनाए रखने में एक महत्वपूर्ण तत्व, संदेह की रिपोर्ट करने के लिए प्रोत्साहित किया गया।

अनुसंधान है स्पष्ट कि एक संगठन के सुरक्षा कर्मियों और अन्य कर्मचारियों के बीच समाधान और विश्वास विकसित करने की बात आती है, जब साइबर सुरक्षा खुले वार्ता पर निर्भर करती है, कर्मचारियों से भागीदारी करती है जैसा पुराना कहा जाता है: आप केवल अपने सबसे कमजोर कड़ी के रूप में मजबूत हैं। इसलिए यह आवश्यक है कि सभी कर्मचारियों को उनके संगठन के बचाव में एक प्रभावी मोर्चे लाइन बनने के लिए समर्थन दिया गया।

के बारे में लेखक

एम्मा विलियम्स, रिसर्च फेलो, यूनिवर्सिटी ऑफ बाथ और डेबी आशेनडेन, साइबर सुरक्षा के प्रोफेसर, पोर्ट्समाउथ विश्वविद्यालय

यह आलेख मूलतः पर प्रकाशित हुआ था वार्तालाप। को पढ़िए मूल लेख.

संबंधित पुस्तकें

at इनरसेल्फ मार्केट और अमेज़न