一封郵件讓她丟了工作,讓公司損失 20 萬英鎊!如何不讓員工成為企業資安最脆弱的一環?

電子郵件詐騙對組織和個人都會造成很大的影響。BBC新聞最近的一份報導就強調了這一點,一位來自蘇格蘭格拉斯哥的金融專業人士成為變臉詐騙攻擊或稱為商務電子郵件入侵 BEC)詐騙的目標。駭客冒充成該員工的執行長,設法說服她將20萬英鎊轉入其銀行帳戶。當該組織意識到發生了什麼時,他們追回了一半的損失。然而該名員工被解僱,然後被透過法院追討剩餘的款項。她的律師成功地進行辯護,稱她沒有接受過任何識別這些詐騙的訓練,此案隨後被駁回。這起事件對該員工造成很大的個人損失,不僅失去了工作,還要擔心失去自己的家。她的雇主也在財務上遭受了損失,商譽也受到了打擊。在這起案例中沒有贏家,但它確實強調了安全意識的重要性。公司需要用知識來武裝員工,以保護業務並最終保護自己。

電子郵件是頭號的威脅載體。好的郵件安全軟體能夠阻止大多數的威脅,但沒有一款產品可以百分之百地封鎖電子郵件詐騙。這意味著人是我們的最後一道防線。即使發生全球性的疫情爆發時也不例外。反倒是新冠狀病毒(COVID-19,俗稱武漢肺炎)被網路犯罪分子利用成為吸引人的誘餌。根據趨勢科技Smart Protection Network™的資料顯示,在2020年的前五個月,所有利用Covid-19的網路威脅裡有92%是垃圾郵件或釣魚郵件。

好的郵件安全軟體能夠可以阻止大多數的威脅,但沒有一款產品可以百分之百地封鎖電子郵件詐騙。這意味著人是我們的最後一道防線。

趨勢科技的Phish Insight服務可以幫你提升員工對釣魚郵件及其他網路威脅的認識。最重要的是 – 它完全免費,讓你在提高網路安全性的同時還能將這筆預算用於其他重要用途。

真實案例:兩次網路釣魚模擬測試,提升員工的資安意識

美國一家Phish Insight服務的客戶在2020上半年為1,500名員工發起兩次網路釣魚模擬活動。兩次活動相距四個月,針對了同一批員工。

第一次活動偽裝成來自CDC的電子郵件,裡面包含一個聲稱可查詢Covid-19新病例的連結。點入連結後會詢問使用者的登入資訊。

A fake CDC email that uses Covid-19 as bait
圖1. 使用Covid-19作為誘餌的假CDC電子郵件

第二次活動是冒充該組織IT部門的電子郵件。聲稱因為Microsoft 365(以前稱為Office 365)收件匣容量限制而要求使用者驗證帳號。

A fake email luring users to click on a link to fix their storage limit
圖2. 假電子郵件誘騙使用者點入連結來解決容量限制

這兩封電子郵件都幾以亂真,包含了使用者關心的重要主題。

那麼結果如何?

The results of the two campaigns showing changed behavior among users
圖3. 這兩次活動的結果顯示出使用者的行為發生了變化

點入網路釣魚連結者變少了;主動向 IT 部門舉報者增加了


對於收到郵件的員工,這兩次活動的結果顯示在識別釣魚郵件方面有了正向的行為變化:

  • 點入郵件內嵌網址的員工比例顯著降低(11%對7%)
  • 向IT部門舉報釣魚郵件的員工比例顯著增加(11%對24%)

不過在進行更具挑戰性的網路釣魚攻擊時(第二次活動),向釣魚網站給出帳密的員工比例顯著增加(0.3%對3.4%)。雖然公司的整體網路釣魚意識有所提升(可從點擊次數減少看出),但成為受害者的員工也有更高的機會給出自己的帳密。

結果同時顯示後勤團隊被釣魚成功的比例較高和持續的教育訓練很重要。除了要對所有員工進行持續的網路釣魚意識培訓外,IT部門還應該更加關注後勤團隊。

透過Phish Insight,該公司成功提升了員工的資安意識,同時能找出高風險的使用者群並識別出需要幫助的使用者。

啟動網路釣魚模擬,只需五分鐘,且免費

要為你的使用者啟動網路釣魚模擬,你需要零預算跟僅僅五分鐘的時間。透過相當簡單的使用者體驗,你可以馬上啟動並執行你的第一次模擬活動。

免費試用Phish Insight

@原文出處:Are employees the weakest link in your security strategy?