Lavoro nel team di sicurezza informatica della mia azienda e il mio team leader mi chiede di inviare "false" mail di phishing ai miei colleghi. I messaggi di posta elettronica miravano a indurli a fare clic sui collegamenti incorporati (i collegamenti conducono a una pagina Web informativa sul phishing).
Sono un po 'perplesso nel cercare di intrappolare i miei colleghi. E 'eticamente accettabile intrappolare i miei colleghi? È legale (per esempio per le leggi francesi)?
Grazie
Sì, è eticamente accettabile "intrappolarli", finché non lo fai per la tua stessa vittoria. Se li mandi a una pagina informativa, va bene.
Se li invii al vero accesso all'azienda, ma includi come ?phish=true nell'URL e poi hai la logica sul lato server per disabilitare l'account e quindi programmare l'utente per ulteriori informazioni sul phishing, allora va bene anche.
Ciò che non è etico è se li invii alla tua pagina di accesso, anche se non archivi o non fai nulla con i dettagli.
In realtà esiste un'attività che si chiama "PhishMe". L'azienda funziona in questo modo:
[email protected] . Quindi PhishMe invierà una mail di phishing falsa ai tuoi dipendenti. Se i dipendenti fanno clic sul collegamento, verrà registrato che non hanno reagito correttamente sul phishing. Hanno anche moduli e tali da vedere se l'utente immette dati sensibili (ma ovviamente li scarta immediatamente).
Se non fanno nulla, sarà accettato come una buona soluzione.
Se lo segnalano a [email protected] , PhishMe filtra via il report (in quanto è in grado di identificare che il phish mail era in realtà un phishing falso) e quindi registra che l'utente ha fatto una buona cosa riportandolo. Continuano a inoltrare tutte le segnalazioni per posta autentica di phishing inviata dai truffatori al tuo vero indirizzo di segnalazione di frodi.
Un'altra cosa di cui devi essere a conoscenza, specialmente se usi un server di posta esterno, è che il tuo falso fraseggio potrebbe finire per far entrare i server della società nella lista nera per phishing / spamming. Assicurarsi che i server siano impostati in modo da ignorare tali falsi phish e assicurarsi di non utilizzare alcun fornitore esterno per l'esecuzione dei server di posta. Assicurati inoltre che gli utenti non inoltrino l'e-mail al loro account Gmail o simili, semplicemente disabilitando la possibilità di inoltrare la posta sul lato server e consentire solo IMAP / POP3 dalla rete interna / VPN, per evitare di ricevere e-mail come Gmail. Ciò impedisce agli utenti di "segnalare come spam" presso tali fornitori.
Per quanto riguarda la legalità, non sarebbe illegale dato che la sua vera e propria e-mail non è falsa, perché "falso indirizzo email" non è scritto dalla società, e la posta scritta da una società non è falsa. È la stessa cosa che non si può "fingere la propria firma", perché quindi non si sta fingendo. E potrebbe essere dimostrato che non hai intenzioni malevole mentre li stai reindirizzando a una pagina informativa sul phishing.
Un'altra cosa importante da prendere in considerazione è di ottenere il permesso scritto e chiaro dai dirigenti della compagnia e, in tal modo, di avere la piena autorizzazione della società a farlo, nel caso in cui l'azienda decida di farlo per "sbarazzarsi di te" dicendoti fare cose che poi possono segnalare come crimini alle autorità locali. È la stessa efficacia di qualcuno che ti dà un articolo gratuitamente, come "qui, ce l'hai, è gratis", e poi vai alla polizia e denunciati per furto, e non puoi dimostrare di averlo ricevuto gratuitamente. Ecco perché i documenti sono importanti.
Tuttavia, quando si implementano tali programmi, è importante consentire all'utente di utilizzare i propri segnali per reagire al phishing. Ecco perché dovresti preferibilmente dire al tuo server di posta di inserire un falso header di convalida SPF che dice che la convalida di SPF non è riuscita, per quei falsi messaggi di phishing (e sopprimere la vera validazione "passata" di SPF). Altrimenti le mail di phishing appariranno come genuine.
E dovresti anche assicurarti che altri segni di posta lo rendano un phishing, quindi se l'utente utilizza strumenti per dedurre se il suo phishing è importante, questi strumenti possono reagire correttamente e avvisare come se fosse un vero phishing.
Il termine generale per cui la tua gente assume il ruolo di "cattivi" al fine di migliorare la qualità è Red Team , e ogni azienda che fa sul serio la sicurezza lo fa. Ma ci sono alcune regole da seguire:
Keep it professional
Questi sono attacchi sponsorizzati dalla compagnia; la azienda è l'obiettivo, non l'individuo. Non tentare di raccogliere dati personali, password o segreti.
Mantieni attivi gli avvocati
Il tuo consulente legale è lì per tenere tutto in ordine e impedire che le cose sfuggano di mano e causino problemi legali. Stabiliscono le regole, tu segui quelle regole, tutti rimangono al sicuro.
Esegui analisi post-mortem sugli attacchi riusciti
Il punto è rendere la tua azienda più sicura trovando e correggendo i punti deboli. Se l'attacco che ha funzionato la scorsa settimana funziona di nuovo la settimana prossima, allora non hai fatto progressi. È ora di smettere di fare ciò che stai facendo e risolvere i problemi. (NB: I tuoi problemi sono i tuoi processi , non le tue persone .)
La vergogna dei dipendenti non aiuta Sottolineare che il dipendente che ha fatto clic sull'email di phishing questa settimana non impedisce ai dipendenti di cadere nel phishing. Anche l'utente più vigile può essere ingannato; è la natura umana. Devi fornire ai tuoi utenti sufficienti controlli tecnici e salvaguardie per aiutare a compensare la fallibilità umana.
Rendi positiva l'esperienza
Riconoscere le persone per fare la cosa giusta , non per fare la cosa sbaglia . La competizione può essere utile per mantenere un argomento presente nelle menti delle persone, ma vuoi che il riconoscimento si concentri sul successo, non sul fallimento.
coinvolgi tutti Alcune delle operazioni di Red Team di maggior successo consentono ai normali utenti di ruotare periodicamente attraverso il programma e attaccare i propri colleghi in un ambiente sicuro e sorvegliato. Avere la possibilità di essere l'attaccante aiuta gli utenti a capire meglio e ad apprezzare le misure di sicurezza con cui devono convivere. Inoltre, se tutti sono abituati a difendersi e segnalare attacchi, è molto più difficile per un attaccante reale passare inosservato.