আপনার নিজের সুরক্ষাকে নাশকতা করবেন না, আপনার ব্যবহারকারীদের প্রশিক্ষণ দিন

আমি মনে করি যে প্রথমবার আমি ফিশিং ইমেলটি 2000 এ ফিরে এসেছিলাম যখন আমি অলিভার রিস্টের সাথে একটি পরীক্ষামূলক প্রকল্পে কাজ করতে গিয়েছিলাম, যিনি এখন পিসিমেগের ব্যবসায়িক সম্পাদক। এক সকালে আমরা দুজনেই সাবজেক্টের সাথে ইমেল পেয়েছি, "আই লাভ ইউ", এটি ইমেলের মূল অংশ এবং সেখানে একটি সংযুক্তি ছিল। আমরা উভয়ই তাত্ক্ষণিকভাবে জানতাম যে ইমেলটি বোগাস হতে হবে কারণ ম্যাগাজিনের সম্পাদক হিসাবে, আমরা জানতাম যে কেউই আমাদের ভালবাসেন না। আমরা সংযুক্তিতে ক্লিক করি নি। আমরা প্রকৃতপক্ষে মানব ফায়ারওয়াল হিসাবে অভিনয় করছিলাম। আমরা দর্শনে একটি বোগাস ইমেল সনাক্ত করেছি এবং আমরা এর সামগ্রীগুলি আমাদের কম্পিউটার এবং নেটওয়ার্কের বাকী অংশে ছড়িয়ে দেওয়ার পরিবর্তে এটি মুছে ফেলেছি।

তারপরেও এই জাতীয় আক্রমণগুলি হ্যাকার সেট দ্বারা "সোস্যাল ইঞ্জিনিয়ারিং" নামে অভিহিত হয়েছিল। আজ, ফিশিং ইমেলগুলি সম্ভবত এই ধরণের শোষণের সর্বাধিক পরিচিত সংস্করণ। এগুলি মূলত সুরক্ষা শংসাপত্রগুলি ছিনতাইয়ের লক্ষ্যে পরিচালিত হয় তবে তারা অন্যান্য ধরণের ম্যালওয়্যার, বিশেষত ransomware সরবরাহ করার ক্ষেত্রেও সক্ষম। তবে এটি লক্ষণীয় যে ফিশিংয়ের পাশাপাশি অন্যান্য ধরণের সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ রয়েছে, এমন কয়েকটি সহ যেখানে আক্রমণ কঠোরভাবে ডিজিটাল না হয়ে শারীরিক হয়।

মানুষ: এখনও একটি শীর্ষস্থানীয় আক্রমণ ভেক্টর

ফিশিং ইমেলগুলি এত বেশি পরিচিত হওয়ার কারণ এটি এত সাধারণ। এখন অবধি, এটা বলা ঠিক যে কোনও ইমেল অ্যাকাউন্ট সহ যে কেউ কোনও এক সময় ফিশিং ইমেল পাবেন। ইমেলটি প্রায়শই আপনার ব্যাংক, আপনার ক্রেডিট কার্ড সংস্থা বা আপনি ঘন ঘন কিছু অন্য ব্যবসায় থেকে এসেছেন বলে ভান করে। ফাইশিং ইমেলগুলি আপনার সংস্থার জন্য হুমকিও হতে পারে কারণ আক্রমণকারীরা আপনার বিরুদ্ধে আপনার কর্মচারীদের ব্যবহার করার চেষ্টা করে। এই আক্রমণটির আর একটি প্রথম সংস্করণ ফ্যাক্সিংয়ের স্বর্ণযুগে এসেছিল যখন আক্রমণকারীরা কেবলমাত্র পরিষেবাগুলির জন্য একটি চালান ফ্যাক্স করে যেগুলি কখনও বড় সংস্থাগুলির কাছে সরবরাহ করা হয় নি, এই আশায় যে ব্যস্ত এক্সিকিউটিভরা কেবল অর্থ প্রদানের জন্য তাদের জমা দেবে।

ফিশিং আশ্চর্যজনকভাবে কার্যকর। গত বছর ৫60০ তথ্য লঙ্ঘনের দিকে নজর দেওয়া আইন সংস্থা বাকেরহস্টেলারের এক সমীক্ষা অনুসারে, ফিশিং আজ ডেটা সুরক্ষার ঘটনার অন্যতম প্রধান কারণ।

দুর্ভাগ্যক্রমে, প্রযুক্তি ফিশিং আক্রমণে ধরা পড়েনি। দূষিত ইমেলগুলি ফিল্টার করার জন্য বেশ কয়েকটি সুরক্ষা ডিভাইস এবং সফ্টওয়্যার প্যাকেজ তৈরি করা হয়েছে, ফিশিং ইমেলের কারুকাজকারী খারাপ লোকেরা যাতে আক্রমণগুলি ফাটলে যায় তা নিশ্চিত করার জন্য কঠোর পরিশ্রম করছে। সাইরেনের একটি সমীক্ষা দেখায় যে ইমেল স্ক্যানিংয়ের দূষিত ইমেলগুলি খুঁজে পেতে 10.5 শতাংশ ব্যর্থতা রয়েছে। এমনকি ছোট্ট একটি মিডিজাইজ বিজনেস (এসএমবি) এর মধ্যেও এটি প্রচুর ইমেল যুক্ত করতে পারে এবং সামাজিক ইঞ্জিনিয়ারিং আক্রমণযুক্ত যে কোনও একটিও আপনার সংস্থার জন্য হুমকিস্বরূপ হতে পারে। এবং এমন কোনও সাধারণ হুমকি নয় যা বেশিরভাগ ম্যালওয়্যারগুলির ক্ষেত্রে ঘটে যা আপনার শেষ বিন্দু সুরক্ষা ব্যবস্থাগুলি দ্বারা ছিনতাই করতে পরিচালিত হয়েছিল, তবে আরও ভয়াবহ ধরণের যা আপনার সবচেয়ে মূল্যবান ডেটা এবং ডিজিটাল সংস্থানগুলিতে বিশেষভাবে লক্ষ্যবস্তু রয়েছে।

মানবসম্পদ (এইচআর) পেশাদারদের সুরক্ষা সচেতনতা শেখাতে সহায়তা করতে পারে এমন একটি সংস্থা ননবি 4 এর প্রতিষ্ঠাতা ও সিইও স্টু সিজউম্যানের সাথে কথোপকথনের সময় সাইরেনের প্রতিবেদনে আমাকে সতর্ক করা হয়েছিল। এটি স্যুওয়র্মান যিনি "হিউম্যান ফায়ারওয়াল" শব্দটি নিয়ে এসেছিলেন এবং "মানব হ্যাকিং" নিয়েও আলোচনা করেছিলেন। তাঁর পরামর্শ হ'ল সংস্থাগুলি এমন কিছু ধারাবাহিক প্রশিক্ষণের মাধ্যমে সামাজিক প্রকৌশল আক্রমণগুলির কার্যকারিতা রোধ বা হ্রাস করতে পারে যা আপনার কর্মীদের সমস্যা সমাধানে জড়িত করে way

অবশ্যই, অনেক প্রতিষ্ঠানের সুরক্ষা সচেতনতা প্রশিক্ষণ সেশন রয়েছে। আপনি সম্ভবত সেই কয়েকটি মিটিংয়ে এসেছেন যেখানে পুরানো কফিটি বাসি ডোনাটসের সাথে জুড়ে দেওয়া হয়েছে, যখন এইচআর দ্বারা ভাড়া করা একজন ঠিকাদার আপনাকে ফিশিং ইমেলের জন্য না পড়তে বলে 15 মিনিট সময় ব্যয় করে actually আসলে তারা কী তা বলে না দেয় বা কী করতে হবে তা ব্যাখ্যা না করে আপনি মনে করেন আপনি একটি খুঁজে পেয়েছেন। হ্যাঁ, এই সভাগুলি।

সজুওয়ারম্যান যা ভাল কাজ করার পরামর্শ দিয়েছিল তা হল একটি ইন্টারেক্টিভ প্রশিক্ষণ পরিবেশ তৈরি করা যেখানে আপনি প্রকৃত ফিশিং ইমেলগুলিতে অ্যাক্সেস পেয়ে থাকেন যেখানে আপনি সেগুলি পরীক্ষা করতে পারেন। সম্ভবত একটি গোষ্ঠী প্রচেষ্টা আছে যাতে প্রত্যেকে ফিশিং ইমেলগুলিকে নির্দেশ করে এমন উপাদানগুলি দেখার চেষ্টা করে যেমন দুর্বল বানান, ঠিকানাগুলি প্রায় বাস্তব দেখায় বা অনুরোধ করে যে পরীক্ষার সময় তা বোঝা যায় না (যেমন অবিলম্বে স্থানান্তর করার অনুরোধ করার অনুরোধ করা হয়) অজানা প্রাপককে কর্পোরেট তহবিল)।

সোস্যাল ইঞ্জিনিয়ারিং এর বিরুদ্ধে ডিফেন্ডিং

তবে সজুওয়ারম্যান আরও উল্লেখ করেছেন যে একাধিক ধরণের সোশ্যাল ইঞ্জিনিয়ারিং রয়েছে। তিনি ননবি 4 ওয়েবসাইটে বিনামূল্যে সরঞ্জামগুলির একটি সেট সরবরাহ করেন যা সংস্থাগুলি তাদের কর্মীদের শিখতে সহায়তা করতে পারে। তিনি সামাজিক ইঞ্জিনিয়ারিং আক্রমণগুলির বিরুদ্ধে লড়াই করতে সংস্থাগুলি যে নিম্নলিখিত নয়টি পদক্ষেপ নিতে পারে তাও তিনি পরামর্শ দিয়েছিলেন।

• আপনার কর্মীদের তারা যখন দেখেন সামাজিক ইঞ্জিনিয়ারিং আক্রমণগুলি সনাক্ত করতে প্রশিক্ষণ দিয়ে একটি মানব ফায়ারওয়াল তৈরি করুন।
• আপনার কর্মীদের আঙ্গুলের উপরে রাখার জন্য ঘন ঘন, সিমুলেটেড সোশ্যাল ইঞ্জিনিয়ারিং পরীক্ষা পরিচালনা করুন।
• একটি ফিশিং সুরক্ষা পরীক্ষা পরিচালনা করুন; জ্ঞান 4 একটি বিনামূল্যে আছে।
• সিইও জালিয়াতির দিকে নজর রাখুন। এগুলি এমন আক্রমণ যা আক্রমণকারীরা একটি স্পোফড ইমেল তৈরি করে যা সিইও বা অন্য উচ্চ-পদস্থ কর্মকর্তার কাছ থেকে উপস্থিত হতে দেখা যায়, জরুরি ভিত্তিতে অর্থ স্থানান্তরের মতো পদক্ষেপের নির্দেশ দেয়। নোনবি 4 থেকে কোনও নিখরচায় সরঞ্জাম ব্যবহার করে আপনার ডোমেনটি ফাঁকি দেওয়া যায় কিনা তা পরীক্ষা করে দেখতে পারেন।
• আপনার কর্মীদের সিমুলেটেড ফিশিং ইমেল প্রেরণ করুন এবং একটি লিঙ্ক অন্তর্ভুক্ত করুন যা সেই লিঙ্কটি ক্লিক করা থাকলে আপনাকে সতর্ক করবে। এর জন্য কোন কর্মচারী পড়েন সে সম্পর্কে নজর রাখুন এবং যারা এর জন্য পড়েছেন তাদের উপর প্রশিক্ষণ ফোকাস করুন।
• "ভিশিং" এর জন্য প্রস্তুত থাকুন এটি এক ধরণের ভয়েসমেইল সোশ্যাল ইঞ্জিনিয়ারিং যেখানে বার্তাগুলি আপনার কর্মীদের কাছ থেকে পদক্ষেপ নেওয়ার চেষ্টা করে থাকে। এগুলি আইন প্রয়োগকারী, অভ্যন্তরীণ রাজস্ব পরিষেবা (আইআরএস), এমনকি মাইক্রোসফ্ট প্রযুক্তি সমর্থন থেকেও কল আসতে পারে। নিশ্চিত করুন যে আপনার কর্মীরা এই কলগুলি ফিরে না দিতে জানেন।
• আপনার কর্মীদের "টেক্সট ফিশিং" বা "এসএমআই শিহিং (এসএমএস ফিশিং)" সম্পর্কে সতর্ক করুন যা ইমেল ফিশিংয়ের মতো তবে পাঠ্য বার্তাগুলির সাথে। এই ক্ষেত্রে, লিঙ্কটি তাদের মোবাইল ফোনগুলি থেকে পরিচিতি তালিকার মতো সংবেদনশীল তথ্য পাওয়ার জন্য ডিজাইন করা যেতে পারে। তাদের অবশ্যই পাঠ্য বার্তাগুলিতে লিঙ্কগুলিকে স্পর্শ না করার প্রশিক্ষণ দিতে হবে, এমনকি তারা বন্ধুদের থেকে উপস্থিত বলে মনে হচ্ছে।
• ইউনিভার্সাল সিরিয়াল বাস (ইউএসবি) আক্রমণ আশ্চর্যজনকভাবে কার্যকর এবং এয়ার-গ্যাপড নেটওয়ার্কগুলিতে প্রবেশের জন্য এটি নির্ভরযোগ্য উপায়। এটি যেভাবে কাজ করে তা হ'ল কেউ আপনার ইউএসবি মেমরির কাঠিগুলি প্রায় রেস্টরুমে, পার্কিংগুলিতে বা আপনার কর্মচারীদের দ্বারা ঘন ঘন অন্যান্য জায়গায় পড়ে থাকে; সম্ভবত লাঠিটিতে লোভনীয় লোগো বা লেবেল রয়েছে। কর্মচারীরা যখন তাদের কোনও কার্যকর কম্পিউটারে সন্ধান এবং সন্নিবেশ করায়। এবং যদি তারা অন্যথায় শেখানো না হয় - তখন তাদের উপর থাকা ম্যালওয়্যারটি আপনার নেটওয়ার্কে আসে। এভাবেই স্টাকসনেট ম্যালওয়ার ইরানের পারমাণবিক কর্মসূচিতে প্রবেশ করেছিল। জ্ঞান 4 এরও পরীক্ষা করার জন্য একটি বিনামূল্যে সরঞ্জাম রয়েছে।
• প্যাকেজ আক্রমণও আশ্চর্যজনকভাবে কার্যকর। এখানেই কেউ বাক্সের আর্মলোড (বা কখনও কখনও পিজ্জা) দিয়ে দেখায় এবং তাদের যেতে দেওয়া হয় যাতে সেগুলি সরবরাহ করা যায়। আপনি যখন খুঁজছেন না, তারা একটি ইউএসবি ডিভাইসটিকে কাছের কম্পিউটারে স্লিপ করে। আপনার কর্মীদের সিমুলেটেড আক্রমণ চালিয়ে প্রশিক্ষণ দেওয়া দরকার। আপনি এটির জন্য প্রশিক্ষণ দিয়ে তাদের উত্সাহিত করতে পারেন এবং তারপরে যদি পিজ্জা সঠিক হয় তবে তা ভাগ করে নিতে পারেন।

আপনি দেখতে পাচ্ছেন, সোস্যাল ইঞ্জিনিয়ারিং একটি সত্যিকারের চ্যালেঞ্জ হতে পারে এবং এটি আপনার পছন্দের চেয়ে অনেক বেশি কার্যকর হতে পারে। এটির লড়াইয়ের একমাত্র উপায় হ'ল আপনার কর্মীদের এ জাতীয় আক্রমণ চিহ্নিত করার এবং তাদের ডাক দেওয়ার জন্য সক্রিয়ভাবে নিযুক্ত করা। ঠিক হয়ে গেছে, আপনার কর্মীরা প্রকৃতপক্ষে প্রক্রিয়াটি উপভোগ করবেন - এবং তারা এগুলি থেকে কিছু ফ্রি পিজ্জাও পাবেন।