Cum functioneaza LinkedIn pentru a aborda confuzia intre e-mail-ul furnizorului si atacurile de phishing din intreaga industrie

Companiile si-au avertizat angajatii despre phishing si au incercat sa-i antreneze pentru a detecta aceste atacuri in ultimul deceniu. Dar companiile au angajat vanzatori care trimit mesaje de e-mail angajatilor lor care par a fi incercari de phishing si mai mult, ceea ce creste confuzia angajatilor si riscul pentru companie.

Aceasta postare pe blog va oferi exemple de linii directoare pe care le-am dezvoltat si implementat la LinkedIn, pe care alte companii le pot adopta pentru a preveni acest abuz inadecvat de catre furnizorii lor. De asemenea, vom discuta despre modul in care conducem formarea unui grup de lucru din industrie pentru a dezvolta si promova cele mai bune practici.

Phishingul si intreprinderea

Phishingul, practica in care infractorii trimit e-mailuri care imita identitatea unei parti de incredere pentru a extrage informatii confidentiale de la victime sau a le convinge sa ia masuri, a fost recunoscuta ca o amenintare pentru consumatori inca de la inceputul anilor 2000. Spear phishing, o varianta in care cunostintele despre un anumit grup (cum ar fi angajatii companiei) sunt utilizate pentru a crea un atac mai eficient impotriva unui public mai mic, a fost raportata din cel putin 2005.

Toate formele de phishing au costat pierderi estimate la 9 miliarde de dolari in intreaga lume in 2016, iar phishing-ul spear este frecvent utilizat pentru a livra programe malware, spyware si ransomware catre tintele de intreprindere. Este atat de reusit in aceasta privinta, incat phishing-ul este aproape intotdeauna citat ca primul pas in numarul tot mai mare de incidente de incalcare a datelor din ultimii ani. Incalcarile de date au fost responsabile pentru publicarea a 740 de milioane de inregistrari in 2015 si a 1,4 miliarde de inregistrari in 2016.

Ca urmare a acestor amenintari, companiile si-au instruit angajatii sa recunoasca si sa raporteze atacurile de phishing. Cu toate acestea, atunci cand companiile externalizeaza servicii catre terti, acesti furnizori prefera sa comunice cu angajatii prin e-mail. Desi acest lucru este convenabil si economic, din pacate, multi furnizori terti folosesc frecvent practici identice cu cele utilizate in atacurile de phishing. In prea multe cazuri, aceste mesaje ale furnizorilor par sau sunt mai suspecte decat mesajele reale de phishing.

Mai jos sunt doua mesaje primite recent de angajatii unei companii care ofera cursuri anuale de formare anti-phishing. Ambele au fost raportate ca mesaje de phishing de numerosi angajati, dar, desi unul este un mesaj tipic de phishing, celalalt este un mesaj autorizat trimis de un furnizor pe care compania l-a angajat. Toate numele si adresele au fost modificate, dar aceste exemple sunt altfel identice cu modul in care mesajele originale afisate in Microsoft Outlook. Sa presupunem ca numele companiei dvs. este intr-adevar ExampleCorp, ca imaginile siglelor utilizate par a fi corecte si ca adresa dvs. de e-mail este [email protected]. Puteti spune mesajul de phishing din mesajul furnizorului?

Ce se intampla atunci cand un angajat raporteaza fiecare dintre aceste mesaje ca phishing? Pentru un mesaj, ar putea primi un „multumesc” sau „o treaba buna” pentru recunoasterea si raportarea amenintarii. Pentru celalalt mesaj, care pare la fel de suspect pentru angajat, li se spune ca este un mesaj de incredere si sa faca clic pe link. Cu alte cuvinte, li se spune sa aiba incredere in mesajele pe care toata instruirea pe care le-au primit le spune ca sunt suspecte, daca nu chiar rau intentionate.

Ce efect are acest lucru asupra angajatului data viitoare cand primesc ceea ce pare a fi un mesaj de phishing? O vor raporta cu sarguinta ca pe un mesaj suspect, acceptand calm ca un procent se va dovedi legitim? Vor fi frustrati si demotivati si vor incepe sa ignore toate mesajele despre care nu sunt siguri – inclusiv unele mesaje legitime importante? Sau cativa dintre ei vor incepe sa aiba incredere in toate mesajele? La urma urmei, tocmai li s-a spus ca tehnicile pe care le-au invatat pentru a identifica mesajele periculoase nu sunt fiabile si ca li se cere sa actioneze in functie de unele dintre aceste mesaje ca parte a sarcinii lor.

Un grup de lucru din industrie

Din punct de vedere istoric, phishing-ul a provocat provocari similare pentru e-mailurile pe care companiile le trimit direct clientilor lor. Drept urmare, companii de frunte precum AOL, Google, LinkedIn, PayPal, Microsoft si Yahoo au participat la eforturile din intreaga industrie pentru a dezvolta si promova cele mai bune practici care sa asigure ca mesajele legitime catre clienti pot fi distinse cu usurinta de uzurparile frauduloase. De-a lungul mai multor ani, au fost elaborate standarde tehnice si documente politice care fac aceste comunicari mult mai sigure. Acestea includeau standarde precum Sender Policy Framework (SPF), Domain Key Identified Message (DKIM) si Domain-based Message Authentication, Reporting & Conformance (DMARC),

Echipa de postmaster a lui LinkedIn a decis ca este timpul ca acest tip de efort sa fie aplicat si comunicarilor intre furnizori si angajati. Am programat discutii la reuniunea din februarie a M3AAWG de la San Francisco pentru a aborda acest subiect. Participantii vor revizui si vor contribui la orientari si vor putea sa se alature unui grup de lucru menit sa dezvolte un document privind cele mai bune practici comune (BCP). Liniile directoare de mai jos vor fi oferite ca punct de plecare pentru grupul de lucru.

Liniile directoare pentru modul in care furnizorii ar trebui sa trimita e-mail angajatilor

LinkedIn a dezvoltat o serie de linii directoare pentru furnizorii nostri care ajuta la evitarea angajarii angajatilor nostri la un risc mai mare de atacuri de phishing.

1. Mesajele de e-mail ar trebui sa treaca SPF, DKIM si DMARC – indiferent de ce domeniu sunt trimise. Un mesaj care nu transmite aceste protocoale de autentificare prin e-mail nu va fi livrat angajatilor nostri.
2. Trimiteti de la o adresa @compania.com, daca este posibil. Desi nu este strict necesar, acesta este cel mai bun mod de a arata angajatului ca mesajul este o comunicare interna autorizata, mai ales atunci cand domeniul dvs.company.com este protejat prin implementarea SPF, DKIM si DMARC.
3. Daca trebuie sa trimiteti din domeniul furnizorului („[email protected]”), faceti referire la domeniul furnizorului si / sau sigla in proiectarea mesajului. Recunoasterea faptului ca furnizorul trimite mesajul in numele dvs. poate ajuta la atenuarea rapoartelor „fals pozitive” conform carora mesajul dvs. legitim face parte dintr-un atac de phishing. Includeti numele sau sigla lor, precum si a dvs.
4. Daca furnizorul dvs. va trimite un mesaj din propriul domeniu, trimiteti un mesaj de consiliere angajatilor dvs. de la o adresa @compania.com. Orice furnizor (sau atacator) poate pretinde ca are o relatie cu compania dvs., deci este mai bine daca un coleg de angajat anunta trimiterile de la un furnizor. Recomandarea ar trebui sa includa urmatoarele informatii:

          – Care furnizor va trimite mesajul

          – Adresa de e-mail de la care va fi trimisa

          – Motivul comercial al trimiterii

          – Daca vor exista linkuri / adrese URL in mesaj

   Amintiti-va ca punctul # 1 se aplica si acestui mesaj consultativ!

5. Evitati, daca este posibil, linkurile „live” sau adresele URL din mesaj. Mesajele de spam si phishing includ adesea linkuri „faceti clic aici” si vor folosi tot felul de trucuri pentru a incerca sa-l convinga pe angajat sa faca clic pe ele. Pentru a evita incurajarea acestui comportament periculos, descrie in schimb procesul pe care ar trebui sa-l urmeze. De exemplu, „Conectati-va la portalul intranet si faceti clic pe caseta Manual de politici”. Retineti ca multi clienti de e-mail vor scana mesajele pentru a gasi lucruri care pot fi transformate in link-uri automat, asa ca evitati expresii precum „accesati www.compania dvs.”; in schimb, spuneti „accesati site-ul companiei dvs.”.
6. Daca trebuie sa includeti linkuri, utilizati acelasi domeniu care apare in adresa De la:. Linkurile din mesajele de phishing vor afisa o destinatie, dar vor duce la alta – si adesea, niciunul dintre ei nu are nicio relatie cu pretinsul expeditor al mesajului. Deci, asigurati-va ca linkurile dvs. sunt in mod clar legate de domeniul de trimitere, atat in ​​textul afisat, cat si in adresa URL tinta.
7. Includeti persoane de contact pentru informatii suplimentare. Indicati pe cine poate contacta angajatul pentru mai multe informatii sau daca este ingrijorat de mesaj. Folositi numele persoanei in loc sa includeti o adresa de e-mail care ar putea fi transformata intr-un link. Mesajele de phishing vor afisa acest tip de link, dar de fapt vor directiona mesajul catre o alta destinatie, deci nu incurajati utilizarea acestor linkuri. De asemenea, puteti directiona angajatul catre un director al companiei sau o pagina interna wiki (din nou, evitand un link care poate fi facut clic), unde poate cauta persoana de contact.
8. Folositi un numar limitat de furnizori. Daca trebuie sa le spuneti utilizatorilor sa aiba incredere in mesajele furnizorilor, pastrati setul de furnizori cat mai mic posibil. Faceti tot ce puteti pentru a evita trimiterea mesajelor legitime de la un furnizor necunoscut anterior – a se vedea punctul # 4 de mai sus.
9. Alerteaza echipa de asistenta si securitatea informatiilor. Angajatii care primesc corespondenta dvs. ar putea dori sa puna intrebari inainte de a face ceva cu mesajul. Asigurati-va ca biroul de asistenta si echipele de securitate asteapta aceste intrebari si pot oferi raspunsurile corecte.

Aceasta nu trebuie sa fie o lista exhaustiva a tuturor orientarilor posibile si este posibil sa gasiti unele lucrari mai bune pentru organizatia dvs. decat altele, dar aceste orientari au functionat bine in experienta noastra.

rezumat

Multe companii care aplica politici stricte pentru e-mailurile pe care le trimit clientilor permit vanzatorilor sa trimita mesaje propriilor angajati care nu se disting de atacurile de phishing. Acest lucru submineaza eficienta tuturor formarilor anti-phishing oferite angajatilor lor si face compania mai vulnerabila. Speram ca grupul de lucru organizat la reuniunea M3AAWG din februarie din San Francisco va dezvolta si promova cele mai bune practici la nivel de industrie pentru a ajuta companiile sa reduca acest decalaj si sa isi protejeze mai bine angajatii, informatiile si sistemele.

Multumiri

Colegul de posta Malcolm Waltz a ajutat la identificarea problemei, iar membrii DMARC.org au confirmat amploarea. Kurt Andersen si Franck Martin, care au reprezentat LinkedIn in crearea standardelor tehnice si a celor mai bune practici din industrie in ceea ce priveste e-mailul, au sfatuit cum sa incepeti abordarea acestei probleme in cadrul M3AAWG. Multumiri speciale Cory Scott si Sergiy Zhuk pentru sprijinul acordat in urmarirea unui raspuns la nivel de industrie.