Ethisches Phishing im NHS
Welcher Anteil der NHS-Mitarbeiter ist anfällig für Phishing-Angriffe? Eine proaktive Gruppe englischer Trusts bat Gemserv, ihnen dabei zu helfen, herauszufinden, wie viele ihrer Mitarbeiter ihre Systemanmeldeinformationen Hackern preisgeben würden. Andy Green, CISO von Gemserv, verrät alles.
Wir alle haben uns daran gewöhnt, E-Mails zu erhalten, in denen behauptet wird, dass unsere Bankdaten kompromittiert oder eine Postzustellung aufgehalten wurde. Wenn wir nur auf einen Link klicken und ein paar Details eingeben, können wir das Konto freigeben oder das Paket auf den Weg bringen.
Die meisten von uns erkennen, dass diese E-Mails von Hackern stammen und ignorieren sie. Aber was wäre, wenn wir bei der Arbeit wären und eine E-Mail von unserem Abteilungsleiter eintrifft, in der wir aufgefordert werden, uns bei einem Portal anzumelden und ein Problem zu lösen? Oder ein Flyer kam von einer Konferenz, auf der wir waren, und forderte uns auf, ein paar Details einzugeben, um einen Bericht herunterzuladen?
Würden wir dann klicken? Kürzlich bat uns eine proaktive Gruppe von NHS-Trusts, eine ethische Phishing-Übung durchzuführen, um herauszufinden, wie anfällig ihre Mitarbeiter für diese Art von Ansatz sein könnten, der zunehmend von Hackern verwendet wird, um an wertvolle Details zu gelangen. Sind sie darauf hereingefallen?
Phishing und die Bedrohung des NHS
Nun… bevor wir dazu kommen, könnte es nützlich sein, noch einmal zusammenzufassen, was Phishing ist und warum es wichtig ist. Phishing ist eine Form der Cyberkriminalität, bei der ein Ziel oder mehrere Ziele per E-Mail, Telefon oder SMS kontaktiert und zur Herausgabe nützlicher Informationen verleitet werden.
Es gibt ein weit verbreitetes Missverständnis, dass es Hackern um sensible persönliche Daten oder Finanzdaten geht; aber das muss nicht sein. Was Kriminelle, die es auf Unternehmen, Regierungsstellen und öffentliche Dienste abgesehen haben, wollen, sind Benutzerdaten; Details, die es ihnen ermöglichen, in Systeme einzudringen und sich dann in einem Netzwerk zu bewegen.
Das liegt daran, dass sich die Natur der Cyberkriminalität geändert hat. Früher wollten Hacker Informationen stehlen. Jetzt wollen sie Organisationen daran hindern, darauf zuzugreifen – damit sie ein Lösegeld verlangen können, um Systeme wieder zum Laufen zu bringen.
Leider macht das das Gesundheitswesen angreifbar. Im September letzten Jahres leitete die Polizei Ermittlungen wegen „fahrlässiger Tötung“ ein, nachdem ein Ransomware-Angriff die Notversorgung im Universitätsklinikum Düsseldorf in Deutschland unterbrochen hatte – und eine Patientin starb, als sie auf eine andere Abteilung verlegt wurde.
Härtende Ziele
Es gibt Technologielösungen, die eingesetzt werden können, um zu versuchen, Phishing-E-Mails zu stoppen. Es gibt Sicherheits-Gateways und E-Mail-Filter. Wir haben jedoch kürzlich für ein FTSE-Unternehmen gearbeitet und es erhielt täglich 40,000 böswillige oder Spam-E-Mails.
Obwohl sie 99 % von ihnen erwischten, kamen 400 herein. Und hier kommt ethisches Phishing ins Spiel. Der Zweck von Übungen wie der, die wir gerade für eine NHS-Region durchgeführt haben, ist zweierlei: Erstens, Menschen weniger anfällig zu machen zum Öffnen dieser E-Mails und zweitens, um die Wahrscheinlichkeit zu erhöhen, dass die Leute sie melden.
Das FBI schätzt, dass der durchschnittliche Hacker 149 Tage in einem Netzwerk verbringt, bevor er etwas unternimmt. Wenn bösartige E-Mails gemeldet werden, ist es möglich, sie zu stoppen, den Hacker im gesamten Netzwerk zu verfolgen und den potenziellen Schaden, den sie anrichten können, zu verringern.
Wie führt Gemserv also eine ethische Phishing-Übung durch? Wir verwenden dieselben Techniken wie Hacker. Wir verwenden keine Vorlage. Wir veröffentlichen keine „Ihr Bankkonto wurde kompromittiert“- oder „Ihr Paket wurde aufgehalten“-E-Mails, die die Leute kennengelernt haben.
Wir setzen uns und betrachten eine Organisation mit den Augen eines Verbrechers. Wir denken darüber nach, wer am wahrscheinlichsten ins Visier genommen wird – welche Personen Einfluss oder privilegierten Zugriff haben. Zum Beispiel sind Führungskräfte Ziele, weil sie Autorität haben und eine E-Mail, die von ihnen kommt, wahrscheinlich bearbeitet wird; und IT-Administratoren sind Ziele, da sie mehr Systemzugriff haben als normale Benutzer.
Dann identifizieren wir Personen innerhalb dieser Gruppen und machen uns daran, nützliche Dinge über sie herauszufinden. Wir haben uns ihre beruflichen Profile angesehen. Wir lesen ihre sozialen Medien. Wenn sie über eine Konferenz getwittert haben, könnten wir dies nutzen, um eine Spear-Phishing-Kampagne zu erstellen, die auf sie und ihre Kontakte abzielt.
Dann erstellen wir eine E-Mail, die die Art von Einflussfaktoren verwendet, die Hacker verwenden – Autorität, Dringlichkeit, die Implikation, dass schlimme Folgen folgen, wenn dieser Link nicht angeklickt wird. Und dann senden wir diese E-Mail an eine Organisation oder eine Gruppe von Personen darin.
Bildung, Bildung, Bildung
Wir haben eine Reihe von E-Mails für die Gruppe von NHS-Trusts erstellt, mit denen wir zusammenarbeiten, und sie haben zwei zum Versenden ausgewählt. Die erste E-Mail wurde an die ersten beiden Trusts und rund 2,000 Personen gesendet.
Und jetzt ist der Moment gekommen, das zu enthüllen … die Ergebnisse waren katastrophal. Ein Drittel der Personen, die diese E-Mails auf allen Ebenen dieser beiden Organisationen erhielten, öffneten sie. Wenn es sich um echte Phishing-E-Mails gehandelt hätte, wären Hunderte von Details kompromittiert worden.
Die gute Nachricht ist, dass effektive ethische Phishing-Übungen nicht nur Menschen erwischen. Sie helfen, sie vor weiteren Angriffen zu schützen. Wenn jemand auf eine unserer E-Mails klickt, wird er zu einem Portal weitergeleitet, das nachgebildet ist, um wie das Portal oder die Konferenzseite oder was auch immer es vorgibt, auszusehen.
Wenn sie ihre Daten eingeben, werden sie zu einer Schulung über Cybersicherheit weitergeleitet und dann zurück zur ursprünglichen E-Mail, wo wir ihnen alle „roten Flaggen“ zeigen, die sie hätten erkennen können. Bildung dieser Art ist sehr effektiv.
Wir können nachweisen, dass durch die Wiederholung dieser Kampagnen über Monate hinweg die Anfälligkeit von sehr hohen Prozentsätzen von Benutzern auf niedrige reduziert werden kann. Ein Grund dafür ist, dass dies bei den Menschen Anklang findet.
Wir denken vielleicht alle, dass wir eine zwielichtige E-Mail erkennen können, aber wir wollen nicht, dass unser Bankkonto geleert wird oder die Bilder unserer Kinder erpresst werden. Die Menschen sind scharf auf ethisches Phishing, weil sie das, was sie in ihrem Privatleben gelernt haben, nutzen können, um dies zu verhindern.
WEITERLESEN:
- Wie Sie Ihr Büro in einer Post-Covid-19-Welt erfolgreich wiedereröffnen
- Gründer-Feature: Neil Purcell, Gründer und CEO, Talent Works
- Gewährleistung einer sicheren Reise zur digitalen Transformation
- Bauen Sie diese fünf Gewohnheiten auf, um das Risiko von Ransomware zu verringern
Ethisches Phishing bietet ihnen und ihren Organisationen einen Mehrwert; was in diesem Fall den NHS und die Dienste und Patienten bedeutet, die er schützen muss.
Folge uns auf LinkedIn und Twitter
