Waarschijnlijk heb je op dit moment een phishing-e-mail in je inbox.

Het kan een voor de hand liggende oplichterij zijn, maar het is eerder een verraderlijk vriendelijk briefje dat eruitziet alsof het van een collega of vriend is, u vragen om op deze link te klikken of die bijlage te openen. Als je dat doet, een hacker toegang kan krijgen tot uw gebruikersnaam en wachtwoord, mogelijk grote hoeveelheden gegevens stelen en uw hele organisatie in gevaar brengen

"Phishing-zwendel is de afgelopen drie jaar aanzienlijk veranderd, " zei Ryan Wright, de C. Coleman McGehee hoogleraar handel aan de McIntire School of Commerce van de Universiteit van Virginia. Hackers, hij zei, zijn overgestapt van het verzenden van miljoenen nep-e-mails naar meedogenloos gericht op individuele gebruikers, vaak informatie van sociale media-accounts gebruiken om zich voor te doen als collega's, vrienden of familieleden.

Wright doet onderzoek naar en geeft les over cyberbeveiliging en werkt samen met de Chief Information Security Officer van UVA, Jason Belford, cybersecurity op de universiteit te verbeteren. Hij werkt ook samen met vice-president voor informatietechnologie Ronald R. Hutchins om nieuwe anti-phishing-training te ontwikkelen voor alle overheidsmedewerkers.

Hier zijn zijn tips om uzelf en uw organisatie te beschermen.

Begrijp hoe phishing-zwendel echt werkt

Phishing via e-mail is de meest gebruikte techniek die hackers gebruiken om toegang te krijgen tot individuele gebruikersnamen en wachtwoorden en zo hele organisaties te infiltreren.

Hoewel we hackers doorgaans zien als computerkenners die hun eigen programma's bouwen, Wright zei dat de meesten gewoon phishing-software van het dark web kopen en deze gebruiken om een ​​e-mailphishing-zwendel op te zetten.

Als gebruikers op een link of bijlage in de phishing-e-mail klikken, ze worden doorverwezen naar een valse webpagina, zoals de door Rusland gesteunde sites die deze week door Microsoft zijn ontdekt. Malware die op de site is gecodeerd, steelt hun informatie, meestal hun gebruikersnaam en wachtwoord.

Hackers kunnen zich vervolgens voordoen als een gebruiker om toegang te krijgen tot informatie in een organisatie. Slechts één klik, van één gebruiker, heeft geleid tot grote hacks bij organisaties van Target tot de Amerikaanse overheid - ondanks hun inspanningen om hun technische grenzen te beveiligen.

Volgens Wright, de gemiddelde phishing-webpagina duurt ongeveer zeven dagen, omdat de respons op elke phishing-e-mail – net als een gewone e-mail – na 24 tot 36 uur drastisch daalt.

"Hackers weten dat ze een site maar een paar dagen nodig hebben, "Zei Wright. "Ze hebben er miljoenen opgezet. Ze identificeren is een beetje als het spelen van 'Whac-a-Mole' - je kunt ze niet snel genoeg uitschakelen."

Begrijp dat jij het doelwit bent, niet jouw computer

"We hebben de neiging om cybersecurity te zien als een technisch probleem, maar het is echt een menselijk probleem, "Zei Wright. "Negentig tot 95 procent van de aanvallen op organisaties zijn aanvallen op individuele mensen."

Een recente studie voor Cybersecurity at Work, deze maand uitgebracht, ontdekte dat individuele werknemers de grootste risicofactor zijn voor organisaties. Bijna twee op de vijf ondervraagden gaven toe op een dubieuze link of bijlage te hebben geklikt – ongeveer 40 procent van de beroepsbevolking.

Volgens Wright, de gemiddelde phishing-zwendel van vandaag richt zich op ongeveer negen mensen, met behulp van informatie van hun LinkedIn, Facebook en andere sociale media-accounts om elk bericht aan te passen en zich voor te doen als gezinsleden, vrienden of collega's.

"Dit zijn zeer zeer gerichte campagnes, "zei hij. "Het is belangrijk om te begrijpen dat jij het doelwit bent, niet alleen uw computer."

Oefen technologie mindfulness

Je denkt waarschijnlijk aan mindfulness als iets dat beter bij je yogamat past dan je inbox, maar uit onderzoek van Wright blijkt dat mindfulnesstraining 38 procent effectiever is in het voorkomen van hacks dan traditionele antiphishingtraining.

Dat aantal komt van veldexperimenten die Wright en zijn collega's hebben uitgevoerd bij een grote organisatie, hun eigen phishing-e-mails sturen naar een groep die is getraind in mindfulness-technieken, iemand die getraind is in traditionele cue-gebaseerde technieken (d.w.z. zoeken naar verdachte onderwerpregels, spelling en andere aanwijzingen) en één controlegroep zonder training.

"Cue-gebaseerde training is zeker beter dan niets, maar de mindfulnesstraining verbeterde de resultaten met ongeveer 38 procent, Wright zei. "Als hackers slechts op zoek zijn naar één klik, dat is een behoorlijk aanzienlijk aantal."

Terwijl op cue gebaseerde training gebruikers leert te zoeken naar een lange en vaak veranderende lijst met e-mailkenmerken, mindfulnesstraining is erop gericht gebruikers te laten "stoppen, denken en dan handelen" voordat u op iets klikt, vertrouwen op hun instinct als iets niet goed voelt.

"Zelfs de kortste pauze waarschuwt je instinct, leidt meestal tot een betere beslissing, Wright zei. "We gebruiken technologie vaak tamelijk gedachteloos; als je even pauzeert en even opmerkzaam bent, dan heb je al gewonnen."

Vertrouw op je collega's

Wright noemt het "de menselijke firewall" - het web van menselijke relaties en interacties dat het voor hackers veel moeilijker kan maken om een ​​organisatie binnen te dringen. Het bestaat niet alleen uit informatietechnologiepersoneel, maar van collega's die op elkaar vertrouwen om verdachte activiteiten op te merken en met de groep te communiceren.

"Ons onderzoek heeft aangetoond dat mensen veel eerder naar hun collega's gaan met een beveiligingsvraag voordat ze naar IT gaan, " Wright zei. IT-afdelingen zouden dat gedrag moeten aanmoedigen in plaats van het te ontmoedigen, hij zei, en help belangrijke beïnvloeders in verschillende afdelingen om correcte informatie te verspreiden.

"Als je een rare e-mail krijgt en je wendt je tot iemand in het volgende hokje om ernaar te vragen, je hebt al gewonnen, "Zei Wright. "Dat soort bewustzijn verspreidt positieve beveiligingspraktijken door de hele organisatie."

Lees elk kwartaal één nieuwsartikel over cyberbeveiliging

Om uw bewustzijn van veiligheidsrisico's te vergroten, Wright stelt voor om de populaire pers in de gaten te houden voor nieuwsartikelen over cyberbeveiliging en er minstens één per kwartaal te lezen. Zelfs dat beetje lezen helpt je om op de hoogte te blijven en op de hoogte te blijven van de nieuwste oplichting die je waarschijnlijk in je inbox zult zien, hij zei. En hoe hoger je bewustzijn, hoe lager uw risico.

"Hoe meer veiligheid voorop staat, de betere beslissingen die mensen nemen, ' zei Wright.

Als uitgangspunt, hij beveelt Krebs op Beveiliging aan, een website van de Washington Post-reporter die cyberbeveiligingsgoeroe Brian Krebs werd.