Hvordan mindfulness kan hjælpe med at forhindre hacks, og fire flere cybersikkerhedstips

Du har sandsynligvis en phishing -e -mail i din indbakke lige nu.

Det kan være en indlysende fidus, men det er mere sandsynligt, at det er en snigende venlig note, der ser ud som om den er fra en kollega eller ven, beder dig om at klikke på dette link eller åbne den vedhæftede fil. Hvis du gør, en hacker kan få adgang til dit brugernavn og din adgangskode, potentielt stjæle masser af data og kompromittere hele din organisation

"Phishing-svindel har ændret sig væsentligt i løbet af de sidste tre år, " sagde Ryan Wright, C. Coleman McGehee professor i handel ved University of Virginia's McIntire School of Commerce. Hackere, han sagde, er gået fra at sende millioner af falske mails til hensynsløst at målrette mod individuelle brugere, bruger ofte information fra konti på sociale medier til at posere som kollegaer, venner eller familiemedlemmer.

Wright forsker i og underviser i cybersikkerhed og arbejder sammen med UVAs chef for informationssikkerhed, Jason Belford, at forbedre cybersikkerheden på universitetet. Han arbejder også sammen med vicepræsident for informationsteknologi Ronald R. Hutchins for at udvikle ny anti-phishing-uddannelse for alle statsansatte.

Her er hans tips til at beskytte dig selv og din organisation.

Forstå, hvordan phishing-svindel virkelig fungerer

E-mail-phishing-svindel er den mest almindelige teknik, hackere bruger til at få adgang til individuelle brugernavne og adgangskoder og dermed infiltrere hele organisationer.

Selvom vi typisk forestiller os hackere som computersnurrer, der bygger deres egne programmer, Wright sagde, at de fleste simpelthen køber phishing-software fra det mørke web og bruger det til at oprette en e-mail-phishing-fidus.

Hvis brugere klikker på et link eller en vedhæftet fil i phishing-e-mailen, de dirigeres til en falsk webside, såsom de russisk-støttede websteder, der blev afsløret af Microsoft i denne uge. Malware kodet ind på webstedet stjæler deres oplysninger, typisk deres brugernavn og adgangskode.

Hackere kan derefter posere som brugere for at få adgang til information på tværs af en organisation. Bare et klik, fra én bruger, har udløst store hacks mod organisationer fra Target til den amerikanske regering - på trods af deres bedste bestræbelser på at sikre deres tekniske grænser.

Ifølge Wright, den gennemsnitlige phishing-webside varer omkring syv dage, fordi svarprocenten på enhver phishing -e -mail - ligesom en almindelig e -mail - falder dramatisk efter 24 til 36 timer.

"Hackere ved, at de kun har brug for et websted op i et par dage, " sagde Wright. "De satte millioner af dem op. At identificere dem er lidt ligesom at spille 'Whac-a-Mole' – du kan ikke tage dem ned hurtigt nok."

Forstå, at du er målet, ikke din computer

"Vi har en tendens til at tænke på cybersikkerhed som et teknisk problem, men det er virkelig et menneskeligt problem, "Wright sagde." 90 til 95 procent af angrebene på organisationer er angreb på individuelle mennesker. "

En nylig undersøgelse for Cybersecurity at Work, udgivet i denne måned, fandt ud af, at individuelle medarbejdere er den største risikofaktor for organisationer. Næsten to ud af fem adspurgte indrømmede at have klikket på et tvivlsomt link eller en vedhæftet fil - omkring 40 procent af arbejdsstyrken.

Ifølge Wright, dagens gennemsnitlige phishing -fidus retter sig mod omkring ni personer, ved at bruge oplysninger fra deres LinkedIn, Facebook og andre sociale mediekonti for at tilpasse hver besked og posere som familiemedlemmer, venner eller kolleger.

"Dette er meget, meget målrettede kampagner, " sagde han. "Det er vigtigt at forstå, at du er målet, ikke kun din computer."

Øv teknologisk mindfulness

Du tænker sandsynligvis på mindfulness som noget bedre egnet til din yogamåtte end din indbakke, men Wrights forskning viser, at mindfulness-træning er 38 procent mere effektiv til at forhindre hacks end traditionel anti-phishing-træning.

Det tal kommer fra felteksperimenter, som Wright og hans kolleger udførte i en stor organisation, at sende deres egne phishing-e-mails til en gruppe, der er trænet i mindfulness-teknikker, en trænet i traditionelle cue-baserede teknikker (dvs. leder efter mistænkelige emnelinjer, stavning og andre stikord) og en kontrolgruppe uden træning.

"Cue-baseret træning er bestemt bedre end ingenting, men mindfulness-træningen forbedrede resultaterne med omkring 38 procent, " sagde Wright. "Når hackere bare leder efter et klik, det er et ret betydeligt tal."

Mens cue-baseret træning lærer brugerne at lede efter en lang og ofte skiftende liste over e-mail-karakteristika, mindfulness træning fokuserer på at få brugerne til at "stoppe, tænk og handling" før du klikker på noget, stole på deres instinkter, hvis noget føles forkert.

"Selv den korteste pause advarer dine instinkter, fører til en bedre beslutning det meste af tiden, " sagde Wright. "Vi bruger ofte teknologi ret tankeløst; hvis du holder pause og er mere opmærksom i et sekund, så har du allerede vundet."

Stol på dine kolleger

Wright kalder det "den menneskelige firewall" - nettet af menneskelige relationer og interaktioner, der kan gøre det meget sværere for hackere at bryde en organisation. Det består ikke kun af informationsteknologipersonale, men af ​​kolleger, der er afhængige af hinanden for at opdage mistænkelig aktivitet og kommunikere med gruppen.

"Vores forskning har vist, at folk er langt mere tilbøjelige til at gå til deres kolleger med et sikkerhedsspørgsmål, før de går til it, " sagde Wright. IT-afdelinger bør opmuntre til den adfærd i stedet for at modvirke den, han sagde, og hjælpe centrale influencers i forskellige afdelinger med at sprede korrekt information.

"Hvis du får en mærkelig e-mail og henvender dig til en i det næste aflukke for at spørge om det, du har allerede vundet, " sagde Wright. "Den slags bevidsthed spreder positiv sikkerhedspraksis i hele organisationen."

Læs en nyhedsartikel om cybersikkerhed hvert kvartal

For at øge din bevidsthed om sikkerhedsrisici, Wright foreslår at overvåge den populære presse for cybersikkerhedsartikler og læse mindst en hvert kvartal. Selv den lille smule læsning vil hjælpe dig med at være opmærksom og informeret om de seneste svindelnumre, du sandsynligvis vil se i din indbakke, han sagde. Og jo højere din bevidsthed, jo lavere din risiko.

"Jo mere sikkerhed er for øje, de bedre beslutninger mennesker tager, "Sagde Wright.

Som udgangspunkt han anbefaler Krebs om sikkerhed, et websted, der drives af Washington Post-reporteren, blev cybersikkerhedsguru Brian Krebs.