Det finns alltid något nedfall efter en större säkerhetsöverträdelse .
Den här veckan är en av de mest oroande årets utveckling inom Internetsäkerhet. En grupp som heter Impact Team stal data för 37 miljoner användarkonton, allt från kreditkortsinformation till sexuella preferenser. Och det har de nu släppte uppgifterna . Det gör stora rubriker och det blir bara värre.
För småföretag blir det viktigaste resultatet en ny omgång av nätfiskebedrägerier som kan påverka ditt företag. Jag tror faktiskt att anställda som arbetar för dig redan har fått ett e-postmeddelande relaterat till Ashley Madison-överträdelsen.
Så här fungerar allt. Eftersom vi är så starkt beroende av e-post , vi tenderar att bearbeta det snabbt och skanna efter de mest anmärkningsvärda meddelandena först. När anställda sveper igenom sin lista och ser ett meddelande som säger Vi känner till din sexuella historia - klicka här för att undvika att offentliggöra vad tror du att de kommer att göra? De flesta kommer att klicka. De kommer förmodligen redan veta om hacket. De har förmodligen inte ett konto på AshleyMadison.com-webbplatsen, men det är fortfarande ett stort ämne.
De nätfiskebedrägerier innebär vanligtvis inte att stjäla data. I själva verket tenderar de att sätta igång en kedja av händelser. Länken kan bara vara ett sätt att skörda e-postmeddelanden. Ett andra meddelande kan vara mer direkt och specifikt. Kanske bestämmer det första meddelandet åtminstone ditt företags namn. Den andra använder företagsnamnet i rubriken i e-postmeddelandet. Eller det andra e-postmeddelandet kräver betalning. Scam kommer sannolikt inte att ha något att göra med Ashley Madison eller dataintrånget.
Tricket kallas ransomware , och det är i grunden ett knep att få folk att klicka. Bedrägeriet kan dock vara mycket mer komplicerat. Länken kan också infektera datorn och kryptera data. Ändå börjar det nästan alltid med ett klick på en länk som skickas via e-post eller en som en anställd hittar online.
Jag har pratat med experter på säkerhetsföretaget KnowBe4 och flera andra företag om detta ämne några gånger, och det jag fortsätter att höra är att det bästa försvaret har att göra med utbildning av anställda. En läsare berättade nyligen för mig att han ansvarar för säkerheten i ett litet företag och avser att köra ett phishing-experiment där han skapar ett falskt konto, skickar ut bedrägeriet och spårar sedan vilka anställda som faktiskt klickar på länken. Det är ganska genialt, för det är ett sätt att ta reda på om det verkligen finns ett problem. Han kan gå tillbaka till de anställda och utbilda dem (eller skälla ut dem).
Mitt råd är att hålla ett snabbt improviserat möte med anställda och förklara att det finns ett nytt stort hack, ett som skapar en krusningseffekt. Varna anställda om att klicka på länkar och öppna e-postmeddelanden som ser misstänkta ut (eller använd den taktik som nämns ovan). Jag är här för att hjälpa till, så om du behöver några fler idéer om hur du gör det här mötet eller vad du ska säga, bara ping mig via e-post .
