Was ist Ihnen bei der Einrichtung Ihrer E-Mail am einprägsamsten? Wenn es nur um ein starkes Passwort geht, hilft Ihnen dieser Artikel, diesen und einige andere verbreitete Mythen zu entlarven. Die Sicherheit Ihrer E-Mails ist unerlässlich, aber zu viele Lösungen und Tipps bauen eher auf Vorurteilen als auf Fachwissen auf. Ich werde E-Mail-Sicherheitsrichtlinien, Lösungen und auch einige Warnsignale überprüfen und überarbeiten.
Lassen Sie uns einen nach dem anderen auf die häufigsten E-Mail-Schutz-Mythen eingehen.
Mythos 1: Es geht nur um die Passwortstärke
Sie sagen, es gibt keine Möglichkeit, Ihr Konto zu hacken, wenn Sie das Passwort nicht erraten können. Ist es wahr?
Zunächst einmal gibt es keinen Zauberstab, mit dem Sie ein Passwort erstellen können, das jedem Angriff standhält. Hacker stehlen und knacken sowohl von Menschen als auch von Maschinen erstellte Daten Passwörter egal wie komplex sie sind.
Evidenzbasiertes Fachwissen legt nahe, dass die regelmäßige Änderung von E-Mail-Passwörtern oder Passphrasen die beste praktische Lösung ist. Die optimale Häufigkeit für Kennwortaktualisierungen beträgt drei Monate. Dies bietet Ihnen eine gute Chance, Ihr Konto vor Cyberkriminellen zu sperren, falls es angegriffen wird; gleichzeitig ist die Aktualisierungshäufigkeit recht gering.
Obwohl diese Routine alles andere als fehlerfrei ist, sichert sie überraschenderweise Ihre E-Mails in den meisten Fällen.
Darüber hinaus gibt es keinen rein passwortgeschützten Unternehmens-E-Mail-Schutz. Unternehmen Email Systeme erfordern zusätzliche Sicherheitsmaßnahmen. Die IT-Mitarbeiter jedes Unternehmens entwickeln individuelle Taktiken und Tools. Dazu gehören sichere Anmeldeanforderungen, Einhaltung der Stammdatenverwaltung, Multi-Faktor-Authentifizierung, E-Mail-Filter, sichere BYOD-Verfahren und so weiter.
Zusammenfassend lässt sich sagen, dass das Passwort selbst nur die Spitze des Eisbergs ist, da eine angemessene E-Mail-Sicherheit auf eine Reihe von Faktoren und Taktiken zurückgreift.
Mythos 2: Es ist extrem schwierig, eine professionell erstellte Unternehmenswebsite zu replizieren
Sie fragen sich vielleicht, ob dies in irgendeiner Beziehung zur Sicherheit Ihrer E-Mail steht. Phishing ist hier der richtige Anhaltspunkt. Sie können Ihre E-Mails mit fortschrittlichen Authentifizierungslösungen sichern, ein extra starkes Passwort festlegen, Dateianhänge und potenziellen Spam filtern, aber dies funktioniert nicht gegen das, was als Website-Phishing bezeichnet wird. Der Mythos besagt, dass Hacker eine hochkarätige Website nicht fälschen können. Glaubst du, das ist wahr?
Natürlich ist es nicht wahr. Die Websites von Regierungen und namhaften Unternehmen, sei es die NASA oder Facebook, sind nicht fälschungssicher. Sie sind genauso anfällig und Manipulationen von außen ausgesetzt wie jede andere Internetressource. Hacker können sogar verwenden Google Dorking-Befehle um Ihre Informationen zu stehlen.
Angreifer, die Website-Phishing betreiben, verfügen in der Regel über fortgeschrittene Tools und Fähigkeiten. Mit Möchtegern-Hackern, die ein Phishing-Kit für am Black Friday gekaufte Dummies verwenden, haben sie kaum etwas gemein. Social Engineering, Psychologie, Website-Entwicklung und Programmierung sind Bereiche, in denen moderne Phisher über solide Erfahrungen und Kenntnisse verfügen.
Diese kriminellen Profis wissen, wie man Schwachstellen auf Websites erkennt und ausnutzt. Sobald sie feststellen, dass Ihre Website gut für sie ist, ist die Entwicklung eines Klons und die Veröffentlichung im Internet eine Frage von Stunden.
Ich habe Website-Phishing-Fälle lange genug überwacht, um zuzugeben, dass viele der Klone wirklich fehlerfrei sind. Opfer sehen keinen Grund, einen Betrug zu vermuten. Lesen Sie dies CSO-Artikel auf Zwillingswebsites, um die Vielfalt und Kunstfertigkeit von Phishing-Angriffen zu sehen. Dies beweist, dass jede Seite, einschließlich einer hochkarätigen oder institutionellen Website, zugänglich gemacht werden kann Spoofing.
Hüten Sie sich vor solchen Fällen und sorgen Sie für Taktiken, die sicherstellen, dass eine Website, auf der Sie sich anmelden, echt ist. Wenden Sie Wachsamkeit und Voraussicht an, überprüfen Sie Website-Zertifikate, überprüfen Sie sorgfältig die Website-URL und vergewissern Sie sich, dass sie der echten Website entspricht. Laden Sie unter keinen Umständen Inhalte herunter und installieren Sie sie oder geben Sie Ihre Anmeldeinformationen ein, nur weil diese vertraute Seite danach fragt.
Tatsächlich ist es besser, alle wichtigen Websites in Ihrem Browser mit Lesezeichen zu versehen und sie nur mit diesen verifizierten Lesezeichen zu öffnen.
Mythos 3: Die meisten Risiken lassen sich vermeiden, indem Mitarbeiter im sicheren Umgang mit E-Mails geschult werden
Die meisten von uns haben eine Mitarbeiter-Onboarding-Routine durchlaufen. Dies erfordert normalerweise, dass ein neuer Mitarbeiter einige Regeln und Verfahren liest, sich mit anderen Mitarbeitern und der Führung vertraut macht, Tutorials ansieht usw.
Viele Unternehmen unternehmen erhebliche Anstrengungen, um ihre Mitarbeiter sicherheitsbewusst zu machen. Der nächste Mythos lautet wie folgt: Investitionen in das digitale Bewusstsein der Mitarbeiter reduzieren E-Mail-Risiken erheblich. Ist das nur ein Mythos oder Realität?
Ich bin sicher, es ist kein Mythos. Wenn Ihre Mitarbeiter in E-Mail-Sicherheit geschult werden, indem sie reale Fälle studieren, werden sich ihre Fähigkeiten und Gewohnheiten ändern. Ein gut ausgebildeter Mitarbeiter kann eine echte E-Mail von einer von Gaunern erfundenen unterscheiden, Versuche erkennen, eine Unternehmens-E-Mail oder -Website zu fälschen, schädliche Dateianhänge identifizieren und die zuständigen Einheiten über Unregelmäßigkeiten informieren.
Das Training darf kein Schnarchfest sein. Ermutigen Sie die Trainer, zahlreiche Video- und Audio-Tutorials, echte Phishing-E-Mail-Nachrichten und gefälschte Websites zu verwenden. Binden Sie das Publikum so weit wie möglich ein. Unterhaltung kann das Lernen nicht vollständig ersetzen, erleichtert und verbessert es jedoch erheblich. Und natürlich können Sie gefälschte (von Ihren IT-Mitarbeitern vorbereitete) Phishing-Angriffe gegen Ihr Unternehmen starten.
Mythos 4: Webbrowser informieren über alle unsicheren Websites
Wenn Sie das SSL-Zertifikat überprüfen, sobald Ihr Browser eine Website lädt, bedeutet dies, dass Sie sich der Sicherheitseigenschaften der besuchten Seite vollständig bewusst sind. Der Mythos geht so: Mein Browser kennzeichnet immer alle unsicheren oder Phishing-Seiten. Mythos oder Realität?
Es ist nur ein Mythos. Es gibt zwei Warnungen, die Browser normalerweise für einen Website-Besucher anzeigen. Wenn Ihr Browser glaubt, dass die Website sicher ist, sehen Sie ein Vorhängeschloss. Bei bestimmten Sicherheitshinweisen erscheint ein Ausrufezeichen.
In freier Wildbahn ist selbst eine mit einem Vorhängeschloss gekennzeichnete Website nicht unbedingt sicher. Cyberkriminelle verwenden zwielichtige Zertifizierungsstellen oder übermitteln falsche Informationen, um ein gültiges Website-Zertifikat zu erhalten. Normale Benutzer graben jedoch normalerweise nicht so tief. Wenn sie ein Vorhängeschloss auf der Seite sehen, denken sie, dass alles in Ordnung ist.
Andererseits können sich manchmal als unsicher gekennzeichnete Websites als sicher erweisen. Ein paar Fehler im Code der Website können den Unterschied ausmachen. Es können auch technische Störungen auftreten. Obwohl Browser ihr Bestes geben, um Benutzer zu schützen, sollten wir dem Vorhängeschloss-Symbol dennoch nicht blind vertrauen.
Wie auch immer, wenn Sie bei der Prüfung des SSL-Zertifikats feststellen, dass einige Felder leer sind oder irrelevante Daten enthalten, ist es am besten, die Website zu verlassen und böswilliges oder verdächtiges Verhalten zu melden.
Mythos 5: Das Blacklisting aktiver bösartiger Websites schützt vor weiteren Angriffen
Angenommen, Sie kennen einige Websites, wie zum Beispiel Search Baron beschrieben Hier, leitet Sie zu gefälschten Angeboten oder einer Phishing-Website weiter. Was machst du als nächstes? Werden Sie die Website zu Ihrer schwarzen Liste hinzufügen? Einige Leute glauben, dass sie vor weiteren Angriffen sicher sind, wenn sie mehrere bösartige Websites blockieren. Richtig oder falsch?
Dies ist ein falscher Glaube. Selbst wenn Sie ein Dutzend bösartiger Websites auf die schwarze Liste setzen, haben Hacker immer noch unzählige neue URLs, um eine Phishing-Falle zu stellen. Wussten Sie, dass die Registrierung und Einrichtung einer neuen Website nur wenige Stunden dauert? Sie können eine Domain blockieren; sie registrieren einen weiteren Blitzschlag. Es ist ein Katz-und-Maus-Spiel.
Dasselbe passiert mit Antivirus-Anbietern. Sie erkennen und isolieren ständig neue Viren und Malware, aber Übeltäter erstellen immer wieder neue.
Es ist eine gute Idee, eine Phishing-URL auf die schwarze Liste zu setzen. Inzwischen ist es nur eine halbe Lösung. Ihre Aufgabe ist es, zu lernen, wie Sie solche Websites anhand ihres Verhaltens und ihrer Merkmale identifizieren können.
Abschließende Gedanken
Bei der E-Mail-Sicherheit dreht sich alles um die beteiligten Parteien. Das schwächste Glied ist der menschliche Faktor. Die fünf Mythen, die ich mir angesehen habe, zeigen, wie wichtig Schulungen zum Sicherheitsbewusstsein sind.
Wenn Sie erwägen, sich auf Softwarelösungen für die E-Mail-Sicherheit zu verlassen, sollten diese alle Angriffsvektoren abdecken, einschließlich Anbieter-E-Mail-Kompromittierung, Würmer, Makroviren usw. Gleichzeitig sollten sie dazu beitragen, die durch den menschlichen Faktor verursachten Risiken zu minimieren.
