Die meeste van ons weet ons moet baie versigtig wees wanneer ons e-posse oopmaak wat sê dat ons op ’n skakel moet klik, maar soms reageer ons vingers vinniger as ons verstand, en voordat jy phisvang-slenter kan sê, het jy op daardie verraderlike skakel geklik, en het jy daardie stukkie aas van die kubermisdadiger vir soetkoek opgeëet.

is jy gevang?

FOKUS OP

IT SE PHISVANG-VELDTOG:

Géna Thompson is ’n besigheidsontleder in die Akademiese en Kantooroplossings-afdeling van die IT-departement.

Die jongste veldtog oor kubersekuriteitsbewustheid is in ’n aanlyn opleidingsportaalformaat beskikbaar en lede kan daardeur werk wanneer dit hulle pas. Die tema van die opleidingsmateriaal is “Bly kuberveilig tuis” (Staying cyber safe at home), en sluit phisvang-inhoud in, aangesien dit noodsaaklik is dat almal ’n potensiële phisvang-e-pos moet kan identifiseer.

Die NWU se IT-departement het op 11 Februarie opsetlik ’n “phis” uitgestuur om vas te stel hoe kwesbaar ons personeel – en dus die universiteit – ten opsigte van hierdie slenters is.

 

eish! het met die besigheidsontleder Géna Thompson gepraat oor IT se bewustheidsveldtog met hulle phisvang-e-pos.

 

V: Eerstens: wat is ’n phisvang-e-pos en wat is ’n phis?

A: ’n Phisvang-e-pos is ’n tipe e-pos waarin misdadigers wettige organisasies naboots in ’n poging om persoonlike inligting, soos jou inlogbesonderhede, te steel.

 

Die woord “phis” verwys na ’n phisvang-e-pos wat naspoorders gebruik en ons personeellede se interaksie met hierdie e-pos rapporteer.

 

V: Waarom was dit nodig om die bewustheidsveldtog met die phisvang-e-pos te loods?

A: Die doel was om vas te stel hoe kwesbaar ons as ’n instelling is wanneer werknemers potensiële phisvang-e-posse hanteer. Ons wou ook weet of verdere opleiding en veldtogte oor kubersekuriteitbewustheid nodig is om ons teen kubermisdadigers te beskerm.

 

Hoewel ons departement metodes het om personeellede teen phisvang-e-posse te beskerm, bereik ’n paar van hulle wel hul e-posmandjies. Dus is dit noodsaaklik dat hulle ’n phisvang-e-pos moet kan identifiseer. As jy hier klik, sal jy die phisvang-e-pos sien wat ons aan die personeel gestuur het, en ook ’n paar wenke kry oor hoe jy kan sien dat dit nie ’n wettige e-pos was nie.

 

V: Wat was die resultate van die uitstuur van hierdie e-posse?

A: ’n Totaal van 4 966 e-posse is aan personeellede gestuur, en in die eerste uur het 209 gebruikers die e-pos oopgemaak en op die skakel van die toets-phisvang-e-pos geklik. Dit wys jou hoe vinnig ’n aanval regdeur die netwerk kan versprei. Teen die tyd dat die veldtog ’n week later geëindig het, het 799 gebruikers wel die e-pos oopgemaak en op die skakel geklik .

 

V: Wat het gebeur as mense die e-pos oopgemaak het?

A: In hierdie spesifieke geval het niks gebeur toe personeellede die e-pos bloot net oopgemaak het nie. Toe hulle egter op die e-posskakel geklik het, was dit moontlik om hulle op te spoor en te identifiseer. Hierdie personeellede is gelei na ons veldtogbladsy oor phisvang-e-pos-bewustheid wat opleidingsmateriaal aanlyn bevat. Van die 799 gebruikers het 226 hierdie aanlyn opleiding voltooi.

 

V: Wat sal die gevolge wees as ’n phisvang-poging slaag?

A: Daar kan geweldige finansiële implikasies vir die personeel persoonlik, of vir die universiteit wees.

 

Wanneer ’n kraker toegang tot ’n personeellid se bankrekeninginligting kry, kan die persoon se persoonlike fondse gesteel word. ’n Phisvang-aanval kan ook die NWU-netwerk met losprysware (ransomware) besmet, wat ’n vorm van wanware (malware) is wat lêers enkripteer. Die aanvaller eis dan ’n losprys om toegang tot die data te herstel.

 

Misdadigers kan ook met ’n enkele klik die bedryfstelsels en die webblaaiers wat op gebruikers se toestelle is, identifiseer. Twee-en-twintig gebruikers wat op die skakel geklik het, het byvoorbeeld kwesbare weergawes van Firefox op hulle rekenaar gehad wat in opvolgaanvalle uitgebuit kan word.

 

V: Is jy tevrede dat die veldtog geslaagd was?

A: Ons sou natuurlik verkies het om te vind dat geen personeellid op die e-posskakel geklik het nie – iets wat baie onwaarskynlik is. Die veldtog het ons egter van baie waardevolle inligting voorsien en ons laat besef dat ons moet aanhou om ons personeel te leer hoe om phisvang-e-posse te identifiseer, en om hulle oor die gevare van hierdie soort e-posse in te lig.

Die NWU se IT-departement het op 11 Februarie opsetlik ’n “phis” uitgestuur om vas te stel hoe kwesbaar ons personeel – en dus die universiteit – ten opsigte van hierdie slenters is.

 

eish! het met die besigheidsontleder Géna Thompson gepraat oor IT se bewustheidsveldtog met hulle phisvang-e-pos.

 

V: Eerstens: wat is ’n phisvang-e-pos en wat is ’n phis?

A: ’n Phisvang-e-pos is ’n tipe e-pos waarin misdadigers wettige organisasies naboots in ’n poging om persoonlike inligting, soos jou inlogbesonderhede, te steel.

 

Die woord “phis” verwys na ’n phisvang-e-pos wat naspoorders gebruik en ons personeellede se interaksie met hierdie e-pos rapporteer.

 

V: Waarom was dit nodig om die bewustheidsveldtog met die phisvang-e-pos te loods?

A: Die doel was om vas te stel hoe kwesbaar ons as ’n instelling is wanneer werknemers potensiële phisvang-e-posse hanteer. Ons wou ook weet of verdere opleiding en veldtogte oor kubersekuriteitbewustheid nodig is om ons teen kubermisdadigers te beskerm.

 

Hoewel ons departement metodes het om personeellede teen phisvang-e-posse te beskerm, bereik ’n paar van hulle wel hul e-posmandjies. Dus is dit noodsaaklik dat hulle ’n phisvang-e-pos moet kan identifiseer. As jy hier klik, sal jy die phisvang-e-pos sien wat ons aan die personeel gestuur het, en ook ’n paar wenke kry oor hoe jy kan sien dat dit nie ’n wettige e-pos was nie.

 

V: Wat was die resultate van die uitstuur van hierdie e-posse?

A: ’n Totaal van 4 966 e-posse is aan personeellede gestuur, en in die eerste uur het 209 gebruikers die e-pos oopgemaak en op die skakel van die toets-phisvang-e-pos geklik. Dit wys jou hoe vinnig ’n aanval regdeur die netwerk kan versprei. Teen die tyd dat die veldtog ’n week later geëindig het, het 799 gebruikers wel die e-pos oopgemaak en op die skakel geklik .

 

V: Wat het gebeur as mense die e-pos oopgemaak het?

A: In hierdie spesifieke geval het niks gebeur toe personeellede die e-pos bloot net oopgemaak het nie. Toe hulle egter op die e-posskakel geklik het, was dit moontlik om hulle op te spoor en te identifiseer. Hierdie personeellede is gelei na ons veldtogbladsy oor phisvang-e-pos-bewustheid wat opleidingsmateriaal aanlyn bevat. Van die 799 gebruikers het 226 hierdie aanlyn opleiding voltooi.

 

V: Wat sal die gevolge wees as ’n phisvang-poging slaag?

A: Daar kan geweldige finansiële implikasies vir die personeel persoonlik, of vir die universiteit wees.

 

Wanneer ’n kraker toegang tot ’n personeellid se bankrekeninginligting kry, kan die persoon se persoonlike fondse gesteel word. ’n Phisvang-aanval kan ook die NWU-netwerk met losprysware (ransomware) besmet, wat ’n vorm van wanware (malware) is wat lêers enkripteer. Die aanvaller eis dan ’n losprys om toegang tot die data te herstel.

 

Misdadigers kan ook met ’n enkele klik die bedryfstelsels en die webblaaiers wat op gebruikers se toestelle is, identifiseer. Twee-en-twintig gebruikers wat op die skakel geklik het, het byvoorbeeld kwesbare weergawes van Firefox op hulle rekenaar gehad wat in opvolgaanvalle uitgebuit kan word.

 

V: Is jy tevrede dat die veldtog geslaagd was?

A: Ons sou natuurlik verkies het om te vind dat geen personeellid op die e-posskakel geklik het nie – iets wat baie onwaarskynlik is. Die veldtog het ons egter van baie waardevolle inligting voorsien en ons laat besef dat ons moet aanhou om ons personeel te leer hoe om phisvang-e-posse te identifiseer, en om hulle oor die gevare van hierdie soort e-posse in te lig.