субота, 2. август 2008.

PhishMe testira budnost osoblja

PhishMe, nova sigurnosna Softver-kao-usluga ponuda kompanije Interpidus Group omogućava kompanijama da pokrenu lažne phishing napade protiv svojih zaposlenih sa ciljem da se proceni njihova budnost i unapredi sigurnost elektronske pošte.

Dakle, korišćenjem ovog servisa organizacije mogu da simuliraju phishnig napade i poboljšavaju obuku zaposlenih kada je u pitanju svesnost šta je to phisihing i kako se od njega odbraniti kreiranjem, kako ova kompanija to naziva „ljudskog frewall“. Interpidus Group je osnovana prošle godine u stacionirana je New York-u.

Ova kompanija ne gaji pristup kao druge, koje angažuju testere koji će probati da prodru u sisteme kompanija pokušavajući da prevare zaposlene. Ali sa porastom phishing-a, zvaničnici Interpidus-a su pokrenuli servis koji pomaže organizacijama da unaprede svoju internu svesnost o sigrnosti. Prema navodima izvršnog direktora ove kompanije, ona je razvila Web bazirani portal čiji naziv je PhishMe.com koji omogućava klijentima da pokrenu kreaciju i izvršavanje lažnog phishing napada.

Na ovaj način klijenti mogu za manje od 30 minuta da postave i podese lažni phishing napad koji veoma blisko oponaša pravi phishing napad koji phisheri širom sveta koriste protiv zaposlenih u kompanijama. Studije su ukazale da je broj „spear phishing“napada koji uključuju napade protiv domena ili organizacija značajno porastao u poslednjih nekoliko meseci.

VeriSign-ova iDefense Labs navodi da je prošlog meseca čak 15.000 ljudi postalo žrtva spear phishing napada. Napade su izvele dve različite grupe phishera koje deluju nekih 15 meseci. Interpidus obezbeđuje šablone koji pomažu organizacijama da simuliraju napade i omogućava organizacijama da mere, prate i dobijaju izveštaje o ponašanju zaposlenog u slučaju napada.

Jedna od najpopularnijih stvari kod phisher-a je to da se igraju sa URL parametrima i načinom na koji je link prikazan. Interpidus obezbeđuje kompletan opseg alata koji mogu potpuno da simuliraju ove trikove, navodi Aaron Higbee, jedan od šefova za tehnologije pri Interpidus-u.

On dodaje da klijenti mogu da koriste IP adrese kompanije, domene koje je ona kreirala ili ukoliko zaista žele da kreiraju realan phishing sajt, registruju svoj sopstveni doman, iskoriste Interpidus-ove servere i naprave svoj phishing scenario uz pomoć kompanije. Kompanije koje žele da provere svoje zaposlene mogu da dizajniraju testove tako da zaposleni koji klikne na link će da bude preusmeren na materijal za obuku o phishing-u ili može da se nastavi simulacija da bi se videlo da li će osoba reagovati na zahtev sa lažnog phishing sajta i uneti poverljive informacije kao što su lozinke.

PhishMe ne sakuplja poverljive informacije, objašnjava Higbee, navodeći da JavaScript na Web sajtu obriše sve što korisnik upiše u polja tokom testova. Cilj PhishMe.com je da obezbedi kako Highbee navodi „phishing pribor“ koji se koristi da imitira različite tehnike koje se mogu naći na internetu. On zaključuje da je cilj Interpidus Group da obezbedi alate za korisnike koji će im omogoućiti da njihove zaposlene održe uvežbanim u odbrani od phishinga.