E-posthackene - ikke det andre e-postproblemet - som påvirker årets presidentvalg, burde være en streng advarsel til alle små bedrifter.
Cyberangrep stiger og du trenger ikke å være kampanjestolen for en presidentkandidat som et mål. Faktisk, hvis du er en bedriftseier, er du mer sannsynlig å være målrettet.
Slik skjedde det: En e-post med e-post ble sendt til Hillary Clintons kampanjeformann John Podesta. En assistent leste e-posten, var bekymret og kontaktet innleid sakkyndig hjelp. Linjer ble krysset, en dårlig kobling ble klikket, og resten utvider historien.
$config[code] not foundDette kan skje med deg og mens forgreningene ikke har samme globale innvirkning som Podestas, ville noen ha det vanskelig å forklare det for deg når det gjør det.
Så her er 10 viktige leksjoner som læres av småbedriftseiere fra John Podesta e-posthakk.
Takeaways fra John Podesta Email Hack
1. Implementere en kommandokjede
Det vil være tidspunkter når sikkerhetsbrudd blir forsøkt. Det kan hende det allerede har skjedd på din småbedrift. Hvis det ikke har det, vil det.
Selv om Wikileaks dumper tusenvis av e-postmeldinger fra Podestas Gmail-konto, er titusenvis av små bedrifter mål for hackere. Og med mindre du er en sikkerhetsekspert, må du ha en plan for å håndtere disse truslene.
Skitsere en kommandokjede for å håndtere cybersikkerhetstrusler. La alle som er tilknyttet din bedrift, vite hva kommandokjeden er når det gjelder en potensiell sikkerhetsrisiko. Hvem kontakter hvem og hva gjør hver person?
2. Les og svar på dine egne e-poster
Hakken startet da et hjelpemiddel til Clinton-kampanjestolen Podesta leste denne meldingen på hennes sjefs Gmail-konto (Image via The Smoking Gun):
Meldingen ble sendt til e-postbeskyttet
Så, den store takeaway her - det punktet som det hele begynner å bryte ned - er at hvis det er din epost med navnet ditt, bør du være ansvarlig for å åpne, lese og svare på meldinger.
3. Typoer og feil er kjennetegn på en hack
Hvis det er en ting som vanligvis skiller hackere fra legitimitet, følger det med grammatikk og tegnsetting.
Overskriften til meldingen i hjertet av Podesta-angrepet lyder: "Noen har passordet ditt", men som den linjen, er e-posten riddled unprofessional kjennetegn.
Det er ingen tegnsetting i den første advarselen. Det er ingen komma eller kolon etter hilsen, "Hei John". Og hvis dette var en virkelig melding fra Google - som det åpenbart ikke var - gi selskapet rekvisitter for å være vag og forvirrende.
Hva betyr den første setningen selv? For det andre er det ingen be om bekreftelse på mistenkelig aktivitet. Bare et krav om at passordet blir endret umiddelbart.
Og så synes en veldig hjertelig lukning på denne meldingen utelukkende for den påståtte alvorlighetsgraden av denne meldingen. Bare en "lykke til" ville være mer uvitende. Merk at de satt inn et komma etter "Best" skjønt.
4. Bli kjent med en reell Gmail-advarsel
Det var merkelig at det var 3 dager etter den 19 mars vellykkede spydsfiske-e-posten som Google utgitt informasjon om potensielle "regjeringens angrep" mot noen Gmail-brukere. For å advare brukere sendte Google denne meldingen til Gmail-brukere:
Legg merke til at den overholder riktig grammatikk og tegnsetting. Legg merke til at det ikke tar en sosial, back-in-the-corner tone. Din melding sannsynligvis vil ikke være den over, men vil ha et lignende utseende, uten tvil.
5. Les sikkerhetsoppdateringsblogger
Selvfølgelig ville det ha hjulpet om Googles advarsel kom tre dager før dette forsøket med spydfishing. Google har imidlertid gjort denne lignende advarselen tidligere.
Hvis du bruker Gmail til bedriftens e-post, er det lurt å sjekke sikkerhet og andre blogger direkte fra Google. Konfigurer et varsel eller varsel når nye innlegg blir opprettet på viktige Google-sikkerhetsblogger.
6. Gjenkjenne når det er utenfor riket ditt
Dette er ett område hvor kampanjen fikk det riktig. Og det burde du også.
Hjelperen som leser e-posten visste klart at dette var ute av hennes jurisdiksjon. Men det var tydelig å bli adressert. Tross alt var denne meldingen et hackingforsøk.
Å reagere på denne meldingen, kontaktte aide en IT-profesjonell nær kampanjen.
7. Usikker? Ring et proff
Igjen, dette er et annet område der kampanjen fikk det riktig.
Bistanden til Podesta som så denne uhyggelige meldingen i innboksen hans, skjønte nesten umiddelbart at dette kunne være noe. Så kom hun ut til kampanjens IT-proff. Kampanjen hadde en på plass og de riktige alarmer ble hørt når meldingen ble opprinnelig mottatt.
Hvis du ikke er sikker på hva du skal gjøre med en potensiell sikkerhetstrussel, ta kontakt med noen som vil vite.
8. Lei en god Pro
Når det gjelder Podesta phishing-angrep, ser det ut til at IT-proffsen som Clinton-kampanjen hadde på personalet eller på samtalen, var oppe på hans informasjon, i hvert fall om Gmail.
Sørg for at du får en kunnskapsrik ekspert som kan tilby ekte hjelp ved slipp av en lue. Når du rekrutterer en slik person, ta kontakt med en tredjepart som kan gi deg bevis på spørsmål for å spørre din ekspert.
9. Les meldinger grundig
Hvis du skal betale sikkerhetsekspert, er det best å henge på hvert ord. Underscore hver.
At IT-ekspert skrev i en epost, "Dette er en legitim epost. John trenger å endre passordet sitt umiddelbart, og sørge for at tofaktorautorisering er slått på sin konto … Det er helt avgjørende at dette gjøres så raskt som mulig. "
Denne meldingen inkluderte en Google-kobling for å aktivere tofaktorautentisering på Podestas Gmail-konto. Meldingen ble sendt tilbake til aideen som videresendte den til Podesta og en annen aide, som til slutt leste e-posten og handlet på den.
Imidlertid var aideen som handlet på det ikke sikker på om - eller ikke så - koblingen som ble kopiert av IT-ekspert, var legitim, eller om han mente den blå knappen i phishing-e-posten.
$config[code] not foundGjett hvilken som ble klikket?
10. Plukk opp telefonen, adresser den i person
Ikke la denne situasjonen komme til en tilfeldighet. Cybersecurity er en reell trussel mot små bedrifter. Første gang firmaet ditt er hacket, kan være det siste.
Når du svarer på en e-posttrussel, må du ikke bruke e-post for å prøve å løse det. Plukk opp telefonen. Få bekreftelse på at de riktige meldingene leses og de riktige koblingene klikker og protokoller blir satt på plass. Bedre ennå, kom deg på Skype og del dine skjermer. Enda bedre, har din ekspert adresse trusler i person.
Alt om protokoll
Cybersecurity er sannsynligvis selskapets største sårbarhet nå og i fremtiden, i hvert fall til du adresserer den.
En forsiktig, konsekvent og målt tilnærming til alle trusler er viktig. Det vil understreke sin betydning for virksomheten din til andre også.
John Podesta Foto via Shutterstock
3 kommentarer ▼
