CLEARWATER, Fla. (Thông cáo báo chí - ngày 10 tháng 10 năm 2011) - Chuyên gia bảo mật CNTT Stu Sjouwerman, người sáng lập và Giám đốc điều hành của công ty đào tạo nâng cao nhận thức an ninh mạng (ISAT), knowBe4, cảnh báo rằng các doanh nghiệp vừa và nhỏ (SME) có thể sẽ gặp khó khăn khi thua lỗ liên quan đến lừa đảo khi các tổ chức tài chính từ chối trách nhiệm cho các cuộc xâm nhập. Sjouwerman (phát âm là vòi hoa sen-người đàn ông) đã trích dẫn một bài báo gần đây của Bloomberg cho biết tội phạm mạng đang cướp bóc tới 1 tỷ đô la mỗi năm từ các tài khoản ngân hàng vừa và nhỏ, trong khi các ngân hàng đang đổ lỗi cho các nạn nhân cho phép truy cập trái phép.
$config[code] not foundNhiều tên tội phạm mạng hoạt động từ nước ngoài và rút tiền từ nước ngoài. Điều này gây khó khăn cho các nhà chức trách trong việc truy tìm và truy tố những tên trộm, vì vậy có rất ít cơ hội để lấy lại tiền, Sjouwerman giải thích. Vì và FDIC không cung cấp sự bảo vệ tương tự cho các tài khoản doanh nghiệp như đối với các tài khoản cá nhân, điều đó khiến một trong hai bên phải chịu các khoản lỗ: ngân hàng hoặc chủ doanh nghiệp. Vì vậy, một chút thắc mắc rằng các ngân hàng đang đổ lỗi cho các doanh nghiệp vừa và nhỏ cho phép tội phạm mạng xâm nhập vào mạng của họ ngay từ đầu.
Sjouwerman lưu ý rằng tội phạm mạng thường sử dụng email lừa đảo và các chiến thuật tương tự khác để lừa nhân viên nhấp vào một liên kết, sau đó tự động tải phần mềm độc hại vào hệ thống người dùng. Sử dụng bộ ghi chép gõ phím và các công cụ khác, kẻ đánh cắp mạng có thể đánh cắp thông tin tài khoản và mật khẩu trong khi người dùng hoàn toàn không biết về vi phạm mạng. Các tin tặc sau đó bắt đầu một loạt các giao dịch chuyển khoản bằng cách sử dụng thông tin đăng nhập của chủ sở hữu doanh nghiệp. Trong nhiều trường hợp, vào thời điểm ngân hàng hoặc doanh nghiệp nhận thấy hoạt động bất thường, tiền đã biến mất và không thể truy cập được. Do đó, ngân hàng đã vi phạm cho các doanh nghiệp vừa và nhỏ cho phép tội phạm mạng ăn cắp thông tin ngân hàng trực tuyến của công ty, trong khi đó, các doanh nghiệp vừa và nhỏ cáo buộc ngân hàng không có đủ biện pháp phát hiện gian lận và chống trộm.
Các vụ kiện gần đây của tòa án đã chỉ ra rằng bản án có thể đi theo một trong hai cách. Như chi tiết trong hồ sơ tòa án, một cuộc tấn công lừa đảo đã cho phép tội phạm mạng truy cập vào tài khoản kinh doanh của Experi-Metal, Inc., tại Comerica Bank, lên đến đỉnh điểm trong 97 đơn đặt hàng chuyển khoản với tổng trị giá hơn 1,9 triệu đô la, cộng với khoản thấu chi 5 triệu đô la. Comerica đã có thể thu hồi tất cả trừ 561.399 đô la trong số tiền bị đánh cắp, mà Experi-Metal đã theo đuổi trong một vụ kiện chống lại ngân hàng (Experi-Metal, Inc., v. Comerica Bank). Theo ý kiến của mình, thẩm phán nhận thấy Comerica có lỗi vì đã không phát hiện hoặc dừng hoạt động lừa đảo trước đó và cho phép thấu chi 5 triệu đô la trên tài khoản thường không có số dư.
Tuy nhiên, trong một trường hợp tương tự khác, tòa án phán quyết có lợi cho ngân hàng. Theo các tài liệu của tòa án, Patco Construction là nạn nhân của một kẻ tấn công mạng trị giá $ 588,851, xuất hiện do một trojan Zeus / Zbot cho phép tội phạm mạng đánh cắp thông tin ngân hàng trực tuyến của công ty. Tổ chức tài chính của Patco, Ocean Bank, đã có thể chặn một số chuyển khoản, nhưng hơn 345.000 đô la đã không được thu hồi, dẫn đến Patco kiện ngân hàng về sự mất mát (Patco Construction Company, Inc., v. People United Bank d / b / a / Ngân hàng đại dương). Sau khi cân nhắc các lập luận được đưa ra bởi mỗi bên, thẩm phán đã giữ nguyên quyết định đề nghị của Thẩm phán, đó là cấp cho chuyển động ngân hàng để phán quyết tóm tắt và từ chối chuyển động chéo của Patco.
Sjouwerman cho biết, vì các doanh nghiệp không thể dựa vào sự bảo vệ của FDIC hoặc các tiền lệ vụ án để đảm bảo hoàn trả các khoản tiền bị đánh cắp, nên trách nhiệm của các doanh nghiệp vừa và nhỏ là ngăn chặn tội phạm mạng truy cập vào hệ thống của họ và đánh cắp thông tin ngân hàng của họ. Nhiều chủ doanh nghiệp tự tin tin rằng phần mềm chống vi-rút và nhóm CNTT của họ có đủ khả năng bảo vệ chống lại tin tặc, nhưng thực tế là tội phạm mạng có thể bỏ qua tất cả các biện pháp đó bằng cách dụ một nhân viên nhấp vào liên kết trong email lừa đảo.
Sjouwerman khẳng định rằng cách tốt nhất để chống lại liên kết yếu này là thông qua đào tạo bảo mật Internet. Một số khách hàng của chúng tôi đã thực hiện một nghiên cứu trường hợp giữa một số khách hàng của chúng tôi và so sánh tỷ lệ nhân viên của Phish-prone ™ - hoặc dễ bị lừa đảo - cả trước và sau khi thực hiện Chương trình đào tạo nâng cao nhận thức bảo mật Internet của chúng tôi. Chúng tôi thấy rằng từ 26% đến 45% nhân viên là người dễ bị Phish trước khi đào tạo; tuy nhiên, tổng số ngay lập tức đã giảm 75% sau buổi tập đầu tiên. Sau bốn tuần thử nghiệm và đào tạo lại, tỷ lệ phần trăm dễ bị Phish ở mức gần bằng 0 ở mọi công ty. Khi nhân viên của bạn biết những gì cần chú ý, họ sẽ ít có khả năng trở thành con mồi của các chiến thuật lừa đảo. Điều này có thể giúp ngăn chặn tội phạm mạng ra khỏi tài khoản mạng và tài khoản ngân hàng của bạn và giúp bạn tránh xa tòa án.
KnowBe4 mời các doanh nghiệp vừa và nhỏ tận dụng thử nghiệm bảo mật lừa đảo miễn phí, điều này sẽ tiết lộ có bao nhiêu nhân viên hiện đang bị Phish. Công ty cũng cung cấp một loạt các tài nguyên giáo dục tội phạm mạng miễn phí trên trang web của mình. Những người tìm kiếm lời khuyên bổ sung về việc chống lại các cuộc tấn công mạng sẽ tìm thấy rất nhiều thông tin trong cuốn sách của Sjouwerman, Cyberheist: Mối đe dọa tài chính lớn nhất đối mặt với các doanh nghiệp Mỹ kể từ Meltdown năm 2008.
Để biết thêm thông tin chi tiết về các dịch vụ đào tạo bảo mật Internet của knowBe4, hãy truy cập http://www.knbe4.com. Để biết tổng quan về Cyberheist, hoặc đặt mua phiên bản bìa mềm hoặc sách điện tử, hãy truy cập
Về Stu Sjouwerman và knowBe4
Stu Sjouwerman là người sáng lập và Giám đốc điều hành của KnowBe4, LLC, chuyên cung cấp chương trình đào tạo nâng cao nhận thức bảo mật Internet (ISAT) dựa trên web cho các doanh nghiệp vừa và nhỏ. Một chuyên gia bảo mật dữ liệu với hơn 30 năm trong ngành CNTT, Sjouwerman là người đồng sáng lập Sunbelt Software, một công ty phần mềm chống phần mềm độc hại đã giành giải thưởng mà ông và đối tác đã bán cho GFI Software vào năm 2010. Nhận ra rằng yếu tố con người về an ninh đã bị lãng quên nghiêm trọng, Sjouwerman quyết định giúp các doanh nhân giải quyết các chiến thuật tội phạm mạng thông qua đào tạo nâng cao nhận thức bảo mật Internet. Ông là tác giả của bốn cuốn sách, bao gồm Cyberheist: Mối đe dọa tài chính lớn nhất đối mặt với các doanh nghiệp Mỹ kể từ Meltdown năm 2008.
