Gair i gall am gwe-rwydo
Gan Gareth Johns, Rheolwr Sgiliau Digidol
Ym mis Awst 2021 cynhaliodd Met Caerdydd efelychiad gwe-rwydo i godi ymwybyddiaeth o we-rwydo a'r bygythiad difrifol y gall ei beri i seiberddiogelwch y brifysgol. Mae'r erthygl fer hon yn esbonio ychydig am yr efelychiad a pham y gwnaethom ei redeg.
Yn gyntaf, beth yw gwe-rwydo?
Mae gwe-rwydo yn fath o beirianneg gymdeithasol sy'n ceisio twyllo pobl i ddatgelu gwybodaeth sensitif neu gael mynediad at systemau trwy ddwyn manylion mewngofnodi.
Gwe-rwydo yw'r math amlycaf o seiberdroseddu o bell ffordd ( adroddiad FBI, 2020 t19) a dyma brif achos torri data ( Adroddiad Ymchwiliadau Torri Data, 2020 t.13).
Y math mwyaf cyffredin o ymosodiad gwe-rwydo yw trwy e-bost. Bydd ymosodwyr yn creu e-bost a fydd yn ceisio eich annog i glicio ar ddolenni maleisus neu ofyn am wybodaeth bersonol, megis rhifau cardiau credyd.
Beth yw efelychiad gwe-rwydo?
Mae efelychiad gwe-rwydo yn fesur cyffredin y mae sefydliadau'n ei ddefnyddio i godi ymwybyddiaeth o we-rwydo a diogelwch digidol yn gyffredinol. Mae'n cynnwys anfon e-bost gwe-rwydo “ffug” sy'n cynnwys dolen. Hysbysir y rhai sy'n clicio ar y ddolen eu bod yn rhan o'r efelychiad a gofynnir iddynt gwblhau hyfforddiant.
Sut wnaeth yr efelychiad weithio ym mis Awst 2021?
Ym mis Medi 2021 gwnaethom ddefnyddio Bygythiad Gwe-rwydo Sophos i anfon efelychiad gwe-rwydo i holl staff Met Caerdydd. Hysbysodd yr e-bost staff am system AD newydd a gofynnodd iddynt ddilyn dolen i actifadu eu cyfrif. Arweiniodd y cyswllt at yr hyfforddiant, ond mewn ymosodiad go iawn byddai'n arwain at safle maleisus a fyddai'n ceisio cynaeafu manylion personol neu enwau defnyddwyr a chyfrineiriau.
Roedd yr e-bost yn nodweddiadol o ymosodiad go iawn, yn yr ystyr ei fod yn cynnwys:
- Galwad frys i weithredu - “rhaid i chi actifadu eich cyfrif yn ystod y saith niwrnod nesaf”.
- Dolen amheus - byddai hofran eich llygoden dros y ddolen wedi datgelu dolen amheus.
- Sillafu a gramadeg gwael - nid yw'r e-bost wedi'i ysgrifennu'n dda ac mae'n cynnwys camgymeriadau sillafu.
- Parth e-bost ddim yn cyfateb i’r un gywir - parth yr anfonwr oedd myhr-portal.site, nid yw'n barth Met Caerdydd.
Mewn gwirionedd, ymosodiad gwe-drywanu oedd yr e-bost. Gwe-rwydo wedi'i dargedu yw gwe-drywanu; mae ymosodwyr yn defnyddio nodweddion y derbynnydd a/neu'r sefydliad i ymddangos yn fwy dilys. Yn yr efelychiad hwn fe'ch cyfeiriwyd atoch gyda’ch enw cyntaf a chyfeiriodd yr e-bost at uwchraddiad sydd ar ddod o'r system AD, a fydd yn digwydd yn ddiweddarach eleni mewn gwirionedd.
Beth ddylwn i fod wedi'i wneud?
Os credwch eich bod wedi derbyn e-bost gwe-rwydo neu gwe-drywanu:
- PEIDIWCH â chlicio dolenni yn yr e-bost neu agor atodiadau
- RIPORTIWCH YR E-BOST i'r Ddesg Gymorth TG
Ffordd gyfleus i'w riportio i'r Ddesg Gymorth yw defnyddio'r botwn Report Message sydd ar gael yn Outlook.
Mae bod yn amheus yn peth doeth, os nad ydych yn siŵr am e-bost, rhowch wybod i ni amdani.
Pam ydych chi'n ceisio ein twyllo?
Nid eich twyllo neu eich dal chi allan oedd ein bwriad, ond yn hytrach codi ymwybyddiaeth a cydnerthedd i ymosodiadau gwe-rwydo a gwella seiberddiogelwch Met Caerdydd.
Mae efelychiadau gwe-rwydo a hyfforddiant cysylltiedig wedi profi i godi ymwybyddiaeth o seiberddiogelwch (Chatchalermpun a Daengsi, 2021), cyfrannu at “feithrin ymwrthedd defnyddiwr i ymosodiadau gwe-rwydo” (Jansson and Solms, 2013) gyda Gordon et al. (2019) sy'n awgrymu bod yr efelychiad yn unig (heb yr hyfforddiant) yn lleihau cyfraddau clicio ac felly'r bygythiad i'r sefydliad.
Sut aeth yr efelychiad ym Met Caerdydd?
Byddwn yn rhoi gwybod i chi am ganlyniadau efelychiad Met Caerdydd, e.e. faint o bobl a gliciodd y ddolen, faint a adroddodd y neges yn hwyrach eleni, felly cadwch lygad ar borth Insite am erthygl.
Cyfeirnodau
Chatchalermpun, Surachai a Daengsi, Therdpong, 2021. Improving cybersecurity awareness using phishing attack simulation. IOP conference series. Materials Science and Engineering, 1088(1), t.12015.
Gordon, William J et al., 2019. Evaluation of a mandatory phishing training program for high-risk employees at a US healthcare system. Journal of the American Medical Informatics Association : JAMIA, 26(6), tt.547–552.
Jansson, K a von Solms, R, 2013. Phishing for phishing awareness. Behaviour & information technology, 32(6), tt.584–593. |