taktyka socjotechniczna
Apple, Ludzie, Socjotechnika

Pięć taktyk socjotechnicznych

Pięć sztuczek i taktyk socjotechnicznych, na które wciąż wchodzą pracownicy

Wyszkoliłeś ich. Wdrożyłeś symulowane testy phishingowe. Niezliczoną ilość razy przypominałeś swoim pracownikom plakaty, gry i e-maile o unikaniu oszustw związanych z wyłudzaniem informacji. Mimo to wciąż spadają na te same sztuczki, o których ostrzegano ich od lat. Wystarczy doprowadzić zespoły bezpieczeństwa do szaleństwa.

Według raportu Verizon z 2016 r. W sprawie naruszenia danych , 30% wiadomości phishingowych zostało otwartych przez zamierzonego celu, a około 12% adresatów kliknęło złośliwy załącznik lub łącze, które umożliwiło atakowi powodzenie. Rok wcześniej tylko 23 procent użytkowników otworzyło wiadomość e-mail, co sugeruje, że pracownicy coraz gorzej identyfikują wiadomości phishingowe – lub złoczyńcy znajdują bardziej kreatywne sposoby na przechytrzenie użytkowników.

Konsekwencje naruszenia bezpieczeństwa spowodowane błędem ludzkim są większe niż kiedykolwiek. Po pierwsze, punktem zwrotnym dla oprogramowania ransomware nr 1 są ataki phishingowe, mówi Stu Sjouwerman, założyciel i dyrektor generalny KnowBe4 . Co więcej, garść konkurujących cyber mafii „rzuca coraz większe sieci”, dodaje więcej oszustw do większej liczby użytkowników, aby przyciągnąć więcej trafień, mówi.

Jedna   mafia cyber- ransomware była w stanie zebrać 121 milionów dolarów na płatności ransomware w pierwszej połowie tego roku, zarabiając 94 miliony dolarów po wydatkach, zgodnie z raportem zagrożeń McAfee Labs z września 2016 r. Łączne oprogramowanie ransomware wzrosło o 128 procent w pierwszej połowie 2016 r. W porównaniu z tym samym okresem ubiegłego roku. Zarejestrowano 1,3 miliona nowych próbek oprogramowania ransomware, co jest najwyższym wynikiem od czasu, gdy McAfee zaczął je śledzić.

Jedno spojrzenie na pięć największych oszustw socjotechnicznych, na które wciąż zakochują się pracownicy, i nie jest trudno dostrzec ich atrakcyjność. Sjouwerman nazywa ich siedmioma śmiertelnymi wadami inżynierii społecznej, którymi dzieli się większość pracowników: ciekawość, uprzejmość, łatwowierność, chciwość, bezmyślność, nieśmiałość i apatia.

Natura ludzka może być odpowiedzialna za wiele naruszeń bezpieczeństwa, ale istnieją sposoby, aby pomóc pracownikom pozbyć się złych nawyków i uniknąć tych oszustw.

1. „Cóż, wyglądało to oficjalnie”

Ankieta przeprowadzona przez Wombat Technologies wykazała, że ​​pracownicy byli bardziej ostrożni, otrzymując e-maile „konsumenckie” dotyczące takich tematów, jak powiadomienia z kart upominkowych lub konta w sieciach społecznościowych, niż z pozornie e-mailami związanymi z pracą. Zgodnie z raportem wiersz tematu, który brzmiał „pilna prośba o zmianę hasła e-mail”, miał średni współczynnik kliknięć wynoszący 28 procent.

„Większość ludzi nie przyjrzy się tak naprawdę, aby dowiedzieć się, skąd pochodzi ten e-mail. Klikają go, a ich komputer może zostać przejęty przez kogoś lub zainfekowany” – mówi Ronald Nutter, ekspert ds. Bezpieczeństwa online i autor książki The Hackers Are Wkrótce, jak bezpiecznie surfować po Internecie .

„Zwłaszcza, gdy wymieniasz pliki z podwykonawcami lub partnerami w projekcie, naprawdę powinieneś używać bezpiecznego systemu przesyłania plików, abyś wiedział, skąd pochodzi plik i że został zweryfikowany”. Ostrzega również odbiorców przed wszelkimi plikami, które proszą użytkownika o włączenie makr, co może doprowadzić do przejęcia systemu.

Dodał, że w przypadku braku bezpiecznego systemu przesyłania plików użytkownicy powinni najechać kursorem na adresy e-mail i łącza, zanim klikną, aby sprawdzić, czy nadawca i typ pliku są prawidłowe.

2. „Przegapiłeś pocztę głosową!”

Oszuści próbują instalować złośliwe oprogramowanie za pośrednictwem wiadomości e-mail zaprojektowanych tak, aby wyglądały jak wewnętrzne wiadomości usługi poczty głosowej od 2014 r. Firmy często mają skonfigurowane systemy do przekazywania plików audio i wiadomości pracownikom, co jest wygodne, ale trudne do rozpoznania przez użytkowników jako oszustwo phishingowe.

Dzisiaj „Poczta głosowa jest sfałszowaną pocztą głosową Microsoft lub Cisco” – mówi Sjouwerman. „Idą do skrzynki odbiorczej i jest poczta głosowa, ale przeoczyli ją, a następnie otworzyli załącznik. [Spoofery] mogą złapać przy tym praktycznie każdego ”, a nie tylko dział księgowości, do którego wysyłane są oszustwa związane z fakturami, dodaje.

3. Darmowe rzeczy

Większość pracowników nie może się oprzeć darmowym produktom – od pizzy po bilety na imprezy i pobieranie oprogramowania – i klikną dowolny link, aby je zdobyć, twierdzą eksperci phishingowi.

„Nic nie jest naprawdę nigdy darmowe” – mówi Nutter. „Zaczynamy ponownie widzieć, gdzie pojawi się link z napisem„ Oto bezpłatne oprogramowanie ”. Może to być coś, co jest już dostępne za darmo, ale wysyłają cię za pośrednictwem swojej witryny internetowej, co oznacza, że ​​możesz zostać zainfekowany lub zainfekowane oprogramowanie. ”

Dodając do tego niebezpieczeństwo: „Wiele z tych witryn do pobierania zawiera [oprogramowanie], a także musisz pobrać coś, czego nawet nie chcesz”, dodaje Nutter. „Jeśli zagraża to twojej konfiguracji bezpieczeństwa, właśnie otworzyłeś pudełko Pandory.”

Zaleca najpierw sprawdzić, czy organizacja ma już licencję na oprogramowanie lub czy jest to naprawdę wolne oprogramowanie, a następnie przejść bezpośrednio do strony internetowej producenta oprogramowania, aby pobrać.

4. Fałszywe zaproszenia na LinkedIn i Inmail

Jednym z często powtarzanych oszustw, które widzi Proofpoint, są fałszywe konta pracowników na LinkedIn, które są wykorzystywane do zbierania informacji, mówi Devin Redmond, wiceprezes i dyrektor generalny ds. Bezpieczeństwa cyfrowego i zgodności.

Na przykład ktoś tworzy fałszywe konto LinkedIn udając znanego członka zespołu projektowego, a nawet kierownika firmy. „Wygląda na bardzo uzasadnione i ta osoba pracuje dla organizacji. [Oszust] łączy się z tobą, akceptujesz, a oni zaczynają się z tobą komunikować ”, mówi Redmond. „Jako pracownik, jeśli jest to konto kierownicze, z którym jesteś powiązany, jesteś szczęśliwy i podekscytowany, że ten dyrektor komunikuje się z tobą, i nieświadomie zaczynasz przekazywać informacje poufne lub prywatne organizacji.” Tymczasem informacje są wykorzystywane jako szersza kampania w celu zebrania poufnych informacji o firmie.

Redmond sugeruje, że jeśli kolega poprosi o połączenie w dowolnej sieci społecznościowej, wyślij e-mailem swój prawidłowy adres służbowy i zapytaj, czy poprosił o połączenie z tobą. „To łatwy sposób na uniknięcie gorącej wody” – dodaje.

5. Surfowanie w mediach społecznościowych w pracy

Pracownicy surfujący na Facebooku, Twitterze i wielu innych stronach w mediach społecznościowych mogą potencjalnie otworzyć drzwi dla cyberprzestępców, ponieważ oszustwa wymagają dla nich mniej pracy, a także jest to stosunkowo nowy obszar szkoleń uświadamiających dla pracowników.

„Pomyśl o tym ROI z perspektywy złych aktorów” – mówi Redmond. „Zamiast wysyłać 1000 e-maili (aby uzyskać jedno trafienie), mogę umieścić je na mojej stronie za pomocą jednego wpisu”.

Cyberprzestępczość w mediach społecznościowych jest nadal tematem, który pracownicy rozumieją najmniej – przy czym według Wombata średnio 31% pytań zostało pominiętych dotyczących świadomości bezpieczeństwa na ten temat. Jednak 76 procent ankietowanych organizacji umożliwia pracownikom korzystanie z mediów społecznościowych na urządzeniach do pracy. Naraża to organizacje na znaczne ryzyko, biorąc pod uwagę brak zrozumienia w tym obszarze.

„Spekuluję, dlaczego organizacje tak źle sobie radzą, ponieważ wciąż jest stosunkowo stosunkowo nowy”, mówi dyrektor ds. Technologii Trevor Hawthorn. „Widzimy także młodszą siłę roboczą. W branży panuje przekonanie, że ci pracownicy po prostu klikną na cokolwiek. Myślę, że coś w tym jest. ”

Leave a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Instagram