Reklāma

E-pasts ir izplatīts uzbrukumu vektors, ko izmanto krāpnieki un datoru noziedznieki. Bet, ja jūs domājat, ka tas tika izmantots tikai ļaunprātīgas programmatūras, pikšķerēšanas un Nigērijas avansa maksas izkrāpšana Vai Nigērijas krāpšanās e-pasts slēpj briesmīgu noslēpumu? [Atzinums]Citu dienu manā iesūtnē iekrīt vēl viens surogātpasts, kas kaut kā darbojas ap Windows Live surogātpasta filtru, kas dara tik labu darbu, lai aizsargātu manas acis no visiem citiem nelūgtajiem ... Lasīt vairāk , padomā vēlreiz. Pastāv jauna e-pasta adresēta krāpniecība, kurā uzbrucējs izliekas par jūsu priekšnieku un liek jums pārskaitīt tūkstošiem dolāru uzņēmuma līdzekļu uz viņu kontrolēto bankas kontu.

To sauc par izpilddirektora krāpšanu jeb “Insider Spoofing”.

Izpratne par uzbrukumu

Tātad, kā darbojas uzbrukums? Nu, lai uzbrucējs to veiksmīgi novilktu, viņiem jāzina daudz informācijas par uzņēmumu, uz kuru viņi mērķē.

Liela daļa šīs informācijas ir par uzņēmuma vai iestādes hierarhisko struktūru, uz kuru tie attiecas. Viņiem tas būs jāzina

instagram viewer
PVO viņi uzdodas par citiem. Lai gan šāda veida krāpšana tiek dēvēta par “izpilddirektora krāpšanu”, patiesībā tā ir vērsta uz mērķi kāds ar vecāko lomu - ikviens, kurš spētu uzsākt maksājumus. Viņiem būs jāzina viņu vārds un e-pasta adrese. Tas arī palīdzētu uzzināt viņu grafiku, kā arī ceļojuma vai atvaļinājuma laikā.

Izpilddirektors

Visbeidzot, viņiem jāzina, kurš organizācijā var veikt naudas pārskaitījumus, piemēram, grāmatvedis vai kāds no finanšu nodaļas darbiniekiem.

Lielu daļu no šīs informācijas var brīvi atrast attiecīgā uzņēmuma vietnēs. Daudziem vidējiem un maziem uzņēmumiem ir lapas “Par mums”, kurās ir uzskaitīti darbinieki, viņu lomas un atbildība, kā arī kontaktinformācija.

Nedaudz grūtāk ir atrast kādu personu grafikus. Lielākā daļa cilvēku savu kalendāru nepublicē tiešsaistē. Tomēr daudzi cilvēki publisko savas kustības sociālo mediju vietnēs, piemēram, Twitter, Facebook un Bars (agrāk Foursquare) Foursquare tiek palaists kā atklāšanas rīks, pamatojoties uz jūsu gaumiFoursquare aizsāka mobilo reģistrēšanos; uz atrašanās vietu balstīts statusa atjauninājums, kas pasaulei pateica tieši to, kur atradāties un kāpēc - tātad pāreja uz tīru atklāšanas rīku ir solis uz priekšu? Lasīt vairāk . Uzbrucējam būs tikai jāgaida, līdz viņš pamet biroju, un viņš var streikot.

Es esmu St George's Market - @ stgeorgesbt1 Belfāstā, Co Antrim https://t.co/JehKXuBJsc

- Endrjū Bolters (@Bolster) 2016. gada 17. janvāris

Kad uzbrucējs būs ieguvis katru mīklu, kas nepieciešama uzbrukuma veikšanai, viņi pa e-pastu nosūtīs finansējumu darbinieks, kurš apgalvo, ka ir izpilddirektors, un pieprasa, lai viņš sāk naudas pārskaitījumu uz viņa bankas kontu kontrole.

Lai e-pasts darbotos, tam ir jāizskatās īsts. Viņi vai nu izmantos e-pasta kontu, kas izskatās “likumīgs” vai ticams (piemēram, vārds / uzvā[email protected]), vai arī, lai “izkrāptu” izpilddirektora patieso e-pastu. Šeit tiks nosūtīts e-pasts ar modificētām galvenēm, tāpēc laukā “No:” ir izpilddirektora oriģinālais e-pasts. Daži motivēti uzbrucēji mēģinās panākt, lai izpilddirektors viņus sūta pa e-pastu, lai viņi varētu dublēt sava e-pasta stilu un estētiku.

Uzbrucējs cerēs, ka finanšu darbinieks tiks pakļauts spiedienam uzsākt pārskaitījumu, vispirms nepārbaudot pie mērķa izpildvaras. Šī likme bieži atmaksājas, dažiem uzņēmumiem negribot izmaksājot simtiem tūkstošu dolāru. Viens uzņēmums Francijā bija profilēja BBC zaudēja 100 000 eiro. Uzbrucēji mēģināja iegūt 500 000, bet visus maksājumus, izņemot vienu, bloķēja banka, kurai bija aizdomas par krāpšanu.

Kā darbojas sociālās inženierijas uzbrukumi

Tradicionālie datoru drošības draudi parasti ir tehnoloģiski. Tā rezultātā jūs varat izmantot tehnoloģiskus pasākumus, lai uzvarētu šos uzbrukumus. Ja esat inficējies ar ļaunprātīgu programmatūru, varat instalēt pretvīrusu programmu. Ja kāds ir mēģinājis uzlauzt jūsu tīmekļa serveri, jūs varat nolīgt kādu, lai veiktu iespiešanās testu un ieteiktu, kā jūs varat “nocietināt” mašīnu pret citiem uzbrukumiem.

Sociālās inženierijas uzbrukumi Kas ir sociālā inženierija? [MakeUseOf skaidrojumi]Jūs varat instalēt nozares spēcīgāko un dārgāko ugunsmūri. Varat izglītot darbiniekus par pamata drošības procedūrām un spēcīgu paroļu izvēles nozīmi. Jūs pat varat bloķēt servera telpu, bet kā ... Lasīt vairāk - kuru piemērs ir krāpšana izpilddirektorā - to ir daudz grūtāk mazināt, jo viņi neuzbrūk sistēmām vai aparatūrai. Viņi uzbrūk cilvēkiem. Tā vietā, lai izmantotu koda ievainojamības, viņi izmanto cilvēka dabas priekšrocības un mūsu instinktīvo bioloģisko nepieciešamību uzticēties citiem cilvēkiem. Viens no interesantākajiem šī uzbrukuma skaidrojumiem tika veikts DEFCON konferencē 2013. gadā.

Daži no visžokļākos skaudrajiem hakiem bija sociālās inženierijas produkts.

Bijušais vadu žurnālists Mat Honan 2012. gadā uzbruka apņēmīgam kibernoziedznieku kadram, kurš bija nolēmis izjaukt viņa tiešsaistes dzīvi. Izmantojot sociālās inženierijas taktiku, viņi spēja pārliecināt Amazon un Apple sniegt viņiem informāciju, kas nepieciešama attālinātai tīrīšanai viņa MacBook Air un iPhone, izdzēsiet viņa e-pasta kontu un konfiscējiet viņa ietekmīgo Twitter kontu, lai publicētu rasu un homofobijas epiteti. Jūs šeit var lasīt atdzesējošo stāstu.

Sociālās inženierijas uzbrukumi gandrīz nav jauns jauninājums. Hakeri tos izmanto gadu desmitiem ilgi, lai gadu desmitiem piekļūtu sistēmām, ēkām un informācijai. Viens no bēdīgi slavenākajiem sociālajiem inženieriem ir Kevins Mitniks, kurš 90. gadu vidū gadus pavadīja slēpjoties no policijas, pēc virknes datoru noziegumu izdarīšanas. Viņu apcietināja uz pieciem gadiem, un līdz 2003. gadam viņam tika aizliegts izmantot datoru. Hakeriem ejot, Mitniks bija tik tuvu, lai jūs varētu nokļūt kam ir rockstar statuss 10 no pasaules slavenākajiem un labākajiem hakeriem (un viņu aizraujošie stāsti)Balto cepuru un melno cepuru hakeri. Šeit ir labākie un slavenākie hakeri vēsturē un tas, ko viņi dara šodien. Lasīt vairāk . Kad viņam beidzot ļāva izmantot internetu, tas tika demonstrēts Leo Laporte televīzijā Ekrāna tapetes.

Galu galā viņš gāja likumīgi. Tagad viņš vada pats savu datoru drošības konsultāciju firmu un ir uzrakstījis vairākas grāmatas par sociālo inženieriju un hakeru veidošanu. Varbūt vispopulārākais ir “Maldināšanas māksla”. Tā būtībā ir noveļu antoloģija, kurā aplūkots, kā un kā novērst sociālās inženierijas uzbrukumus pasargājiet sevi no viņiem Kā pasargāt sevi no sociālās inženierijas uzbrukumiemPagājušajā nedēļā mēs apskatījām dažus galvenos sociālās inženierijas draudus, kas jums, jūsu uzņēmumam vai darbiniekiem jānovērš. Īsumā, sociālā inženierija ir līdzīga ... Lasīt vairāk , un to var iegādāties vietnē Amazon.

Ko var darīt par izpilddirektora krāpšanu?

Tātad, atgādināsim. Mēs zinām, ka izpilddirektors Krāpšana ir šausmīga. Mēs zinām, ka tas daudziem uzņēmumiem maksā daudz naudas. Mēs zinām, ka to ir neticami grūti mazināt, jo tas ir uzbrukums cilvēkiem, nevis datoriem. Pēdējais, kas jāatstāj, ir tas, kā mēs cīnāmies pret to.

To ir vieglāk pateikt nekā izdarīt. Ja esat darbinieks un esat saņēmis aizdomīgu maksājuma pieprasījumu no darba devēja vai priekšnieka, iespējams, vēlēsities reģistrēties pie viņiem (izmantojot citu metodi, nevis e-pastu), lai redzētu, vai tas ir īsts. Viņi varētu jūs mazliet kaitināt, ka jūs tos uztraucat, bet viņi, iespējams, būs vairāk kaitina, ja jūs galu galā nosūtījāt 100 000 ASV dolāru uzņēmuma līdzekļus uz ārvalstu bankas kontu.

AnonDollar

Ir tehnoloģiski risinājumi, kurus var arī izmantot. Microsoft gaidāmais Office 365 atjauninājums saturēs dažas aizsardzības pret šāda veida uzbrukumiem, pārbaudot katra e-pasta avotu, lai pārliecinātos, vai tas nāk no uzticama kontakta. Microsoft uzskata, ka ir panākts 500% uzlabojums, kā Office 365 identificē viltotus vai viltus e-pastus.

Nebēdājies

Visuzticamākais veids, kā aizsargāties pret šiem uzbrukumiem, ir jābūt skeptiskam. Kad saņemat e-pastu, kurā tiek lūgts veikt lielu naudas pārskaitījumu, piezvaniet boss, lai pārliecinātos, vai tas ir likumīgi. Ja jums ir kādas iespējas ietekmēt IT nodaļu, apsveriet iespēju to lūgt pāriet uz Office 365 Ievads Office 365: vai jums vajadzētu pirkt jauno Office biznesa modeli?Office 365 ir abonēšanas pakete, kas piedāvā piekļuvi jaunākajam darbvirsmas Office komplektam, Office Online, mākoņa krātuvei un augstākās klases mobilajām lietotnēm. Vai Office 365 nodrošina pietiekamu vērtību, lai būtu naudas vērts? Lasīt vairāk , kas vada paketi cīņā pret izpilddirektoru krāpšanu.

Es noteikti ceru, ka nē, bet vai jūs kādreiz esat kļuvis par naudas motivēta e-pasta krāpniecības upuri? Ja tā, es gribu dzirdēt par to. Drop komentāru zemāk, un man pateikt, kas samazinājās.

Foto kredīti: AnonDollar (jūsu Anon), Migels Izklaides izpilddirektors (Jorge)

Metjū Hjūss ir programmatūras izstrādātājs un rakstnieks no Liverpūles, Anglijas. Viņš reti atrodams bez tasītes spēcīgas melnas kafijas rokā un absolūti dievina savu Macbook Pro un kameru. Jūs varat lasīt viņa emuāru vietnē http://www.matthewhughes.co.uk un seko viņam līdzi twitter vietnē @matthewhughes.