Saturs
- 01. Sociālā inženierija
- 02. Zemo tehnoloģiju iekšējie draudi
- 03. Ēsšana
- 04. Abonēšanas pogas
- Iegūstiet savu biļeti Generate New York tūlīt
Lai gan ir taisnība, ka uzbrucēji visu laiku attīsta sarežģītākus vīrusus un ļaunprātīgu programmatūru, kas arvien biežāk tiek aizmirsts, lielākos drošības draudus uzņēmumiem patiesībā rada nevis programmatūra, bet gan paši cilvēki.
Uzņēmumi var izveidot visdrošāko infrastruktūru pasaulē, lai pasargātu savus datus no ārējiem draudiem, izmantojot tādus risinājumus kā ugunsmūri, VPN un drošas vārtejas, taču tas nemazina ļaunprātīgu vai citu draudu risku pašā organizācijā. Šis zemo tehnoloģiju uzlaušanas veids pēdējos gados ir kļuvis arvien populārāks, un labi pazīstami zīmoli kļūst par krāpnieku upuriem, sazinoties ar finanšu finanšu administratoriem, pieprasot līdzekļus pēc nelielas LinkedIn izmeklēšanas.
- Labākie VPN 2019. gadā
Turklāt, tā kā internets veido tik lielu daļu cilvēku ikdienas rutīnas un daudzi darbinieki piesakās personīgajos kontos darba vietā, ir svarīgi atcerēties, ka attiecībā uz drošību tiešsaistē pastāv arī krustojums starp personas datiem un jūsu uzņēmuma informāciju. Ja hakeris iegūst jūsu personas datus, viņi var piekļūt arī jūsu profesionālajiem datiem.
Šeit ir četri veidi, kā hakeri var apiet jūsu drošību un nozagt jūsu datus.
01. Sociālā inženierija
Jebkuru cilvēku vadītu kiberdrošības draudu ģenēze ir sociālā inženierija; darbība, kas saistīta ar personas konfidenciālu datu apstrādi. Protams, hakeri var inficēt tīklu ar ļaunprātīgu programmatūru un iekļūt pa aizmugurējām durvīm, vai vēl labāk, viņi vienkārši var iemānīt darbinieku izdot paroli un staigāt pa priekšu, neceļot trauksmes zvani. Kad hakerim ir personas parole, var maz ko darīt, lai viņu apturētu, jo šķiet, ka viņu darbība ir atļauta.
Gadu gaitā sociālās inženierijas metodēm bija jākļūst sarežģītākām, jo vidusmēra lietotājs ir kļuvis taupīgāks par hakeru tradicionālajām metodēm. Tāpēc hakeriem tagad ir jābūt gudrākiem datu iegūšanas veidos. Biznesa izpratnē kaut kas tik vienkāršs kā lietotāja mānīšana, lai viņš noklikšķinātu uz ļaunprātīgas saites, var dot uzbrucējam piekļuvi visam tīklam. Cilvēki zina, ka ignorē e-pastus no svešiniekiem, kuriem ļoti nepieciešama bankas informācija, taču, kad šo e-pastu saņem kāds no jums pazīstamiem, jūs, visticamāk, nenoklikšķināsiet uz “Atzīmēt kā mēstuli”.
Hakeri var viegli pārlūkot potenciālā mērķa Facebook kontu, lai atrastu upura drauga vārdu. Tad viņi var nosūtīt upurim e-pastu, uzdodoties par šo draugu, un cietušais, visticamāk, to nokritīs, ja domās, ka tas nāk no kāda pazīstama cilvēka.
PADOMS: Runājot par sociālo mediju tēmu, esiet piesardzīgs ar personisko informāciju, kuru izsniedzat. Kas var šķist nekaitīga spēle, kur ‘tavs repa vārds ir tavs pirmā mājdzīvnieka vārds, kā arī tavas mātes pirmslaulības uzvārds’, faktiski tas varētu būt pikšķerēšanas blēdis, ko izmanto, lai uzzinātu atbildes uz bieži sastopamajiem konta atkopšanas jautājumiem.
02. Zemo tehnoloģiju iekšējie draudi
Bezsejas ienaidnieka vietā lielāko daļu iekšējo kiberdrošības draudu faktiski rada pašreizējie vai bijušie darbinieki. Šie darbinieki var iegūt nesankcionētu piekļuvi konfidenciāliem datiem vai inficēt tīklu ar kaut ko ļaunprātīgu. Šiem iekšējiem draudiem var būt dažādas formas:
- Plecu sērfošana
“Sērfošana ar pleciem” ir vienkārša rīcība, kad viena persona novēro, kā kāds ieraksta savu paroli. Tam ir precedents. Neapmierināts vai drīzumā aiziet darbinieks varētu nejauši stāvēt aiz rakstāmgalda un novērot, kā citi darbinieki raksta savas paroles. Šī vienkāršā darbība var izraisīt nesankcionētu piekļuvi, kas var būt katastrofāla uzņēmumam. - Paroles Post-it piezīmēs
Pat vieglāk nekā iegaumēt paroli, kas novērota pār plecu, iekšējie draudi var rasties no tā, ka darbinieki pieraksta paroles un pielīmē tās pie datora monitoriem - jā, tas tiešām notiek. Acīmredzot tāpēc kādam ir ārkārtīgi viegli iegūt pieteikšanās datus, kurus pēc tam varētu izmantot, lai apkrāptu vai inficētu uzņēmumu. Labā ziņa ir tā, ka šo neuzmanību ir viegli novērst. - Īkšķi tiek ievietoti datoros
Darbinieku mašīnas var inficēt ar keylogging programmatūru, kas ielādēta vienkāršā USB diskā. Uzbrucējam vienkārši vajadzētu ielīst USB disku datora aizmugurē, un viņam būtu piekļuve lietotāja personiskajai informācijai un parolēm.
PADOMS: Lai izvairītos no šiem iekšējiem draudiem, uzņēmumiem vajadzētu apmācīt savus darbiniekus ar drošības kursiem un saziņu par to, cik svarīgi ir būt modriem ar savām parolēm. Paroļu pārvaldnieka programmatūra, piemēram, KeePass vai Dashlane, var droši glabāt paroles, tāpēc jums tās visas nav jāatceras. Varat arī bloķēt darbstaciju USB pieslēgvietas, lai nepieļautu neatļautu ierīču piekļuvi caur USB. Šī pieeja tomēr ir rūpīgi jāapsver, jo tā padara katru darbstaciju daudz mazāk elastīgu un palielina IT nodaļas darba slodzi, jo pirms katras jaunās USB ierīces pirms tās izmantošanas būs nepieciešama apstiprināšana.
03. Ēsšana
Līdzīgi kā sociālajā inženierijā, ēsmas metodes izkrāpj lietotājus, izmantojot informāciju, kas iegūta par personu. Piemēram, hakeris varētu pārbaudīt sociālo mediju vietnes un uzzināt, ka mērķis ir ieinteresēts Troņu spēlē. Šīs zināšanas dod uzbrucējam nelielu ēsmu. Vispārīga e-pasta vietā uzbrucējs mērķim varēja nosūtīt e-pasta ziņojumu ar tekstu “Noklikšķiniet šeit, lai skatītos jaunāko Troņu spēles epizodi”. Lietotājs, visticamāk, noklikšķinās uz pogas, kas, protams, patiesībā ir saite uz ļaunprātīgu programmatūru, nevis uz jaunāko Troņu spēles epizodi.
Līdzīgi, tik daudz informācijas, kas tiek publiski iekļauta LinkedIn, uzbrucējiem var būt arī viegli izpētīt ziņošanas struktūru, mērķēt uz junioru, kurš uzdodas par izpilddirektoru, un pieprasīt naudas pārskaitījumu uz noteiktu kontu. Lai cik tas liktos, šajā notikumā ir labi zināmi gadījumi. Noklausīšanās ir līdzīga metode, kad uzbrucēji klausās biznesa sarunas kafejnīcās, sabiedriskajā transportā un pat kā piegādātājs biroja vidē.
04. Abonēšanas pogas
Vēl viens veids, kā uzbrucēji maldina lietotājus lejupielādēt ļaunprātīgu programmatūru no e-pastiem, ir pogu anulēšana. Saskaņā ar likumu katrā mārketinga e-pastā ir jābūt abonēšanas saitei, lai patērētāji varētu atteikties no saziņas saņemšanas. Uzbrucējs varēja nosūtīt atkārtotus e-pasta ziņojumus lietotājam, kas izskatās kā apģērbu firmas (vai līdzīga) īpašie mārketinga piedāvājumi. E-pasta ziņojumi izskatās pietiekami nekaitīgi, taču, ja lietotājs nav ieinteresēts uzņēmumā vai uzskata, ka e-pasta ziņojumi ir pārāk bieži, viņi var nospiest atteikšanās pogu, lai pārtrauktu e-pastu saņemšanu. Izņemot šī hakera pikšķerēšanas e-pastu, noklikšķinot uz pogas Atcelt abonēšanu, ļaunprātīgā programmatūra faktiski tiek lejupielādēta.
PADOMS: Pareizi konfigurētam surogātpasta filtram ir jāaptur šie e-pasta ziņojumi, taču atkal ir ieteicams saglabāt modrību.
Galvenais atņemšanas veids ir saglabāt modrību un atjaunināt to metožu klāstu, kuras hakeri var izmantot, lai nozagtu jūsu datus. Izglītojiet savus darbiniekus, lai viņi būtu informēti par šajā rakstā uzskaitītajām metodēm, kuras var izmantot satura iegūšanai, piemēram, viņu pieteikšanās datus vai personas datus. Mudiniet darbiniekus iztaujāt ikvienu, kuru viņi neatpazīst, un apzināties ikvienu, kurš klausās sarunas vai sērfošanu plecos.
Tomēr, to visu atstājot malā, ir vērts atcerēties, ka internets joprojām ir pārliecinoši pozitīva un radoša vieta, kur būt, un pasaule par to ir ievērojami bagātāka. Ja visi esat modri, mēs visi varam turpināt izmantot tā priekšrocības.
Šis raksts sākotnēji tika publicēts 303 tīkls, pasaulē visvairāk pārdotais žurnāls tīmekļa dizaineriem un izstrādātājiem. Pērciet 303. numuru vai abonēt šeit.
Iegūstiet savu biļeti Generate New York tūlīt
Nozares labākais tīmekļa dizaina pasākumsĢenerēt Ņujorkuir atpakaļ. Laikā no 2018. gada 25. līdz 27. aprīlim galvenie runātāji ietver SuperFriendly Dan Mall, tīmekļa animācijas konsultantu Val Head, pilnas kaudzes JavaScript izstrādātāju Wes Bos un daudz ko citu.
Ir arī visa diena semināru un vērtīgas sadarbības iespējas - nepalaidiet garām to.Iegūstiet savu ģenerēšanas biļeti tūlīt.
