Skelbimas

El. Paštas yra dažnas išpuolių vektorius, kurį naudoja sukčiai ir kompiuteriniai nusikaltėliai. Bet jei manytumėte, kad jis buvo naudojamas tik kenkėjiškoms programoms, sukčiavimui ir sukčiavimui Nigerijos išankstinio mokesčio sukčiavimo atvejai Ar Nigerijos sukčių laiškai slepia siaubingą paslaptį? [Nuomonė]Kita diena, kitas šlamšto laiškas patenka į mano pašto dėžutę, kažkaip pakeisdamas „Windows Live“ šlamšto filtrą, kuris daro tokį gerą darbą, kad apsaugotų mano akis nuo visų kitų neprašytų ... Skaityti daugiau , pagalvok dar kartą. Yra naujas el. Pašto sukčiavimas, kai užpuolikas apsimeta jūsų viršininku ir privers jus pervesti tūkstančius dolerių įmonės lėšų į jų valdomą banko sąskaitą.

Tai vadinama generalinio direktoriaus sukčiavimu arba „Insider Spoofing“.

Supratimas apie puolimą

Taigi, kaip veikia ataka? Na, kad užpuolikas sėkmingai tai pašalintų, jie turi žinoti daug informacijos apie įmonę, į kurią nukreipia.

Didžioji šios informacijos dalis yra apie įmonės ar įstaigos, kuriai jie taiko, hierarchinę struktūrą. Jie turės žinoti

instagram viewer
PSO jie imponuos. Nors šis sukčiavimo būdas žinomas kaip „generalinio direktoriaus sukčiavimas“, iš tikrųjų jis skirtas bet kas su vyresniojo vaidmeniu - bet kas, kas galėtų inicijuoti mokėjimus. Jie turės žinoti savo vardą ir el. Pašto adresą. Tai taip pat padėtų žinoti jų tvarkaraštį ir kai jie keliauja ar atostogauja.

Generalinis direktorius

Galiausiai jie turi žinoti, kas organizacijoje gali išduoti pinigų pervedimus, pavyzdžiui, buhalteris ar kažkas, dirbantis finansų skyriuje.

Didžiąją dalį šios informacijos galima laisvai rasti aptariamos įmonės tinklalapiuose. Daugelis vidutinių ir mažų įmonių turi „Apie mus“ puslapius, kuriuose išvardijami darbuotojai, jų vaidmenys ir atsakomybė bei kontaktinė informacija.

Surasti kažkieno tvarkaraščius gali būti šiek tiek sunkiau. Didžioji dauguma žmonių savo kalendoriaus neskelbia internete. Tačiau daugelis žmonių viešina savo judėjimą socialinės žiniasklaidos svetainėse, tokiose kaip Twitter, Facebook ir Spiečius (buvęs „Foursquare“) „Foursquare“ paleidžiamas kaip atradimo įrankis pagal jūsų skonį„Foursquare“ pradininkas pradėjo mobilųjį registraciją; vietos nustatymu pagrįstas būsenos atnaujinimas, kuris tiksliai pasakė pasauliui, kur buvai ir kodėl - taigi ar perėjimas prie gryno atradimo įrankio yra žingsnis į priekį? Skaityti daugiau . Užpuolikui tereikės laukti, kol jie išeis iš biuro, ir jie galės streikuoti.

Aš esu St George's Market - @ stgeorgesbt1 Belfaste, Co Antrim https://t.co/JehKXuBJsc

- Andrew Bolsteris (@Bolster) 2016 m. Sausio 17 d

Kai užpuolikas turės kiekvieną dėlionės elementą, reikalingą atakai įvykdyti, jie išsiųs finansinį laišką el. Paštu darbuotojas, teigiantis, kad yra generalinis direktorius, ir paprašęs, kad jie inicijuotų pinigų pervedimą į banko sąskaitą kontrolė.

Kad el. Paštas veiktų, jis turi atrodyti tikras. Jie naudos el. Pašto paskyrą, kuri atrodo teisėta arba patikima (pvz., vardas.pasvardymas.arbitralaus [email protected]), arba nors „apgaudinėja“ generalinio direktoriaus el. laišką. Čia bus siunčiamas el. Laiškas su modifikuotomis antraštėmis, taigi lauke „Nuo:“ yra tikrasis generalinio direktoriaus el. Paštas. Kai kurie motyvuoti užpuolikai bandys priversti generalinį direktorių jiems išsiųsti el. Laišką, kad jie galėtų kopijuoti el. Laiškų stilistiką ir estetiką.

Užpuolikas tikėsis, kad finansų darbuotojui bus daromas spaudimas inicijuoti perkėlimą, prieš tai nepasitarus su tiksline vadovybe. Šis statymas dažnai atsiperka, kai kurios įmonės nesąmoningai išmokėjo šimtus tūkstančių dolerių. Viena įmonė Prancūzijoje, kuri buvo profiliuota BBC prarado 100 000 eurų. Užpuolikai bandė gauti 500 000, tačiau visus mokėjimus, išskyrus vieną, blokavo bankas, kuris įtarė sukčiavimą.

Kaip veikia socialiniai inžinerijos išpuoliai

Tradicinės kompiuterių saugumo grėsmės paprastai yra technologinio pobūdžio. Dėl to galite panaudoti technologines priemones, kad nugalėtumėte šias atakas. Jei užsikrėtėte kenkėjiška programine įranga, galite įdiegti antivirusinę programą. Jei kas nors bandė nulaužti jūsų žiniatinklio serverį, galite jį pasamdyti atlikti skverbties testą ir patarti, kaip galite „užkietinti“ aparatą nuo kitų išpuolių.

Socialinės inžinerijos išpuoliai Kas yra socialinė inžinerija? [„MakeUseOf“ paaiškina]Galite įdiegti stipriausią ir brangiausią šios srities ugniasienę. Galite išmokyti darbuotojus apie pagrindines saugos procedūras ir tvirtų slaptažodžių pasirinkimo svarbą. Jūs netgi galite užrakinti serverio kambarį, bet kaip ... Skaityti daugiau - kurių pavyzdys yra generalinio direktoriaus sukčiavimas, - juos sunkiau sušvelninti, nes jie nepuola prie sistemų ar aparatinės įrangos. Jie puola žmones. Užuot pasinaudoję pažeidžiamumu kode, jie pasinaudoja žmogaus prigimtimi ir mūsų instinktyviu biologiniu būtinybe pasitikėti kitais žmonėmis. Vienas įdomiausių šios atakos paaiškinimų buvo pateiktas DEFCON konferencijoje 2013 m.

Kai kurie drąsiausi žandikaulius laužantys žandikauliai buvo socialinės inžinerijos produktas.

2012 m. Buvęs laidų vedėjas Matas Honanas atsidūrė ryžtingo kibernetinių nusikaltėlių, kurie buvo pasiryžę išardyti jo internetinį gyvenimą, pulte. Naudodamiesi socialinės inžinerijos taktika, jie sugebėjo įtikinti „Amazon“ ir „Apple“ suteikti jiems informaciją, reikalingą nuotoliniu būdu valyti savo „MacBook Air“ ir „iPhone“, ištrinkite jo el. pašto paskyrą ir pasinaudokite įtakinga „Twitter“ paskyra, kad paskelbtumėte rasinę ir homofobinę epitetai. Tu čia galite perskaityti atšaldytą pasaką.

Socialinės inžinerijos išpuoliai vargu ar yra nauja naujovė. Piratai juos naudoja dešimtmečius, kad galėtų naudotis sistemomis, pastatais ir informacija dešimtmečiais. Vienas garsiausių socialinių inžinierių yra Kevinas Mitnickas, kuris 90-ųjų metų viduryje praleido slėpdamasis nuo policijos, įvykdęs daugybę kompiuterinių nusikaltimų. Jis buvo kalinamas penkeriems metams ir jam buvo uždrausta naudotis kompiuteriu iki 2003 m. Įsilaužėliams einant, Mitnickas buvo kuo arčiau jūsų turintis roko žvaigždės statusą 10 garsiausių ir geriausių piratų pasaulyje (ir žavingos jų istorijos)Baltųjų skrybėlių įsilaužėliai, palyginti su juodųjų skrybėlių įsilaužėliais. Čia yra geriausi ir garsiausi įsilaužėliai istorijoje ir tai, ką jie veikia šiandien. Skaityti daugiau . Kai jam pagaliau buvo leista naudotis internetu, jis buvo transliuojamas per „Leo Laporte“ Ekrano užsklandos.

Galiausiai jis ėjo teisėtai. Dabar jis vadovauja savo kompiuterių apsaugos konsultavimo firmai ir yra parašęs nemažai knygų apie socialinę inžineriją ir įsilaužimus. Turbūt labiausiai vertinamas „Apgaulės menas“. Iš esmės tai yra trumpų istorijų antologija, nagrinėjanti, kaip ir kaip galima išnaikinti socialinės inžinerijos išpuolius apsisaugok nuo jų Kaip apsisaugoti nuo socialinės inžinerijos išpuoliųPraėjusią savaitę apžvelgėme pagrindines socialinės inžinerijos grėsmes, į kurias turėtumėte atkreipti dėmesį jūs, jūsų įmonė ar darbuotojai. Trumpai tariant, socialinė inžinerija yra panaši į ... Skaityti daugiau , ją galima įsigyti „Amazon“.

Ką galima padaryti dėl generalinio direktoriaus sukčiavimo?

Taigi, primename. Mes žinome, kad generalinio direktoriaus sukčiavimas yra baisus. Mes žinome, kad tai kainuoja labai daug kompanijų. Mes žinome, kad tai nepaprastai sunku sušvelninti, nes tai yra išpuolis prieš žmones, o ne prieš kompiuterius. Paskutinis dalykas, kurį reikia aptarti, yra tai, kaip mes su tuo kovojame.

Tai lengviau pasakyti nei padaryti. Jei esate darbuotojas ir iš darbdavio ar viršininko esate gavę įtartino mokėjimo užklausą, galbūt norėsite pas juos susisiekti (naudodami kitą metodą, išskyrus el. Paštą), kad patikrintumėte, ar tai tikra. Jie gali jus šiek tiek erzinti, kad juos vargina, bet greičiausiai jie bus daugiau erzino, jei baigėte 100 000 USD įmonės lėšų siuntimą į užsienio banko sąskaitą.

„AnonDollar“

Yra technologinių sprendimų, kuriuos taip pat galima naudoti. „Microsoft“ būsimas „Office 365“ atnaujinimas bus keletas apsaugos nuo tokio tipo išpuolių patikrinant kiekvieno el. pašto šaltinį, kad pamatytumėte, ar jis kilo iš patikimo kontakto. „Microsoft“ mano, kad 500% pagerėjo tai, kaip „Office 365“ atpažįsta padirbtus ar suklastotus el. Laiškus.

Nebūk stulbinamas

Patikimiausias būdas apsisaugoti nuo šių išpuolių yra skeptiškas. Kai gausite el. Laišką, kuriame bus prašoma atlikti didelę pinigų perlaidą, paskambinkite savo viršininkui ir įsitikinkite, ar jis teisėtas. Jei turite ryšių su IT skyriumi, apsvarstykite galimybę paprašyti jų perkelti į „Office 365“ „Office 365“ įvadas: ar turėtumėte nusipirkti naują „Office“ verslo modelį?„Office 365“ yra prenumeratos paketas, siūlantis prieigą prie naujausių „Office Office“ programų paketo, „Office Online“, debesų saugyklos ir aukščiausios kokybės mobiliųjų programų. Ar „Office 365“ teikia pakankamai vertės, kad būtų verta pinigų? Skaityti daugiau , kuri vadovauja kovai su generalinio direktoriaus sukčiavimu.

Aš tikrai tikiuosi, kad ne, bet ar jūs kada nors nukentėjote dėl pinigų motyvavimo elektroniniu paštu? Jei taip, noriu apie tai išgirsti. Laukite komentaro žemiau ir papasakokite, kas nukrito.

Nuotraukų kreditai: „AnonDollar“ (jūsų anonas), „Miguel The Entertainment“ generalinis direktorius (Jorge)

Matthew Hughes yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai randamas be stiprios juodos kavos puodelio rankoje ir absoliučiai dievina savo „Macbook Pro“ ir fotoaparatą. Jo dienoraštį galite perskaityti http://www.matthewhughes.co.uk ir sekite jį „Twitter“ adresu @matthewhughes.