Štai kaip įsilaužėliai vagia jūsų duomenis

Turinys

• 01. Socialinė inžinerija
• 02. Mažų technologijų vidaus grėsmė
• 03. Masalas
• 04. Nutraukti prenumeratos mygtukus
• Gaukite bilietą į „Generate New York“ dabar

Nors tiesa, kad užpuolikai nuolat kuria vis sudėtingesnius virusus ir kenkėjiškas programas, vis dažniau ir užmirštamiau, didžiausią pavojų verslui iš tikrųjų kelia ne programinė įranga, o patys žmonės.

Įmonės gali sukurti saugiausią infrastruktūrą pasaulyje, kad apsaugotų savo duomenis nuo išorinių grėsmių, naudodamos tokius sprendimus kaip užkardos, VPN ir saugūs šliuzai, tačiau tai nesumažina grėsmės, kenkėjiškos ar kitokios, iš pačios organizacijos. Šis žemų technologijų įsilaužimo būdas pastaraisiais metais tampa vis populiaresnis, kai žinomi prekės ženklai tampa sukčių aukomis, susisiekę su jaunesniais finansų administratoriais, prašydami lėšų, atlikę šiek tiek „LinkedIn“ tyrimą.

• Geriausi VPN 2019 m

Be to, kadangi internetas sudaro tiek daugumos žmonių kasdienybę ir daugelis darbuotojų prisijungia prie asmeninių paskyrų darbo vietoje, svarbu atsiminti, kad saugumas internete taip pat yra susijęs su asmenine informacija ir jūsų verslo informacija. Jei įsilaužėlis gauna jūsų asmeninę informaciją, jis taip pat gali pasiekti jūsų profesionalius duomenis.

Štai keturi būdai, kuriais įsilaužėliai gali apeiti jūsų saugumą ir pavogti jūsų duomenis.

01. Socialinė inžinerija

Bet kurios žmogaus keliamos grėsmės kibernetiniam saugumui genezė yra socialinė inžinerija; manipuliavimo konfidencialiais asmens duomenimis veiksmas. Aišku, įsilaužėliai gali užkrėsti tinklą kenkėjiška programa ir įeiti pro galines duris, o dar geriau - jie gali tiesiog apgauti darbuotoją, kad jis išduotų slaptažodį, ir pasivaikščioti tiesiai per priekį, nekeldami jokių pavojaus varpų. Kai įsilaužėlis turi asmens slaptažodį, nedaug galite padaryti, kad juos sustabdytumėte, nes atrodo, kad jų veikla yra įgaliota.

Metams bėgant socialinės inžinerijos metodai turėjo būti tobulesni, nes paprastas vartotojas išmano tradicinius įsilaužėlių metodus. Taigi įsilaužėliai dabar turi būti protingesni būdais, kaip gauna duomenis. Verslo prasme toks paprastas dalykas kaip apgauti vartotoją spustelėjus kenkėjišką nuorodą, užpuolikui gali suteikti prieigą prie viso tinklo. Žmonės žino, kad nepaiso el. Laiškų iš neprašomų nepažįstamų žmonių, kuriems labai reikalinga banko informacija, tačiau kai tas el. Laiškas gaunamas iš pažįstamo žmogaus, jūs rečiau spustelėsite „Pažymėti kaip šlamštą“.

Įsilaužėliai gali lengvai naršyti galimo taikinio „Facebook“ paskyrą, kad surastų aukos draugo vardą. Tada jie gali nusiųsti aukai el. Laišką, apsimesdami tuo draugu, ir auka greičiausiai nukris, jei manys, kad tai kažkas iš pažįstamo.

PATARIMAS: Kalbėdami apie socialinę žiniasklaidą, būkite atsargūs, pateikdami asmeninę informaciją. Tai gali atrodyti kaip nekenksmingas žaidimas, kai „jūsų repo vardas yra jūsų pirmojo augintinio vardas ir motinos mergautinė pavardė“, iš tikrųjų tai gali būti sukčiavimo sukčiai, naudojami norint sužinoti atsakymus į dažniausiai pasitaikančius paskyros atkūrimo klausimus.

02. Mažų technologijų vidaus grėsmė

Vietoj beveidžio priešo, dauguma vidinių kibernetinio saugumo grėsmių iš tikrųjų kyla iš dabartinių ar buvusių darbuotojų. Šie darbuotojai gali gauti neteisėtą prieigą prie konfidencialių duomenų arba užkrėsti tinklą kažkuo kenkėjišku. Šios vidinės grėsmės gali būti įvairios:

• Pečių naršymas
  „Naršymas per petį“ yra paprastas vieno žmogaus veiksmas, stebint, kaip kažkas įveda savo slaptažodį. Tam yra precedentas. Nepatenkintas ar netrukus išeinantis darbuotojas galėtų atsainiai atsistoti už stalo ir stebėti, kaip kiti darbuotojai įveda savo slaptažodžius. Šis paprastas veiksmas gali sukelti neteisėtą prieigą, o tai gali būti pražūtinga verslui.
  
• Slaptažodžiai „Post-it“ užrašuose
  Net lengviau nei įsiminti per petį pastebėtą slaptažodį, darbuotojai gali užsirašyti slaptažodžius ir priklijuoti juos prie savo kompiuterio monitorių - gali kilti vidinių grėsmių - taip, iš tikrųjų taip nutinka. Akivaizdu, kad dėl to kažkam yra nepaprastai lengva gauti prisijungimo duomenis, kuriuos tada būtų galima panaudoti sukčiavus ar užkrėtus įmonę. Gera žinia ta, kad šį nerūpestingumą lengva pašalinti.
  
• Į kompiuterius įkišti nykščio diskai
  Darbuotojų mašinos gali būti užkrėstos „Keylogging“ programine įranga, įkelta į paprastą USB diską. Užpuolikas turėtų tiesiog įšokti USB diską į kompiuterio galą ir turėti prieigą prie vartotojo asmeninių duomenų bei slaptažodžių.

PATARIMAS: Kad išvengtų šių vidinių grėsmių, įmonės turėtų mokyti savo darbuotojus saugumo kursuose ir bendraujant apie budrumo su savo slaptažodžiais svarbą. Slaptažodžių tvarkytuvės programinė įranga, pvz., „KeePass“ ar „Dashlane“, gali saugiai saugoti slaptažodžius, todėl jums nereikia jų visų atsiminti. Arba taip pat galite užrakinti savo darbo vietų USB prievadus, kad išvengtumėte neteisėtų įrenginių prieigos per USB. Tačiau šį požiūrį reikia atidžiai apsvarstyti, nes kiekviena darbo vieta tampa ne tokia lanksti ir padidėja IT skyriaus darbo krūvis, nes prieš pradedant naudoti kiekvieną naują USB įrenginį reikės patvirtinimo.

03. Masalas

Panašiai kaip ir socialinėje inžinerijoje, masalavimo metodai apgauna vartotojus, naudodami informaciją, gautą apie asmenį. Pavyzdžiui, įsilaužėlis galėtų patikrinti socialinės žiniasklaidos svetaines ir sužinoti, kad taikinys domisi „Sostų žaidimu“. Šios žinios suteikia užpuolikui masalą. Vietoj bendro el. Pašto adreso užpuolikas galėjo nusiųsti tikslui el. Laišką, kuriame parašyta: „Spustelėkite čia, kad pažiūrėtumėte naujausią„ Sostų žaidimo “epizodą. Vartotojas greičiausiai spustelės mygtuką, kuris, be abejo, yra nuoroda į kenkėjišką programą, o ne naujausias „Sostų žaidimo“ epizodas.

Panašiai, kai tiek daug informacijos viešai pateikiama „LinkedIn“, užpuolikams taip pat gali būti lengva ištirti ataskaitų teikimo struktūrą, nukreipti į jaunesnįjį apsimetusį generaliniu direktoriumi ir prašyti pervesti lėšas į tam tikrą sąskaitą. Kad ir kaip atrodytų, yra daugybė šio įvykio atvejų. Pasiklausymas yra panašus metodas, kai užpuolikai klausosi verslo pokalbių kavinėse, viešajame transporte ir netgi kaip tiekėjas biuro aplinkoje.

04. Nutraukti prenumeratos mygtukus

Kitas būdas užpuolikams apgauti vartotojus atsisiųsti kenkėjiškas programas iš el. Laiškų yra per atsisakymo mygtukus. Pagal įstatymus, kiekviename rinkodaros el. Laiške turi būti nuoroda į atsisakymą, kad vartotojai galėtų atsisakyti gauti pranešimus. Užpuolikas vartotojui galėjo siųsti pakartotinius el. Laiškus, kurie atrodo kaip drabužių kompanijos (ar panašios) specialūs rinkodaros pasiūlymai. El. Laiškai atrodo pakankamai nekenksmingi, tačiau jei vartotojas nesidomi įmone ar mano, kad el. Laiškai yra per dažni, jie gali paspausti atsisakymo mygtuką, kad nebegautų el. Laiškų. Išskyrus šio įsilaužėlio sukčiavimo el. Laišką, spustelėjus atšaukimo mygtuką iš tikrųjų atsisiunčiama kenkėjiška programa.

PATARIMAS: Tinkamai sukonfigūruotas apsaugos nuo šlamšto filtras turėtų sustabdyti šiuos el. Laiškus, tačiau vėlgi geriausia išlikti budriems.

Svarbiausia yra būti budriems ir atnaujintiems metodų, kuriuos įsilaužėliai gali panaudoti, kad pavogtų jūsų duomenis, masyvo. Išmokykite savo darbuotojus, kad jie žinotų šiame straipsnyje išvardytas technikas, kurios gali būti naudojamos turiniui įsigyti, pvz., Prisijungimo duomenis ar asmens duomenis. Paraginkite darbuotojus apklausti visus, kurių neatpažįsta, ir žinoti, kad kas nors klausosi pokalbių ar naršo ant peties.

Tačiau, atmetus visa tai, verta prisiminti, kad internetas išlieka nepaprastai teigiama ir kūrybinga vieta, o pasaulis yra žymiai turtingesnis. Jei būsite budrūs, visi galėsime toliau mėgautis jo teikiamais privalumais.

Šis straipsnis iš pradžių buvo paskelbtas 2008 m neto, perkamiausias pasaulyje žurnalas, skirtas interneto dizaineriams ir kūrėjams. Pirkite 303 numerį arba užsiprenumeruok čia.

Gaukite bilietą į „Generate New York“ dabar

Geriausias industrijos interneto dizaino renginysGeneruoti Niujorkągrįžo. 2018 m. Balandžio 25–27 d. Pagrindinius pranešėjus sudaro „SuperFriendly“ „Dan Mall“, internetinės animacijos konsultantas „Val Head“, „full-stack JavaScript“ kūrėjas „Wes Bos“ ir kt.

Taip pat yra visa diena seminarų ir vertingos tinklų kūrimo galimybės - nepraleiskite to.Gaukite „Generate“ bilietą dabar.