Что такое атаки социальной инженерии и как их предотвратить?

Опубликовано: 2019-11-14

Если вы покупаете что-то по нашим ссылкам, мы можем зарабатывать деньги от наших аффилированных партнеров. Учить больше.

Вы знаете, что такое социальная инженерия? Если вы скажете, что вас это не беспокоит, потому что у вас есть надежное антивирусное/вредоносное ПО, это вам никак не поможет.

Это видео показывает, насколько простыми и страшными являются атаки с использованием социальной инженерии.

Это связано с тем, что социальная инженерия использует человеческое поведение, а не уязвимости вашего программного или аппаратного обеспечения. Вот почему ваша стратегия кибербезопасности должна меняться и адаптироваться к различным способам, которыми киберпреступники осуществляют атаки.

Согласно новому отчету GetApp, только 27% предприятий проводят обучение своих сотрудников социальной инженерии. Учитывая, что октябрь был месяцем национальной кибербезопасности, данные GetApp актуальны и содержательны.

Название отчета: «10 статистических данных о кибербезопасности, которые должен знать каждый бизнес». И, согласно отчету, сложность ландшафта ИТ-безопасности требует «… множества тренингов по многим темам. К сожалению, предприятия часто проводят обучение по безопасности только по части этих проблем, оставляя сотрудников в неведении относительно других».

Что такое атака социальной инженерии?

ФБР утверждает, что социальная инженерия предназначена для того, чтобы заставить вас ослабить бдительность. Далее говорится, что преступники, противники, конкуренты и шпионы используют этот метод для эксплуатации людей и компьютерных сетей. Почему, потому что это не требует технических навыков.

Атаки социальной инженерии используют обман для манипулирования поведением людей. Цель состоит в том, чтобы уговорить человека разгласить конфиденциальную, личную и защищенную информацию. Получив эту информацию, мошенники используют ее, чтобы преследовать свою конечную цель. И конечной целью может быть что угодно: от конфиденциальных данных до пренебрежительных замечаний о человеке, политическом кандидате или даже бренде.

В прошлом этих самых преступников можно было бы назвать аферистами/аферистами, но предпосылка та же самая: завоевать доверие обманутого человека.

Типы атак социальной инженерии

Одна вещь, которую вы должны знать об атаках социальной инженерии, это то, что они постоянно развиваются. По этой причине вы должны регулярно обучать своих сотрудников. Потому что вы никогда не знаете, какой будет следующая форма атаки.

Некоторые из типов атак, которые используют преступники:

Предлог. Злоумышленники притворяются, что им нужна личная или финансовая информация, чтобы подтвердить личность получателя.

Water-holeing — Злоумышленники заражают веб-сайт, чтобы скомпрометировать людей, которые часто посещают этот сайт, чтобы получить доступ к сети.

Диверсионная кража — мошенники обманывают службы доставки или курьерские компании, чтобы они доставили посылку по неправильному адресу, перехватывая транзакцию.

Quid Pro Quo — как следует из названия, злоумышленники обещают жертве что-то в обмен на информацию или помощь.

Фишинг и SMishing. Фишинговые атаки используют электронную почту, а SMishing использует текстовые сообщения, чтобы заставить конечного пользователя щелкнуть вредоносную ссылку или загрузить ее. Учитывая, что 91% успешных атак начинаются с фишинговых писем, особенно важно повышать осведомленность об этих типах атак.

Медовая ловушка . Злоумышленники притворяются привлекательным человеком и начинают фальшивые онлайн-отношения, чтобы получить конфиденциальную информацию.

Приманка . Злоумышленники оставляют зараженное вредоносным ПО устройство, например флешку, в месте, где ее легко найти. Когда диск подключается к компьютеру, он устанавливает вредоносное ПО.

Это лишь некоторые из атак социальной инженерии, которые используют мошенники, но есть и другие, и, несомненно, преступники создают новые в этот самый момент.

Защитите себя от атак социальной инженерии

Осведомленность является ключом к защите вашего бизнеса от всех форм атак, будь то в физическом или цифровом мире. И наоборот, атаки социальной инженерии полагаются на самоуспокоенность людей, на которых они нацелены.

Имея это в виду, вы должны устранить поведение, которое отвечает за любую самоуспокоенность в вашей организации. А это значит идти против врожденных качеств людей, таких как доверие и готовность помочь другим. Учитывая эти моменты, вы должны настаивать на том, чтобы ваши сотрудники проверяли, проверяли, проверяли.

Трехступенчатая система проверки запроса Кевина Д. Митника взята из реальной жизни хакера и его книги «Искусство обмана: управление человеческим элементом безопасности».

На первый взгляд это может показаться упрощением. Однако, если кто-то, кого вы не знаете, запрашивает некоторую информацию, вы узнаете, кто он, если выполните следующие действия.

  1. Когда кто-то запрашивает какую-либо информацию, попросите своих сотрудников проверить, является ли этот человек тем, за кого он себя выдает.
  2. Убедитесь, что они в настоящее время работают в компании или у них есть необходимая информация о принадлежности к организации.
  3. Прежде чем предоставить информацию, убедитесь, что они уполномочены делать такой запрос.

Благодаря этим трем простым шагам ваши данные никогда не будут переданы не тому человеку. Стоит повторить, ваши сотрудники не могут небрежно выполнять эти шаги или вносить в них какие-либо изменения.

Дополнительные способы защиты вашего бизнеса

Вот некоторые из других способов, которыми вы и ваши сотрудники можете защитить себя и бизнес:

  • Ваши данные могут быть использованы против вас, поэтому прекратите раскрывать факты о вашей личной жизни и бизнесе незнакомым людям. Будьте особенно осторожны в социальных сетях.
  • Тщательно изучайте все запросы по электронной почте, пока не узнаете наверняка, кто является отправителем. Помните, что даже электронные письма, которые вы получаете от друзей и коллег, могут быть фальшивыми.
  • Если вы подозреваете, что человек, который пытается получить информацию, является мошенником, не стесняйтесь быть строгим или грубым, если это необходимо.
  • Повышайте осведомленность в своей организации, проводя частые тренинги по кибербезопасности и узнавая о последних случаях мошенничества.
  • Постоянно пересматривайте процессы и процедуры для важных транзакций.
  • Не используйте пароли повторно и внедрите политику смены паролей во всей организации.

Злоумышленники будут бросать все на ваших сотрудников, чтобы пропустить шаг, и второй они делают это; ваши данные в опасности.

Сильное и строгое управление с подотчетностью может помочь в этом. Лучше всего, это ничего не будет стоить вам.

Получите право на скидки, специальные предложения и многое другое с учетной записью Business Prime от Amazon. Вы можете создать БЕСПЛАТНУЮ учетную запись, чтобы начать сегодня.

Изображение: Depositphotos.com