Häkkerid varastavad teie andmeid järgmiselt

Sisu

• 01. Sotsiaalne insener
• 02. Madalate tehnoloogiatega sisemine oht
• 03. Peibutamine
• 04. Tühista nupud
• Hankige kohe Generate New Yorki pilet

Ehkki on tõsi, et ründajad arendavad pidevalt keerulisemaid viirusi ja pahavara, unustatakse neid üha sagedamini ja sagedamini, ei tekita ettevõtetele suurimat turvaohtu tegelikult tarkvara, vaid inimene ise.

Ettevõtted saavad oma andmete kaitsmiseks väliste ohtude eest ehitada maailma kõige turvalisema infrastruktuuri, kasutades selliseid lahendusi nagu tulemüürid, VPN-id ja turvalised lüüsid, kuid see ei vähenda pahatahtlike ega muude ohtude riski organisatsiooni enda sees. See madalate tehnoloogiatega häkkimise viis on viimastel aastatel üha populaarsemaks muutunud - petturite ohvriks langenud tuntud kaubamärgid pöörduvad nooremate finantshaldurite poole, kes on pärast väikest LinkedIni uurimist teinud raha.

• Parimad VPN-id 2019

Lisaks, kuna Internet moodustab nii suure osa inimeste igapäevarutiinist ja paljud töötajad logivad sisse töökohal isiklikke kontosid, on oluline meeles pidada, et veebiturvalisuse osas on ka isikuandmete ja teie ettevõtte teabe vahel ristmik. Kui häkker hankib teie isikuandmed, pääsevad nad juurde ka teie professionaalsetele andmetele.

Siin on siis neli võimalust, kuidas häkkerid saavad teie turvalisusest mööda hiilida ja teie andmeid varastada.

01. Sotsiaalne insener

Igasuguse inimese juhitud küberturvalisuse ohu teke on sotsiaalne insener; üksikisiku konfidentsiaalsete andmetega manipuleerimine. Muidugi, häkkerid võivad nakatada võrgu pahavaraga ja minna tagauksest sisse, või veel parem - nad võivad lihtsalt töötaja meelitada parooli välja andma ja jalutada otse eest läbi, ilma et häirekellad välja tuleksid. Kui häkkeril on inimese parool, saate tema peatamiseks vähe teha, kuna tema tegevus näib olevat lubatud.

Sotsiaaltehnoloogia tehnikad on aastate jooksul pidanud keerukamaks muutuma, kuna tavakasutaja on muutunud häkkerite traditsiooniliste meetodite kasutamisel savikamaks. Nii et häkkerid peavad nüüd olema andmete hankimise viisid targemad. Ärilises mõttes võib nii lihtne asi kui kasutaja meelitamine pahatahtlikule lingile klõpsamiseks anda ründajale juurdepääsu kogu võrgule. Inimesed teavad, et ignoreerivad e-kirju, milles palutakse võõraid inimesi, kes vajavad hädasti panga üksikasju, kuid kui see e-kiri pärineb kelleltki tuttavalt, klõpsate märksa vähem tõenäoliselt nuppu Märgi rämpspostiks.

Häkkerid saavad ohvri sõbra nime leidmiseks hõlpsasti sirvida potentsiaalse sihtmärgi Facebooki kontot. Seejärel saavad nad saata ohvrile meilisõnumi, teeseldes, et on see sõber, ja ohver langeb tõenäolisemalt selle poole, kui arvab, et see on pärit kelleltki tuttavast.

NÕUANNE: Sotsiaalmeedia osas olge ettevaatlik oma välja antavate isikuandmetega. See võib tunduda kahjutu mänguna, kus ‘teie räppinimi on teie esimese lemmiklooma nimi pluss ema neiupõlvenimi’ võib tegelikult olla andmepüük, mida kasutatakse vastuste leidmiseks levinud konto taastamise küsimustele.

02. Madalate tehnoloogiatega sisemine oht

Ilmetu vaenlase asemel tulevad enamik sisemisi küberjulgeolekuohte tegelikult praegustelt või endistelt töötajatelt. Need töötajad võivad saada volitamata juurdepääsu konfidentsiaalsetele andmetele või nakatada võrku millegi pahatahtlikuga. Neid sisemisi ohte võib olla mitmel kujul:

• Õlasurf
  „Õlasurf” on üks inimene, kes jälgib, kuidas keegi parooli sisestab. Sellel juhtumil on pretsedent. Rahulolematu või peagi lahkuv töötaja võiks juhuslikult laua taga seista ja jälgida, kuidas teised töötajad paroole kirjutavad. See lihtne toiming võib viia volitamata juurdepääsuni, mis võib ettevõttele olla katastroofiline.
  
• Paroolid Post-it märkmetes
  Isegi lihtsam kui õlgade peal täheldatud parooli meelde jätmine, võivad sisemised ohud tuleneda sellest, et töötajad kirjutavad paroolid üles ja kleepivad need arvutimonitoride külge - jah, see juhtub tegelikult. Ilmselt muudab see kellegi jaoks uskumatult lihtsaks sisselogimisandmete hankimise, mida saaks seejärel kasutada ettevõtte petmiseks või nakatamiseks. Hea uudis on see, et seda hoolimatust on lihtne parandada.
  
• Arvutitesse sisestatud pöidlad
  Töötajate masinad võivad nakatuda lihtsasse USB-draivi laaditud klahvilogimistarkvaraga. Ründaja peaks lihtsalt hiirima USB-draivi arvuti tagaossa ja tal oleks juurdepääs kasutaja isikuandmetele ja paroolidele.

NÕUANNE: Nende sisemiste ohtude vältimiseks peaksid ettevõtted koolitama oma töötajaid turvakursuste ja teabevahetusega selle kohta, kui oluline on olla paroolidega valvsad. Paroolihalduri tarkvara, nagu KeePass või Dashlane, suudab paroole turvaliselt salvestada, nii et te ei pea neid kõiki meeles pidama. Teise võimalusena võite oma tööjaamade USB-porti lukustada, et vältida volitamata seadmete täielikku juurdepääsu USB-ühenduse kaudu. Seda lähenemist tuleb siiski hoolikalt kaaluda, sest see muudab iga tööjaama palju vähem paindlikuks ja suurendab IT-osakonna töökoormust, kuna iga uus USB-seade vajab enne selle kasutamist heakskiitu.

03. Peibutamine

Sarnaselt sotsiaaltehnoloogiaga petavad peibutusmeetodid kasutajaid inimese kohta saadud teabe abil. Näiteks võiks häkker kontrollida sotsiaalmeedia saite ja teada saada, et sihtmärk tunneb huvi Troonide mängu vastu. See teadmine annab ründajale sööda. Üldise e-kirja asemel võib ründaja saata sihtmärgile meilisõnumi „Klõpsake siin, et vaadata uusimat Troonide mängu episoodi”. Kasutaja klõpsab suurema tõenäosusega nuppu, mis muidugi on tegelikult pahavara link, mitte aga Troonide mängu viimane episood.

Samamoodi võib ründajatel olla nii LinkedInis avalikult loetletud teabe tõttu hõlbus uurida aruandlusstruktuuri, sihtida tegevjuhiks teesklevat nooremat ja taotleda raha ülekandmist konkreetsele kontole. Nii kaugele kui see ka ei tundu, on selle toimumisele teada-tuntud juhtumeid. Pealtkuulamine on sarnane meetod, kus ründajad kuulavad ärivestlusi kohvikutes, ühistranspordis ja isegi kontorikeskkonnas tarnijana.

04. Tühista nupud

Teine viis, kuidas ründajad petavad kasutajaid e-kirjadest pahavara alla laadima, on tellimusest loobumise nuppude abil. Seaduse järgi peab iga turundusmeil sisaldama tellimuse tühistamise linki, et tarbijad saaksid teatiste saamisest loobuda. Ründaja võib kasutajale saata korduvaid e-kirju, mis sarnanevad rõivafirma (või sarnase) turunduse eripakkumistega. E-kirjad näevad välja piisavalt kahjutud, kuid kui kasutaja pole ettevõttest huvitatud või arvab, et kirjad on liiga sagedased, võib ta meilide saamise lõpetamiseks vajutada tellimuse tühistamise nuppu. Välja arvatud selle häkkeri andmepüügimeilis, laadib pahavara tegelikult alla tellimisest loobumise nupul klõpsamine.

NÕUANNE: Õigesti konfigureeritud rämpspostivastane filter peaks need meilid peatama, kuid jällegi on kõige parem olla tähelepanelik.

Peamine äravõtmine on olla valvas ja ajakohane meetodite osas, mida häkkerid võivad teie andmete varastamiseks kasutada. Õppige oma töötajaid, et nad oleksid kursis selles artiklis loetletud tehnikatega, mida võib kasutada sisu hankimiseks, näiteks sisselogimisandmed või isikuandmed. Julgustage töötajaid küsitlema kõiki, keda nad ei tunne, ja olema teadlik kõigist, kes kuulavad vestlusi või surfavad õlal.

Kui see kõik kõrvale jätta, tasub siiski meeles pidada, et Internet jääb valdavalt positiivseks ja loominguliseks paigaks ning maailm on selle jaoks oluliselt rikkam. Kui olete valvsad, saame kõik ka edaspidi selle eeliseid nautida.

See artikkel avaldati algselt 303. Väljaandes võrk, maailma enimmüüdud ajakiri veebidisaineritele ja -arendajatele. Osta väljaanne 303 või telli siin.

Hankige kohe Generate New Yorki pilet

Valdkonna parim veebidisaini sündmusGenereeri New Yorkon tagasi. Ajavahemikus 25. – 27. Aprill 2018 toimuvate peakõnelejate hulka kuuluvad SuperFriendly Dan Mall, veebianimatsiooni konsultant Val Head, JavaScripti arendaja Wes Bos ja palju muud.

Seal on ka terve päev töötubasid ja väärtuslikke võrgustamisvõimalusi - ärge jätke seda kasutamata.Hankige oma Generate pilet kohe.