Поінформованість працівників про соціальну інженерію має важливе значення для забезпечення корпоративної кібербезпеки. Якщо кінцеві користувачі знають основні характеристики цих атак, то набагато частіше вони можуть уникнути їх падіння. Сьогоднішні загрози даних не є дискримінаційними; підприємства всіх розмірів піддаються атакам. Проте, малі та середні підприємства (МСБ) часто менш підготовлені до вирішення загроз безпеці, ніж їхні більші аналоги. Причини цього змінюються від бізнесу до бізнесу, але в кінцевому підсумку це зводиться до того, що малі та середні підприємства часто мають менше ресурсів для присвячення зусиллям у сфері кібербезпеки.
$config[code] not foundОсь декілька соціальних шахрайств, які потрібно знати
- Фішинг: Провідна тактика, яку використовують сьогоднішні хакери-викупники, зазвичай доставляються у вигляді електронної пошти, чату, веб-оголошення або веб-сайту, призначеного для імперсонізації реальної системи та організації. Часто створене для того, щоб забезпечити відчуття терміновості та важливості, повідомлення в цих повідомленнях часто здається урядом або великою корпорацією і може включати логотипи та брендинг.
- Приманка: Подібно до фішингу, приманка передбачає пропонування чогось привабливого для кінцевого користувача в обмін на приватні дані. "Приманка" поставляється в багатьох формах, як цифрових, таких як завантаження музики або фільму, так і фізичних, таких як фірмовий флеш-диск з назвою "Виконавчий підсумок зарплати Q3 2016", який залишився на столі для кінцевого користувача. Після того, як приманка зроблена, шкідливе програмне забезпечення доставляється безпосередньо в комп'ютер жертви.
- Quid Pro Quo: Подібно до травлення, quid pro quo включає запит на обмін приватними даними, але на послугу. Наприклад, працівник може отримати телефонний дзвінок від хакера, який представляється експертом з технологій, що пропонує безкоштовну допомогу в ІТ в обмін на реєстраційні дані.
- Претекст: Коли хакер створює помилкове відчуття довіри між собою і кінцевим користувачем, видаючи себе за співпрацівника, професійного колегу або авторитет у компанії, щоб отримати доступ до приватних даних. Наприклад, хакер може надіслати повідомлення електронної пошти або повідомлення чату, що є головою ІТ-підтримки, яка потребує приватних даних, щоб виконати корпоративний аудит - це не реально.
- Перекидання: Несанкціонована особа фізично слідує за працівником у обмеженій корпоративній зоні або системі. Найбільш поширеним прикладом цього є те, коли хакер закликає працівника утримувати двері для них, оскільки вони забули про свою картку RFID. Інший приклад того, що хакер просить працівника «позичити» приватний ноутбук на кілька хвилин, протягом якого злочинець може швидко вкрасти дані або встановити шкідливе програмне забезпечення.
Відтворити його безпечно
Переконайтеся, що всі працівники побоюються будь-яких повідомлень електронної пошти, які містять вкладення, яких вони не очікують, особливо якщо вказане вкладення є файлом Microsoft Office. Перш ніж натискати на будь-що, переконайтеся, що вони підтверджують з відправником (через телефон, текст, окрему електронну пошту), що це таке, перш ніж відкрити або натиснути на що-небудь. Сьогоднішні співробітники підключені до Інтернету щодня, спілкуючись з ними колегам та зацікавленим сторонам, обмінюючись важливою інформацією та переходячи з сайту на сайт. Зі зловмиванням, порушеннями даних та атак спростування зростає, для всіх компаній необхідно планувати найгірше, з обов'язковою підготовкою кібербезпеки для всіх працівників та з рекомендованими рішеннями для зменшення ризиків.
Фото через Shutterstock