Štai kaip įsilaužėliai vagia jūsų duomenis

(Vaizdo kreditas: Kymas Wintersas)

Nors tiesa, kad užpuolikai nuolat kuria vis sudėtingesnius virusus ir kenkėjiškas programas, jas vis pamiršta ir pamiršta, didžiausią pavojų verslui iš tikrųjų kelia ne programinė įranga, o patys žmonės.

Įmonės gali sukurti saugiausią infrastruktūrą pasaulyje, kad apsaugotų savo duomenis nuo išorinių grėsmių, naudodamos tokius sprendimus kaip užkardos, VPN ir saugūs šliuzai, tačiau tai nesumažina pačių organizacijų grėsmių, kenkėjiškų ar kitokių, rizikos. Šis žemų technologijų įsilaužimo būdas pastaraisiais metais tampa vis populiaresnis, kai žinomi prekės ženklai tampa sukčių aukomis, susisiekę su jaunesniais finansų administratoriais, prašydami lėšų, atlikę šiek tiek „LinkedIn“ tyrimą.

Be to, kadangi internetas sudaro daugumos žmonių kasdienybę ir daugelis darbuotojų prisijungia prie asmeninių paskyrų darbo vietoje, svarbu nepamiršti, kad saugumas internete taip pat yra susijęs su asmenine informacija ir jūsų verslo informacija. Jei įsilaužėlis gauna jūsų asmeninę informaciją, jis taip pat gali pasiekti jūsų profesionalius duomenis.



Čia yra keturi būdai, kuriais įsilaužėliai gali apeiti jūsų saugumą ir pavogti jūsų duomenis.

01. Socialinė inžinerija

Bet kurios žmogaus keliamos grėsmės kibernetinei saugai genezė yra socialinė inžinerija; manipuliavimo konfidencialiais asmens duomenimis veiksmas. Be abejo, įsilaužėliai gali užkrėsti tinklą kenkėjiška programa ir įeiti pro galines duris, o dar geriau - jie gali tiesiog apgauti darbuotoją, kad jis išduotų slaptažodį, ir pasivaikščioti tiesiai per priekį, nekeldami jokių pavojaus varpų. Kai įsilaužėlis turi asmens slaptažodį, nedaug galite padaryti, kad juos sustabdytumėte, nes atrodo, kad jų veikla yra įgaliota.

Metams bėgant socialinės inžinerijos metodai turėjo būti tobulesni, nes paprastas vartotojas išmano tradicinius įsilaužėlių metodus. Taigi įsilaužėliai dabar turi būti protingesni būdais, kuriais jie gauna duomenis. Verslo prasme toks paprastas dalykas, kaip apgauti vartotoją spustelėjus kenkėjišką nuorodą, gali suteikti užpuolikui prieigą prie viso tinklo. Žmonės žino, kad nepaiso el. Laiškų iš neprašomų nepažįstamų žmonių, kuriems labai reikalinga banko informacija, tačiau kai tas el. Laiškas gaunamas iš pažįstamo asmens, jūs rečiau spustelėsite „Pažymėti kaip šlamštą“.

Įsilaužėliai gali lengvai naršyti galimo taikinio „Facebook“ paskyrą, kad surastų aukos draugo vardą. Tada jie gali nusiųsti aukai el. Laišką, apsimesdami tuo draugu, ir auka bus labiau linkusi į tai patekti, jei mano, kad tai atėjo iš pažįstamo asmens.

kaip spalvoti po efektus

PATARIMAS: Kalbėdami apie socialinę žiniasklaidą, būkite atsargūs, pateikdami asmeninę informaciją. Tai gali atrodyti kaip nekenksmingas žaidimas, kuriame „tavo repo vardas yra tavo pirmojo augintinio vardas ir tavo motinos mergautinė pavardė“, iš tikrųjų tai gali būti sukčiavimo sukčiai, naudojami atsakymams į bendruosius paskyros atkūrimo klausimus sužinoti.

Iliustracija: Kymas Wintersas

Iliustracija: Kymas Wintersas

02. Mažų technologijų vidaus grėsmė

Vietoj beveidžio priešo, dauguma vidinių kibernetinio saugumo grėsmių iš tikrųjų kyla iš dabartinių ar buvusių darbuotojų. Šie darbuotojai gali gauti neteisėtą prieigą prie konfidencialių duomenų arba užkrėsti tinklą kenkėjišku būdu. Šios vidinės grėsmės gali būti įvairios:

  • Pečių naršymas
    „Naršymas per petį“ yra paprastas vieno žmogaus veiksmas, stebint, kaip kažkas įveda savo slaptažodį. Tam yra precedentas. Nepatenkintas arba netrukus išeinantis darbuotojas galėtų atsainiai atsistoti už stalo ir stebėti, kaip kiti darbuotojai įveda savo slaptažodžius. Šis paprastas veiksmas gali sukelti neteisėtą prieigą, o tai gali būti pražūtinga verslui.
  • Slaptažodžiai „Post-it“ užrašuose
    Net lengviau nei įsiminti per petį pastebėtą slaptažodį, darbuotojams užsirašant slaptažodžius ir prilipus prie kompiuterio monitorių gali kilti vidinių grėsmių - taip, iš tikrųjų taip nutinka. Akivaizdu, kad dėl to kažkam yra nepaprastai lengva gauti prisijungimo duomenis, kuriuos tada būtų galima panaudoti sukčiavus ar užkrėtus įmonę. Gera žinia ta, kad šį nerūpestingumą lengva pašalinti.
  • Į kompiuterius įkišti nykščio diskai
    Darbuotojų mašinos gali būti užkrėstos „Keylogging“ programine įranga, įkelta į paprastą USB diską. Užpuolikas turėtų tiesiog įšokti USB diską į kompiuterio galą ir turėti prieigą prie vartotojo asmeninių duomenų bei slaptažodžių.

PATARIMAS: Kad išvengtų šių vidinių grėsmių, įmonės turėtų mokyti savo darbuotojus saugumo kursuose ir bendraujant apie budrumo su savo slaptažodžiais svarbą. Slaptažodžių tvarkyklės programinė įranga kaip „KeePass“ arba „Dashlane“ gali saugiai saugoti slaptažodžius, todėl jums nereikia jų visų atsiminti. Arba taip pat galite užrakinti savo darbo vietų USB prievadus, kad visiškai neleistumėte prieigos prie neteisėtų įrenginių per USB. Tačiau šį požiūrį reikia atidžiai apsvarstyti, nes kiekviena darbo vieta tampa ne tokia lanksti ir padidėja IT skyriaus darbo krūvis, nes prieš pradedant naudoti kiekvieną naują USB įrenginį reikės patvirtinimo.

03. Masalas

Panašiai kaip ir socialinėje inžinerijoje, masalų naudojimo būdai apgauna vartotojus, naudodami informaciją, gautą apie asmenį. Pavyzdžiui, įsilaužėlis galėtų patikrinti socialinės žiniasklaidos svetaines ir sužinoti, kad taikinys domisi „Sostų žaidimu“. Šios žinios suteikia užpuolikui masalą. Vietoj bendro el. Laiško užpuolikas galėjo nusiųsti tiksliniam asmeniui el. Laišką, kuriame parašyta „Spustelėkite čia, kad pažiūrėtumėte naujausią„ Sostų žaidimo “epizodą. Vartotojas greičiausiai spustelės mygtuką, kuris, be abejo, yra nuoroda į kenkėjišką programą, o ne naujausias „Sostų žaidimo“ epizodas.

Panašiai, kai tiek daug informacijos viešai pateikiama „LinkedIn“, užpuolikams taip pat gali būti lengva ištirti ataskaitų teikimo struktūrą, nukreipti į jaunesnįjį apsimetusį generaliniu direktoriumi ir paprašyti pervesti lėšas į tam tikrą sąskaitą. Kad ir kaip atrodytų, yra gerai žinomų įvykių. Pasiklausymas yra panašus metodas, kai užpuolikai klausosi verslo pokalbių kavinėse, viešajame transporte ir netgi kaip tiekėjai biuro aplinkoje.

04. Nutraukti prenumeratos mygtukus

Kitas būdas užpuolikams apgauti vartotojus atsisiųsti kenkėjiškas programas iš el. Laiškų yra per atsisakymo mygtukus. Pagal įstatymus, kiekviename rinkodaros el. Laiške turi būti nuoroda į atsisakymą, kad vartotojai galėtų atsisakyti gauti pranešimus. Užpuolikas vartotojui galėjo siųsti pakartotinius el. Laiškus, kurie atrodo kaip specialūs drabužių kompanijos (ar panašiai) rinkodaros pasiūlymai. Laiškai atrodo pakankamai nekenksmingi, tačiau jei vartotojas nesidomi įmone ar mano, kad el. Laiškai yra per dažni, jie gali paspausti atsisakymo mygtuką, kad nebegautų el. Laiškų. Išskyrus šį įsilaužėlio sukčiavimo el. Laišką, spustelėjus atšaukimo mygtuką iš tikrųjų atsisiunčiama kenkėjiška programa.

PATARIMAS: Tinkamai sukonfigūruotas apsaugos nuo šlamšto filtras turėtų sustabdyti šiuos el. Laiškus, tačiau vėlgi geriausia išlikti budriems.

Svarbiausia yra būti budriems ir atnaujintiems metodų, kuriuos įsilaužėliai gali panaudoti, kad pavogtų jūsų duomenis, masyvo. Išmokykite savo darbuotojus, kad jie žinotų šiame straipsnyje išvardytas technikas, kurios gali būti naudojamos turiniui įsigyti, pvz., Jų prisijungimo duomenis ar asmens duomenis. Paraginkite darbuotojus apklausti visus, kurių neatpažįsta, ir žinoti, kad kas nors klausosi pokalbių ar naršo ant peties.

Tačiau, atmetus visa tai, verta prisiminti, kad internetas išlieka nepaprastai teigiama ir kūrybinga vieta, o pasaulis yra žymiai turtingesnis. Jei esate budrūs, visi galime ir toliau mėgautis jo teikiamais privalumais.

Šis straipsnis iš pradžių buvo paskelbtas 2008 m neto , pasaulyje perkamiausias žurnalas, skirtas interneto dizaineriams ir kūrėjams. Pirkite 303 numerį arba užsiprenumeruok čia .

Gaukite bilietą į Generate New York dabar

Geriausias industrijos interneto dizaino renginys Generuoti Niujorką grįžo. 2018 m. Balandžio 25–27 d. Pagrindinius pranešėjus sudaro „SuperFriendly's Dan Mall“, internetinės animacijos konsultantas „Val Head“, „full-stack JavaScript“ kūrėjas „Wes Bos“ ir kt.

Taip pat yra visa diena seminarų ir vertingos tinklų kūrimo galimybės - nepraleiskite to. Gaukite „Generate“ bilietą dabar .

Susiję straipsniai: