Lesley Fowler
0 
4600
1117
E-mail jest częstym wektorem ataku wykorzystywanym przez oszustów i przestępców komputerowych. Ale jeśli sądzisz, że służy on wyłącznie do rozprzestrzeniania złośliwego oprogramowania, phishingu i oszustw związanych z opłatami Nigerii. [Opinia] Czy nigeryjskie oszustwa wysyłają ukryty straszny sekret? [Opinia] Innego dnia do mojej skrzynki odbiorczej trafia kolejny e-mail ze spamem, który w jakiś sposób działa w oparciu o filtr antyspamowy Windows Live, który ma tak dobrą pracę, chroniąc moje oczy przed wszystkimi innymi niechcianymi… pomyśl jeszcze raz. Pojawiło się nowe oszustwo oparte na poczcie e-mail, w którym osoba atakująca udaje, że jest twoim szefem, i pozwala ci przelać tysiące dolarów funduszy firmy na konto bankowe, które kontroluje.
To się nazywa oszustwo CEO lub “Insider Spoofing”.
Zrozumieć atak
Jak działa atak? Cóż, aby atakujący mógł go skutecznie wykonać, musi znać wiele informacji o firmie, na którą jest atakowany.
Wiele z tych informacji dotyczy hierarchicznej struktury firmy lub instytucji, na którą są kierowane. Będą musieli wiedzieć kto będą podszywać się. Chociaż ten rodzaj oszustwa jest znany jako “Oszustwo prezesa”, w rzeczywistości jest celem ktoś z wyższą rolą - każdy, kto byłby w stanie inicjować płatności. Będą musieli znać swoje imię i adres e-mail. Pomoże to również poznać ich harmonogram i kiedy będą podróżować lub na wakacjach.
Wreszcie, muszą wiedzieć, kto w organizacji może realizować przelewy pieniężne, takie jak księgowy lub ktoś zatrudniony w dziale finansowym.
Wiele z tych informacji można swobodnie znaleźć na stronach internetowych danej firmy. Wiele małych i średnich firm ma “O nas” strony, na których wymieniają swoich pracowników, role i obowiązki oraz dane kontaktowe.
Znalezienie czyichś harmonogramów może być nieco trudniejsze. Zdecydowana większość ludzi nie publikuje swojego kalendarza online. Jednak wiele osób publikuje swoje ruchy w serwisach społecznościowych, takich jak Twitter, Facebook i Swarm (wcześniej Foursquare). Foursquare wydaje narzędzie odkrywania oparte na twoich gustach. Foursquare wydaje narzędzie odkrywania oparte na twoich gustach. aktualizacja statusu oparta na lokalizacji, która powiedziała światu dokładnie, gdzie jesteś i dlaczego - czy więc przejście na czyste narzędzie do odkrywania jest krokiem naprzód? . Atakujący musiałby tylko poczekać, aż opuści biuro, i może uderzyć.
Jestem na St George's Market - @ stgeorgesbt1 w Belfaście, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 stycznia 2016 r
Gdy atakujący znajdzie wszystkie elementy układanki, których potrzebuje do przeprowadzenia ataku, wyśle e-maila do pracownika finansowego, podając się za dyrektora generalnego, i prosząc o zainicjowanie przelewu na konto bankowe, które kontroluje..
Aby działało, wiadomość e-mail musi wyglądać autentycznie. Będą albo używać konta e-mail, które wygląda „uzasadnione” lub wiarygodne (na przykład imię[email protected]) lub „fałszowanie” prawdziwego e-maila prezesa. Będzie to miejsce, w którym zostanie wysłany e-mail ze zmodyfikowanymi nagłówkami, więc “Z:” pole zawiera prawdziwy adres e-mail prezesa. Niektórzy zmotywowani napastnicy będą próbować nakłonić CEO do wysłania im e-maila, aby mogli powielić styl i estetykę swojego e-maila.
Atakujący będzie mieć nadzieję, że pracownik finansowy będzie zmuszony do zainicjowania przeniesienia bez uprzedniej konsultacji z docelowym dyrektorem. Ten zakład często się opłaca, a niektóre firmy nieświadomie wypłaciły setki tysięcy dolarów. Jedna francuska firma profilowana przez BBC straciła 100 000 euro. Atakujący próbowali zdobyć 500 000, ale bank, z wyjątkiem jednej z płatności, został zablokowany przez bank, który podejrzewał oszustwo.
Jak działają ataki inżynierii społecznej
Tradycyjne zagrożenia bezpieczeństwa komputerów mają z natury charakter technologiczny. W rezultacie możesz zastosować środki technologiczne, aby pokonać te ataki. Jeśli zostaniesz zainfekowany złośliwym oprogramowaniem, możesz zainstalować program antywirusowy. Jeśli ktoś próbuje włamać się do twojego serwera internetowego, możesz zatrudnić kogoś do przeprowadzenia testu penetracyjnego i doradzić, jak możesz „zahartować” maszynę przed innymi atakami.
Ataki socjotechniki Czym jest socjotechnika? [MakeUseOf wyjaśnia] Co to jest inżynieria społeczna? [MakeUseOf wyjaśnia] Możesz zainstalować najsilniejszą i najdroższą zaporę ogniową w branży. Możesz edukować pracowników na temat podstawowych procedur bezpieczeństwa i znaczenia wyboru silnych haseł. Możesz nawet zablokować serwerownię - ale jak… - których przykładem jest oszustwo prezesa - jest o wiele trudniej przeciwdziałać, ponieważ nie atakują systemów ani sprzętu. Atakują ludzi. Zamiast wykorzystywać luki w zabezpieczeniach kodu, wykorzystują ludzką naturę i nasz instynktowny biologiczny imperatyw zaufania innym ludziom. Jedno z najciekawszych wyjaśnień tego ataku zostało przedstawione na konferencji DEFCON w 2013 r.
Niektóre z najbardziej oszałamiających hacków były dziełem inżynierii społecznej.
W 2012 roku Mat Honan, były przewodniczący, został zaatakowany przez zdeterminowaną kadrę cyberprzestępców, którzy postanowili zdemontować swoje życie w sieci. Korzystając z taktyk inżynierii społecznej, byli w stanie przekonać Amazon i Apple do dostarczenia informacji potrzebnych do zdalnego wyczyszczenia swojego MacBooka Air i iPhone'a, usunięcia jego konta e-mail i przejęcia jego wpływowego konta na Twitterze, aby opublikować epitety rasowe i homofobiczne . Tutaj możesz przeczytać tę mrożącą krew w żyłach opowieść.
Ataki socjotechniczne nie są niczym nowym. Hakerzy używają ich od dziesięcioleci, aby uzyskać dostęp do systemów, budynków i informacji od dziesięcioleci. Jednym z najbardziej znanych inżynierów społecznych jest Kevin Mitnick, który w połowie lat 90. ukrywał się przed policją po popełnieniu szeregu przestępstw komputerowych. Był więziony na pięć lat i nie wolno mu było używać komputera do 2003 roku. Gdy hakerzy idą, Mitnick był tak blisko, jak to tylko możliwe, aby mieć status gwiazdy rocka 10 najbardziej znanych i najlepszych hakerów na świecie (i ich fascynujących historii) 10 najbardziej znani i najlepsi na świecie hakerzy (i ich fascynujące historie) Hakerzy w białych kapeluszach a hakerzy w czarnych kapeluszach. Oto najlepsi i najbardziej znani hakerzy w historii oraz to, co robią dzisiaj. . Kiedy wreszcie pozwolono mu korzystać z Internetu, był on transmitowany w telewizji Leo Laporte Wygaszacze ekranu.
W końcu poszedł legit. Teraz prowadzi własną firmę konsultingową w zakresie bezpieczeństwa komputerowego i napisał wiele książek o inżynierii społecznej i hakowaniu. Być może najbardziej szanowany jest “Sztuka oszustwa”. Jest to w zasadzie antologia krótkich opowiadań o tym, jak można przeprowadzać ataki socjotechniki i jak się przed nimi chronić Jak się chronić przed atakami inżynierii społecznej Jak się chronić przed atakami inżynierii społecznej W ubiegłym tygodniu przyjrzeliśmy się niektóre z głównych zagrożeń socjotechnicznych, na które ty, Twoja firma lub pracownicy powinniście zwracać uwagę. Krótko mówiąc, inżynieria społeczna jest podobna do… i jest dostępna do zakupu w Amazon.
Co można zrobić o oszustwie dyrektora generalnego?
Podsumujmy. Wiemy, że oszustwo CEO jest okropne. Wiemy, że wiele firm kosztuje wiele pieniędzy. Wiemy, że niezwykle trudno jest przeciwdziałać, ponieważ jest to atak na ludzi, a nie na komputery. Ostatnią rzeczą, którą pozostało do omówienia, jest sposób walki z tym.
Łatwiej to powiedzieć niż zrobić. Jeśli jesteś pracownikiem i otrzymałeś podejrzane żądanie zapłaty od swojego pracodawcy lub szefa, możesz chcieć się z nimi skontaktować (przy użyciu metody innej niż e-mail), aby sprawdzić, czy jest ono prawdziwe. Mogą być trochę zirytowani, że przeszkadzasz, ale prawdopodobnie będą więcej zirytowany, jeśli skończyłeś wysyłaniem 100 000 $ funduszy firmy na zagraniczne konto bankowe.
Istnieją również rozwiązania technologiczne, które można zastosować. Nadchodząca aktualizacja Microsoft do Office 365 będzie zawierać pewne zabezpieczenia przed tego typu atakami, sprawdzając źródło każdego e-maila, aby sprawdzić, czy pochodzi on od zaufanego kontaktu. Microsoft uważa, że udało się uzyskać 500% poprawę w sposobie, w jaki Office 365 identyfikuje fałszywe lub fałszywe wiadomości e-mail.
Nie bądź użądlony
Najbardziej niezawodnym sposobem ochrony przed tymi atakami jest bycie sceptycznym. Ilekroć otrzymasz wiadomość e-mail z prośbą o wykonanie dużego przelewu, zadzwoń do swojego szefa, aby sprawdzić, czy jest to zgodne z prawem. Jeśli masz jakiś wpływ na dział IT, zastanów się, czy nie poprosić go o przejście do Office 365. Wprowadzenie do Office 365: Czy powinieneś kupić nowy model biznesowy? Wprowadzenie do usługi Office 365: czy warto kupić nowy model biznesowy pakietu Office? Office 365 to pakiet oparty na subskrypcji, który oferuje dostęp do najnowszego pakietu Office na komputery stacjonarne, Office Online, magazynu w chmurze i aplikacji mobilnych premium. Czy Office 365 zapewnia wystarczającą wartość, aby wart swojej ceny? , który jest liderem w walce z oszustwami CEO.
Mam nadzieję, że nie, ale czy kiedykolwiek padłeś ofiarą oszustwa e-mailowego motywowanego pieniędzmi? Jeśli tak, chcę o tym usłyszeć. Napisz komentarz poniżej i powiedz mi, co poszło.
Zdjęcie: AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)