google

Киберугрозы в 2021: что такое социальная инженерия и как ей противостоять

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пока оценок нет)
Loading...

Технологии становятся более совершенными, дома – “умными”, а люди вовсю используют потенциал искусственного интеллекта. Вместе с тем, киберпреступники понимают, что наибольшие ценности сосредоточились в Интернете. А значит, под угрозой кибератаки находится каждый, чьи персональные данные размещены в сети. С какими проблемами столкнется кибербезопасность в 2021 году, поговорим в статье. Ведь осведомлен – значит, вооружен.

Социальная инженерия: игры, в которые играют хакеры 

Социальная инженерия – манипулирование человеческой психологией (страхом, удивлением, растерянностью) с целью получить доступ к аккаунту, компьютеру или Интернету вещей. 

Например, хакер отслеживает деятельность компании в социальной сети, находит сотрудника и начинает общение с ним. Узнает какие-то подробности его работы и предлагает ознакомиться с интересным проектом. Нужно скачать вложение – которое, как вы уже догадались, содержит вирус. Компьютер взломан, а ценная корпоративная информация утекает к хакеру.

В прошлом году треть всех случаев утечки информации были связаны с техниками социальной инженерии. При этом, 90% атак составлял фишинг – отправка писем по электронной почте с вредоносными приложениями. Кстати, фишинг стал достаточно персонализированным: сотрудники компаний получают информацию якобы от коллег; от брендов с дисконтными предложениями; от спонсоров, будто бы желающих инвестировать в новые проекты. Но стоит открыть вложение, как компьютер мгновенно инфицируется, а личная информация больше не является собственностью владельца. 

Кроме того, фишинг теперь ориентируется на социальные сети. Например, в результате вредоносных рассылок через Twitter пользователи суммарно потеряли $100 тысяч. Таким же манипулятивным образом киберпреступники украли $2.3 млн у учащихся частной школы в Техасе. С ноября по декабрь прошлого года мошенники рассылали родителям школьников письма с поддельными банковскими счетами с просьбой перечислить средства за обучения. Не разобравшись, многие родители выполнили то, что просили сделать хакеры. И, хотя дело передали в полицию, хакеров до сих пор не обнаружили.

Фишинг меняет направление: атака на “облако”

Под угрозой находятся и облачные сервисы. Фишинговые атаки на cloud учащаются, вне зависимости от того, пользуетесь вы SaaS или отдаете предпочтение PaaS либо IaaS. 

С одной стороны, названия “облачных” сервисов фигурируют в фейковых сообщения. С другой, приложения SaaS и IaaS представляют собой идеальную инфраструктуру для организации фишинговых страниц. Мошенники таким образом представляют пользователю вполне легальный домен и сертификаты. На первый взгляд, таким сайтам и программам можно доверять. Кроме того, технологии мониторинга, которые не могут осуществить масштабную проверку TLS, не видят, зачем используется данное соединение. А также не могут отличить корпоративный аккаунт от фишингового. Phishstats.info недавно обнародовал антирейтинг платформ, часто используемых мошенниками для фишинга, на третьем месте фигурирует Google, на шестом – Amazon, на одиннадцатом – Microsoft.  

Кстати, в десятке самых опасных фишинговых уловок фигурируют вариации docs.google.com и drive.google.com.

Видя знакомое название, пользователь более охотно кликнет на письмо – и станет жертвой мошенника. Если не заметит, что в названии, к примеру, указан “Goggle”, “Mikrosoft” или “Linkdin”.

Как противостоять социальной инженерии?

Чтобы ваш IP-адрес не попал на глаза мошенникам, включайте впн, когда заходите на незнакомые сайты. Пользуйтесь приватными браузерами либо включайте режим инкогнито в Google Chrome. Тогда ваша онлайн-активность останется невидимой. 

Мониторьте, что происходит в мире кибербезопасности сейчас. Возможно, произошла утечка данных из большой компании, которой вы оставляли контактную информацию. Что делать в этом случае? Рекомендуем:

  • Вам нужно проверить, не попали ли ваши персональные данные в руки хакеров. Например, являетесь ли вы клиентом бренда, на который напали хакеры. Знаете ли вы, какой именно информацией о вас обладает компания? Произошла ли утечка паролей? Поменяйте пароли на других аккаунтах, если вы пользовались одним и тем же кодом доступа к разным веб-сайтам. Покупатели также должны регулярно проверять состояние банковского счёта и смотреть выписку с кредитной карты, особенно если в ходе утечки данных в руки мошенников попала финансовая информация. Как только заметите любую подозрительную или необычную активность, свяжитесь с банком и сообщите в надлежащий

Соблюдайте корпоративную этику на предприятии. Пользователь ПК получает доступ к корпоративной программам для решения конкретной задачи и не может переписываться со знакомыми с рабочего аккаунта. Даже если хакеры узнают персональные данные пользователя, они не смогут контролировать внутреннюю компьютерную систему и сенситивные данные.

Просматривайте электронные письмо, обращая внимание на подозрительные элементы. Например, вы получаете сообщение с требованием немедленно выслать деньги или приобрести товар. Также смотрите, как написан адрес почты отправителя: как правило, поддельные письма содержат одну-две неправильных буквы, которые невнимательный пользователь не различии. Кроме того, повод задуматься о потенциальном мошенничестве – неграмотное письмо на иностранном языке. 

Проверьте, кому принадлежит URL в емэйле, прежде чем откроете письмо. Например, вам сообщают, что местный банк хочет проверить данные вашей карты. Посмотрите, существует ли такой электронный адрес у банка. Какие контакты находятся в открытом доступе?

Прежде чем перечислить средства, свяжитесь с поставщиком, организуйте видео-звонок либо напрямую спросите коллегу, который якобы нуждается в деньгах. 

Эти меры помогут вам защититься от мошенников. 

Our clients Our clients

GUARDLEX
API ASF
TREE DOCTORS
PRIVATBANK
TELEGRAM
CYBER POLICE
IPO CONSULTING
IMEKSBANK
MIRATON
LONE STAR COLLEGE
CMR CONSULTING
INSIGHTLY
ZOSIA
Startime Group
Ria ua
E-ton