Reklama
E-mail jest częstym wektorem ataku wykorzystywanym przez oszustów i przestępców komputerowych. Ale jeśli uważasz, że był on używany tylko do rozprzestrzeniania złośliwego oprogramowania, phishingu i Nigeryjskie oszustwa związane z zaliczką Czy nigeryjskie oszustwa wysyłane przez e-mail kryją straszliwy sekret? [Opinia]Innego dnia do mojej skrzynki odbiorczej trafia inny e-mail spamowy, który w jakiś sposób działa w oparciu o filtr antyspamowy Windows Live, który chroni tak dobrze moje oczy przed wszystkimi innymi niechcianymi ... Czytaj więcej pomyśl jeszcze raz. Pojawiło się nowe oszustwo oparte na e-mailach, w którym osoba atakująca będzie udawać, że jest twoim szefem, i pozwoli ci przelać tysiące dolarów funduszy firmowych na konto bankowe, które kontroluje.
To się nazywa oszustwo CEO lub „Insider Spoofing”.
Zrozumieć atak
Jak działa atak? Cóż, aby atakujący mógł go skutecznie wykonać, musi znać wiele informacji o firmie, na którą jest atakowany.
Wiele z tych informacji dotyczy hierarchicznej struktury firmy lub instytucji, na którą są kierowani. Muszą wiedzieć
WHO będą podszywać się. Chociaż ten rodzaj oszustwa jest znany jako „oszustwo prezesa”, w rzeczywistości jest on celem ktoś z wyższą rolą - każdy, kto byłby w stanie inicjować płatności. Muszą znać swoje imię i adres e-mail. Pomoże to również poznać ich harmonogram oraz czas podróży lub wakacji.
Wreszcie, muszą wiedzieć, kto w organizacji może realizować przelewy pieniężne, takie jak księgowy lub ktoś zatrudniony w dziale finansowym.
Wiele z tych informacji można swobodnie znaleźć na stronach internetowych danej firmy. Wiele średnich i małych firm ma strony „O nas”, na których wymieniają swoich pracowników, role i obowiązki oraz dane kontaktowe.
Znalezienie czyichś harmonogramów może być nieco trudniejsze. Zdecydowana większość ludzi nie publikuje swojego kalendarza online. Jednak wiele osób publikuje swoje ruchy w serwisach społecznościowych, takich jak Twitter, Facebook i Swarm (wcześniej Foursquare) Foursquare wprowadza narzędzie odkrywania oparte na twoich gustachFoursquare był pionierem odprawy mobilnej; aktualizacja statusu oparta na lokalizacji, która powiedziała światu dokładnie, gdzie jesteś i dlaczego - czy więc przejście na czyste narzędzie do odkrywania jest krokiem naprzód? Czytaj więcej . Atakujący musiałby tylko poczekać, aż opuści biuro, i może uderzyć.
Jestem na St George's Market - @ stgeorgesbt1 w Belfaście, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 stycznia 2016 r
Gdy atakujący znajdzie wszystkie elementy układanki, których potrzebuje do przeprowadzenia ataku, wyśle e-mailem informacje o finansach pracownik, podający się za dyrektora generalnego i proszący o zainicjowanie przelewu pieniężnego na rachunek bankowy kontrola.
Aby działało, wiadomość e-mail musi wyglądać autentycznie. Będą albo używać konta e-mail, które wygląda na „uzasadnione” lub wiarygodne (na przykład imię[email protected]) lub „fałszowania” prawdziwego e-maila prezesa. W tym miejscu zostanie wysłany e-mail ze zmodyfikowanymi nagłówkami, więc pole „Od:” zawiera prawdziwy e-mail prezesa. Niektórzy zmotywowani napastnicy będą próbować nakłonić CEO do wysłania im e-maila, aby mogli powielić styl i estetykę swojego e-maila.
Atakujący będzie miał nadzieję, że pracownik finansowy będzie zmuszony do zainicjowania przeniesienia bez uprzedniej konsultacji z docelowym dyrektorem. Ten zakład często się opłaca, a niektóre firmy nieświadomie wypłaciły setki tysięcy dolarów. Jedna firma we Francji, która była profilowane przez BBC stracił 100 000 euro. Atakujący próbowali zdobyć 500 000, ale bank, z wyjątkiem jednej z płatności, został zablokowany przez bank, który podejrzewał oszustwo.
Jak działają ataki inżynierii społecznej
Tradycyjne zagrożenia bezpieczeństwa komputerów mają z natury charakter technologiczny. W rezultacie możesz zastosować środki technologiczne, aby pokonać te ataki. Jeśli zostaniesz zainfekowany złośliwym oprogramowaniem, możesz zainstalować program antywirusowy. Jeśli ktoś próbuje włamać się na twój serwer internetowy, możesz zatrudnić kogoś do przeprowadzenia testu penetracyjnego i doradzić, w jaki sposób możesz „zahartować” maszynę przed innymi atakami.
Ataki socjotechniczne Co to jest inżynieria społeczna? [MakeUseOf wyjaśnia]Możesz zainstalować najsilniejszą i najdroższą zaporę ogniową w branży. Możesz edukować pracowników na temat podstawowych procedur bezpieczeństwa i znaczenia wyboru silnych haseł. Możesz nawet zablokować serwerownię - ale jak ... Czytaj więcej - których przykładem jest oszustwo prezesa - jest o wiele trudniejsze do zminimalizowania, ponieważ nie atakują systemów ani sprzętu. Atakują ludzi. Zamiast wykorzystywać luki w zabezpieczeniach kodu, wykorzystują ludzką naturę i nasz instynktowny biologiczny imperatyw zaufania innym ludziom. Jedno z najciekawszych wyjaśnień tego ataku zostało przedstawione na konferencji DEFCON w 2013 r.
Niektóre z najbardziej oszałamiających hacków były dziełem inżynierii społecznej.
W 2012 roku Mat Honan, były przewodniczący, został zaatakowany przez zdeterminowaną kadrę cyberprzestępców, którzy postanowili zdemontować swoje życie w sieci. Korzystając z taktyk inżynierii społecznej, byli w stanie przekonać Amazon i Apple do dostarczenia informacji potrzebnych do zdalnego wyczyszczenia jego MacBook Air i iPhone, usuń jego konto e-mail i przejmij jego wpływowe konto na Twitterze, aby opublikować rasistowskie i homofobiczne epitety ty tutaj możesz przeczytać mrożącą krew w żyłach opowieść.
Ataki socjotechniczne nie są niczym nowym. Hakerzy używają ich od dziesięcioleci, aby uzyskać dostęp do systemów, budynków i informacji od dziesięcioleci. Jednym z najbardziej znanych inżynierów społecznych jest Kevin Mitnick, który w połowie lat 90. ukrywał się przed policją po popełnieniu szeregu przestępstw komputerowych. Był więziony przez pięć lat i zabroniono mu używania komputera do 2003 roku. W miarę hakowania Mitnick był tak blisko, jak tylko się dało posiadający status gwiazdy rocka 10 najbardziej znanych i najlepszych hakerów na świecie (i ich fascynujące historie)Hakerzy w białych kapeluszach a hakerzy w czarnych kapeluszach. Oto najlepsi i najbardziej znani hakerzy w historii oraz to, co robią dzisiaj. Czytaj więcej . Kiedy wreszcie pozwolono mu korzystać z Internetu, był on transmitowany w telewizji Leo Laporte Wygaszacze ekranu.
W końcu poszedł legit. Teraz prowadzi własną firmę konsultingową w zakresie bezpieczeństwa komputerowego i napisał wiele książek o inżynierii społecznej i hakowaniu. Być może najbardziej cenionym jest „Sztuka oszustwa”. Jest to w istocie antologia krótkich opowiadań, które pokazują, w jaki sposób można przeprowadzić ataki socjotechniki i jak to zrobić chroń się przed nimi Jak się chronić przed atakami inżynierii społecznejW zeszłym tygodniu przyjrzeliśmy się niektórym głównym zagrożeniom związanym z inżynierią społeczną, na które Ty, Twoja firma lub pracownicy powinniście zwracać uwagę. W skrócie, inżynieria społeczna jest podobna do ... Czytaj więcej i jest dostępny do zakupu w Amazon.
Co można zrobić z oszustwem dyrektora generalnego?
Podsumujmy. Wiemy, że oszustwo CEO jest okropne. Wiemy, że wiele firm kosztuje wiele pieniędzy. Wiemy, że niezwykle trudno jest przeciwdziałać, ponieważ jest to atak na ludzi, a nie na komputery. Ostatnią rzeczą, którą pozostało do omówienia, jest sposób walki z tym.
Łatwiej to powiedzieć niż zrobić. Jeśli jesteś pracownikiem i otrzymałeś podejrzane żądanie zapłaty od swojego pracodawcy lub szefa, możesz się z nimi skontaktować (przy użyciu innej metody niż e-mail), aby sprawdzić, czy jest ono prawdziwe. Mogą być trochę zirytowani, że przeszkadzasz, ale prawdopodobnie będą więcej zirytowany, jeśli skończyłeś wysyłaniem 100 000 $ funduszy firmy na zagraniczne konto bankowe.
Istnieją również rozwiązania technologiczne, które można zastosować. Microsoft nadchodząca aktualizacja do Office 365 będzie zawierać pewne zabezpieczenia przed tego typu atakami, sprawdzając źródło każdego e-maila, aby sprawdzić, czy pochodzi on od zaufanego kontaktu. Microsoft uważa, że udało się uzyskać 500% poprawę w sposobie, w jaki Office 365 identyfikuje fałszywe lub sfałszowane wiadomości e-mail.
Nie użądl się
Najbardziej niezawodnym sposobem ochrony przed tymi atakami jest bycie sceptycznym. Ilekroć otrzymasz wiadomość e-mail z prośbą o wykonanie dużego przelewu, zadzwoń do swojego szefa, aby sprawdzić, czy jest to uzasadnione. Jeśli masz wpływ na dział IT, zastanów się nad poproszeniem o to przenieś do Office 365 Wprowadzenie do usługi Office 365: czy warto kupić nowy model biznesowy pakietu Office?Office 365 to pakiet oparty na subskrypcji, który oferuje dostęp do najnowszego pakietu Office na komputery stacjonarne, Office Online, magazynu w chmurze i aplikacji mobilnych premium. Czy Office 365 zapewnia wystarczającą wartość, aby być wartym swojej ceny? Czytaj więcej , który jest liderem w walce z oszustwami CEO.
Mam nadzieję, że nie, ale czy kiedykolwiek padłeś ofiarą oszustwa e-mailowego motywowanego pieniędzmi? Jeśli tak, chcę o tym usłyszeć. Napisz komentarz poniżej i powiedz mi, co poszło.
Kredyty fotograficzne: AnonDollar (Your Anon), Miguel The Entertainment CEO (Jorge)
Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.
