Każdy może zostać oszukany przez blaggera. Oto, co to oznacza i jak możesz się bronić.

Blagging może brzmieć jak skomplikowana technika hakerska, ale jest o wiele prostszy. Ale chociaż nie jest tak „zaawansowany technologicznie” jak inne cyberprzestępstwa, blagging może wyrządzić poważne szkody, jeśli firmy nie są na to przygotowane.

Czym więc jest blagging i jak to działa?

Co to jest blagging i jak to działa?

Źródło obrazu: freepik

Blagging ma miejsce, gdy podstępni oszuści próbują oszukać lub zmanipulować ludzi w celu przekazania poufnych informacji, do których nie powinni mieć dostępu.

Ci blaggerzy wymyślą każdą historię, której potrzebują, aby przekonać swój cel do ujawnienia danych, które mogłyby zostać wykorzystane do podejrzanych celów, takich jak kradzież tożsamości, szpiegowanie firm lub szantażowanie ludzi.

Jak to dokładnie działa? Oto kilka typowych technik blaggingu:

  1. Personifikacja: oszust udaje kogoś innego, na przykład współpracownika, przedstawiciela banku lub policjanta. To buduje zaufanie i sprawia, że ​​cel jest bardziej skłonny do dzielenia się poufnymi informacjami. Na przykład mogą dzwonić, udając technika IT, który potrzebuje hasła, aby rozwiązać problem z komputerem.
    instagram viewer
  2. Tworzenie fałszywego poczucia pilności: oszust wywiera presję na cel, sprawiając, że żądanie wydaje się zależne od czasu. Groźby zamknięcia konta lub podjęcia działań prawnych służą szybkiemu uzyskaniu informacji, zanim ofiara zdąży zweryfikować zasadność żądania.
  3. Wyłudzanie informacji: Blaggers będą używać wiadomości phishingowych lub linków zawierających złośliwe oprogramowanie w celu zainfekowania systemów docelowych i kradzieży danych. E-maile są tak spreparowane, aby wyglądały, jakby pochodziły z zaufanego źródła, aby zachęcić ofiarę do kliknięcia lub pobrania.
  4. Atak na USB: Ta taktyka pozostawia zarażonych urządzeń obciążonych złośliwym oprogramowaniem, takich jak dyski USB w miejscach publicznych gdzie cele prawdopodobnie je znajdą i podłączą, umożliwiając blaggerowi dostęp. Parkingi i windy to popularne miejsca przyciągania niczego niepodejrzewających osób.
  5. Upuszczanie nazw: oszust wymienia nazwiska legalnych menedżerów, kierowników lub kontaktów, aby wyglądało na to, że są upoważnieni do posiadania informacji poufnych. To nadaje wiarygodności ich podejrzanej prośbie.
  6. Prośby o współczucie: Oszuści odwołują się do współczucia ofiary, wymyślając łzawe historie, aby nimi manipulować. Mówienie, że jest samotnym rodzicem, który potrzebuje pieniędzy na koncie, aby wyżywić rodzinę, może zadziałać.
  7. Coś za coś: oszust obiecuje coś w zamian za informacje, na przykład premię, czas wolny lub gotówkę. Oczywiście są to puste obietnice, które służą do osiągnięcia tego, czego chcą.
  8. Podążanie za ogonem: Blagger fizycznie podąża za pracownikiem do budynku lub obszaru o ograniczonym dostępie, aby uzyskać dostęp. Liczą na ludzi, którzy przytrzymują drzwi otwarte dla innych lub nie kwestionują ich obecności.
  9. Wywołanie: Blaggerzy będą próbować angażować się w przyjazne pogawędki, aby skłonić cele do nieumyślnego ujawnienia informacji o systemach, procesach lub lukach w zabezpieczeniach. Jest niebezpieczny, ponieważ wydaje się taki nieszkodliwy.

Kluczową rzeczą do zapamiętania jest to, że ci napastnicy są mistrzami oszustwa i powiedzą lub zrobią wszystko, aby uzyskać to, czego szukają.

Jak bronić się przed atakami Blagging

Skoro blaggerzy stosują tak wiele podstępnych taktyk, jak możesz chronić siebie i swoją firmę przed ich oszustwami? Oto kilka kluczowych sposobów obrony przed atakami typu blagging.

Zweryfikuj roszczenia

Nie bierz nikogo za dobrą monetę – zawsze potwierdzaj jego historię.

Jeśli ktoś zadzwoni, twierdząc, że potrzebuje dostępu do pomocy technicznej lub innego pracownika, który potrzebuje informacji, rozłącz się i oddzwoń, używając oficjalnego numeru, aby potwierdzić, że jest to uzasadnione.

Dokładnie sprawdź adresy e-mail, nazwiska i dane kontaktowe, aby upewnić się, że również pasują.

Zweryfikuj żądania

Jako pracownik firmy przyjrzyj się wszelkim nietypowym prośbom, nawet jeśli wydają się pilne lub historia jest wiarygodna. Załóżmy, że musisz przekazać sprawę przełożonemu lub przesłać zgłoszenie odpowiednimi kanałami.

Zwolnij interakcję, aby móc dokładniej zbadać sprawę przed przekazaniem poufnych danych.

Ogranicz dostęp do konta

Właściciele firm powinni zapewnić pracownikom minimalny dostęp niezbędny do wykonywania pracy i nic więcej. Na przykład przedstawiciele obsługi klienta prawdopodobnie nie potrzebują dostępu do systemów finansowych. Obejmuje to wszelkie szkody w przypadku naruszenia bezpieczeństwa konta.

Wdrażanie zasady najmniejszych uprawnień może uniemożliwić blaggerowi zbyt wiele, jeśli oszuka jedną osobę.

Zgłoś podejrzenia

Nie wahaj się mówić, jeśli prośba wydaje się dziwna lub historia się nie zgadza. Natychmiast powiadom ochronę lub kierownictwo, jeśli podejrzewasz, że interakcja jest próbą obgadania.

Ponadto uważnie monitoruj systemy i zachowanie użytkowników, aby wykryć wszelkie nietypowe działania, które mogłyby wskazywać na próbę ataku. Szukaj takich rzeczy jak:

  • Próby uzyskania dostępu do nieautoryzowanych systemów lub poufnych danych.
  • Zdalne logowanie z nieznanych adresów IP lub lokalizacji.
  • Duże ilości danych przesyłane na zewnątrz.
  • Anomalie w typowych wzorcach użytkowników, takie jak uruchamianie nowych procesów lub nietypowe godziny pracy.
  • Wyłączone narzędzia bezpieczeństwa, takie jak pakiety antywirusowe lub monity logowania.

Im szybciej anomalne zachowanie zostanie wykryte, tym szybciej eksperci będą mogli zbadać i złagodzić potencjalny atak typu blagging.

Szkolenie ze świadomości bezpieczeństwa

Dobrze wyszkolonych pracowników znacznie trudniej oszukać blaggerom. Ciągła edukacja wzmacnia ludzką zaporę ogniową i umożliwia ludziom pewne powstrzymanie inżynierii społecznej.

Kiedy pracownicy wiedzą, jak przechytrzyć taktykę bicia, firmy zyskują znaczną przewagę. Szkolenie powinno obejmować rzeczywiste przykłady i scenariusze, aby pracownicy mogli ćwiczyć odpowiednie reagowanie. Przetestuj je za pomocą symulowanych wiadomości phishingowych i nieoczekiwanych gości, aby zobaczyć ich reakcje. Powinno to również wyjaśniać wspólne techniki blaggingu, takie jak pretekstowanie, phishing i oferty quid pro quo. Im lepiej pracownicy rozumieją taktykę, tym lepiej ją rozpoznają.

Naucz pracowników, jak prawidłowo weryfikować wnioski, weryfikować tożsamość, zgłaszać incydenty i obchodzić się z wrażliwymi danymi zgodnie z zasadami. Podaj jasne wytyczne dotyczące oczekiwanych działań. Zadbaj o to, by było ciekawie, korzystając z atrakcyjnych filmów, interaktywnych modułów i konkursów, aby nadal koncentrować się na bezpieczeństwie. Często odświeżaj trening.

I upewnij się, że starsi liderzy uczestniczą w demonstrowaniu zaangażowania organizacji w świadomość.

Użyj zabezpieczeń warstwowych

Polegaj na wielu nakładających się kontrolach bezpieczeństwa, a nie na pojedynczym punkcie awarii.

Oto niektóre warstwy, które możesz zaimplementować:

  • Fizyczne środki bezpieczeństwa, takie jak identyfikatory, zabezpieczone obiekty i monitoring CCTV, aby zapobiec nieautoryzowanemu dostępowi.
  • Zabezpieczenia obwodowe, takie jak zapory ogniowe, IPS i filtry sieciowe, które blokują znane zagrożenia i ryzykowne witryny przed wejściem do sieci.
  • Ochrona punktów końcowych z programem antywirusowym, wykrywanie punktów końcowych i odpowiedźoraz szyfrowanie, aby zapobiegać naruszeniom i utrudniać kradzież danych.
  • Bezpieczeństwo poczty e-mail z bramkami do filtrowania złośliwych wiadomości e-mail i piaskownicą w celu izolowania zagrożeń.
  • Kontrola dostępu, np uwierzytelnianie wieloskładnikowe oraz uprawnienia oparte na rolach, aby ograniczyć niewłaściwe użycie konta, nawet jeśli dane uwierzytelniające zostaną naruszone.
  • Narzędzia zapobiegające utracie danych w celu zatrzymania dużych transferów poufnych danych.

Im więcej przeszkód dla blaggerów, tym większe prawdopodobieństwo, że zostaną zauważeni.

Miej się na baczności przed blaggingiem

Podczas gdy blegging często atakowany jest przez firmy, wszyscy są narażeni. Każdy z nas może zostać oszukany przez pozornie niewinny telefon lub e-mail od oszusta udającego pomoc techniczną, przedstawiciela banku, a nawet członka rodziny potrzebującego pomocy. Dlatego wszyscy musimy nauczyć się technik blaggingu i wiedzieć, jak dostrzegać czerwone flagi.

A jeśli jesteś właścicielem firmy lub prowadzisz firmę, nie powinieneś lekceważyć tego zagrożenia. Dzięki wszechstronnemu szkoleniu w zakresie świadomości bezpieczeństwa i warstwowym zabezpieczeniom technicznym możesz udaremnić działania tych oszustów.

Przy odpowiednich zabezpieczeniach blaggerzy nie mają szans.