Социальная инженерия и как от нее защищаться

PHANTOM

Команда форума
Модератор
Регистрация
Сообщения
736
Реакции
36
Мы часто описываем технические аспекты безопасности, но советы, как шифровать данные и настраивать браузер, не помогут, если вы или ваши сотрудники не знаете, как не попадаться на психологические уловки.


Социальная инженерия – это набор манипулятивных приемов, направленных на получение выгоды. И это самый простой способ проникнуть в компанию, так как людей взломать проще, чем современные машины. Большая часть атак сегодня совершается именно с помощью уязвимостей в головах, а не в железе. Чтобы защищаться, нужно понимать методы.

Приведем некоторые.

- Атака с приманкой

Пример: ваш сотрудник находит около входа в офис флешку и вставляет ее в рабочий компьютер. Далее флешка либо запускает вирус, либо сжигает материнскую плату устройства.

Противодействие: составьте список доверенных устройств, использующихся в периметре офиса, маркируйте их, занесите их идентификационные номера в базу. Запретите без необходимости или одобрения уполномоченного сотрудника СБ подключать к рабочим компьютерам что-либо.

- Взаимный обмен

Это и введение в заблуждение с помощью обещания сделать что-то, и подкуп.

Противодействие: трезво оценивать ситуацию и соотносить выгоды с потенциальными рисками. Для предотвращения подкупов отчасти помогут системы контроля доступа, проверки сотрудников на благонадежность с помощью заказных хакерских атак, маски-шоу и выемок-допросов в офисе. Это стоит денег и мороки, зато поймете, кто у вас самое слабое звено.

- Фишинг

Большая часть атак на компании до сих пор идет через почту с фишинговым приложением. Письма от банка, требующие «подтвердить» секретную информацию, опросники, предложения вакансий от хедхантеров, письма якобы из органов и от руководства. Особо опасен целевой фишинг, когда хакеры сначала собирают информацию о сотруднике или руководителе, а затем пользуется ей, чтобы сделать фишинг персонализированным.

Противодействие: переходите по подозрительным ссылкам в письме только с помощью отдельного, не рабочего, браузера, тщательно проверяйте адрес. Учтите, что адрес почты может выглядеть точно как настоящий, потому что его можно подменить. Поэтому, если письмо от коллеги, перезвоните ему и спросите, он ли это прислал. Если говорится о чем-то важном и срочном, остановитесь и проанализируйте ситуацию.

- Вишинг

Это голосовой фишинг. Например, когда звонят якобы из банка или из трехбуквенных ведомств. Люди на той стороне с театральным мастерством зачастую убеждают в чем угодно, пользуясь страхом перед органами. Так же могут звонить под видом руководства, коллеги или контрагента. Был случай, когда сотруднице позвонили с подменного номера и с помощью специальной программы сгенерировали голос шефа, который убедил перевести несколько миллионов на левый счет.

Противодействие: если звонят и настойчиво убеждают сделать что-то, угрожая проверкой, допросом, выемкой и т.п, успокойтесь, уверенным голосом спросите ФИО, номер сотрудника, кто начальник, по какому адресу находится управа и т.д. Если это подстава, после уточняющих вопросов абонент начнет сильнее давить или хамить.

При сомнениях положите трубку и перезвоните сами – если это мошенники, не дозвонитесь, так как номер подменный.

В спешке человек не замечает, как делает что-то опасное. Сильное Орудие против СИ – это холодная голова и взвешенные решения. Если кричат, что дело срочное, скажите, что требуется время, что нужно посоветоваться, что нет данных. Короче, что угодно, чтобы осмыслить ситуацию.

➡️ Более продуманные и таргетированные атаки включают предварительный сбор информации, поэтому, как и советовали, не оставляйте за собой много цифровых следов и убедите ключевых сотрудников делать так же. Не рассказывайте много о себе, делайте публикации доступными только для определенного круга. Проанализируйте, какие аспекты попадают в сеть и составьте правила для работников.

3e9e8c6d42dc3e855de7a77c90fdd0c3.jpg
 
Сверху