Oglas

E-pošta je uobičajeni vektor napada koji koriste prevaranti i računalni kriminalci. Ali ako ste mislili da se koristi samo za širenje zlonamjernog softvera, krađe identiteta i Nigerijske prevare s unaprijed naknadom Sakrivaju li nigerijske prijevare e-pošte strašnom tajnom? [Mišljenje]Još jedan dan, još jedna neželjena e-pošta upada u moj pretinac, nekako se vrti oko filtra neželjene pošte Windows Live koji čini tako dobar posao zaštite očiju od svih ostalih neželjenih ... Čitaj više , razmisli ponovno. Nova je prevara usmjerena na e-poštu u kojoj će se napadač pretvarati da je vaš šef, a vi ćete navesti tisuće dolara financijskih sredstava na bankovni račun koji kontroliraju.

Zove se prijevara predsjednika uprave ili "Insajderno prevaravanje".

Razumijevanje napada

Pa kako funkcionira napad? Pa, da bi ga napadač mogao uspješno ukloniti, moraju znati puno informacija o tvrtki koju cilja.

Veći dio ovih podataka odnosi se na hijerarhijsku strukturu tvrtke ili institucije koju ciljaju. Oni će to morati znati

instagram viewer
Who oni će se lažno predstavljati. Iako je ova vrsta prevare poznata i kao "prijevara sa CEO-om", u stvarnosti joj je cilj bilo tko sa višom ulogom - svakoga tko bi mogao pokrenuti isplate. Trebat će im ime i adresu e-pošte. Takođe će vam pomoći znati njihov raspored i kada putuju ili na odmoru.

direktor tvrtke

Konačno, oni trebaju znati tko u organizaciji može izdati novčane transfere, kao što je računovođa ili netko zaposlen u odjelu za financije.

Većina ovih podataka može se slobodno naći na web stranicama tvrtke o kojoj je riječ. Mnoge tvrtke srednje i srednje veličine imaju stranice "O nama" na kojima navode svoje zaposlenike, njihove uloge i odgovornosti i svoje kontaktne podatke.

Pronalaženje nečijeg rasporeda može biti malo teže. Velika većina ljudi svoj kalendar ne objavljuje na mreži. Međutim, mnogi ljudi objavljuju svoje pokrete na web stranicama društvenih medija, poput Twittera, Facebooka i Roj (nekada četverokut) Četverostruki se ponovno predstavlja kao alat za otkrivanje na temelju vaših ukusaFoursquare je započeo mobilnu prijavu; ažuriranje statusa na temelju lokacije koje je svijetu točno znalo gdje ste i zašto - je li prelazak na čisti alat za otkrivanje korak naprijed? Čitaj više . Napadač će samo morati pričekati dok ne napuste ured, i mogu udariti.

Ja sam na tržnici St. George - 'stgeorgesbt1 u Belfastu, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 17. siječnja 2016

Nakon što napadač posjeduje svaki dio slagalice koji mu treba da izvrši napad, poslat će mu financije zaposlenik, pretpostavljajući da je izvršni direktor i tražeći da pokrenu prijenos novca na bankovni račun koji uplaćuju kontrolirati.

Da bi funkcionirao, e-pošta mora izgledati originalno. Oni će koristiti ili račun e-pošte koji izgleda "legitimno" ili vjerodostojno (Na primjer [email protected]) ili premda 'spoofing' originalnu e-poštu CEO-a. Ovdje će se slati e-pošta s modificiranim zaglavljima, pa polje "From:" sadrži originalnu e-poštu CEO-a. Neki motivirani napadači pokušat će natjerati predsjednika da im pošalje e-poštu, tako da može duplicirati stilove i estetiku svoje e-pošte.

Napadač se nada da će financijski zaposlenik biti pod pritiskom da pokrene prijenos bez da prvo provjeri ciljano izvršno tijelo. Ova se oklada često isplati, a neke su tvrtke nehotice platile stotine tisuća dolara. Jedna tvrtka u Francuskoj koja je profilirao BBC izgubila 100.000 eura. Napadači su pokušali dobiti 500.000, ali banka je blokirala sva plaćanja osim jedne, a sumnjala je na prijevaru.

Kako djeluju napadi na socijalni inženjering

Tradicionalne prijetnje računalnoj sigurnosti obično su tehnološke prirode. Kao rezultat, možete upotrijebiti tehnološke mjere za poraz ovih napada. Ako se zarazite zlonamjernim softverom, možete instalirati antivirusni program. Ako netko pokušava hakirati vaš web poslužitelj, možete angažirati nekoga da izvrši probojnost i savjetovati vas kako možete "očvrsnuti" uređaj protiv drugih napada.

Napadi socijalnog inženjeringa Što je socijalni inženjering? [MakeUseOf objašnjava]Možete instalirati najjači i najskuplji firewall u industriji. Možete educirati zaposlenike o osnovnim sigurnosnim postupcima i važnosti odabira jakih lozinki. Možete čak zaključati poslužiteljsku sobu - ali kako ... Čitaj više - čiji su primjer prevare izvršnog direktora - mnogo je teže ublažiti, jer ne napadaju sustave ili hardver. Napadaju ljude. Umjesto da iskoriste ranjivosti u kodu, oni koriste ljudsku prirodu i naš instinktivni biološki imperativ da vjerujemo drugim ljudima. Jedno od najzanimljivijih objašnjenja ovog napada dan je na konferenciji DEFCON 2013. godine.

Neki od najsmiljnijih hakova bili su proizvod društvenog inženjeringa.

Godine 2012., bivši Wired novinar Mat Honan našao se pod napadom odlučnog kadra cyber-kriminalaca koji su bili odlučni uništiti njegov internetski život. Pomoću taktike socijalnog inženjeringa uspjeli su uvjeriti Amazon i Apple da im daju informacije potrebne za daljinsko brisanje njegov MacBook Air i iPhone, izbrisati njegov račun e-pošte i iskoristiti njegov utjecajni račun na Twitteru kako bi objavljivao rasne i homofobne epiteti. Vas možete pročitati ohlađujuću priču ovdje.

Napadi na socijalni inženjering jedva su nova inovacija. Hakeri ih koriste desetljećima kako bi dobili pristup sustavima, zgradama i informacijama desetljećima. Jedan od najozloglašenijih socijalnih inženjera je Kevin Mitnick, koji je sredinom 90-ih godina proveo skrivajući se od policije, nakon što je počinio niz računalnih zločina. U zatvoru je bio pet godina, a zabranjeno mu je korištenje računala do 2003. godine. Kako hakeri odlaze, Mitnick je bio što je moguće bliži koji imaju status zvijezde 10 najpoznatijih i najboljih hakera na svijetu (i njihove fascinantne priče)Hakeri s bijelim šeširima nasuprot hakerima s crnim šeširima. Ovdje su najbolji i najpoznatiji hakeri u povijesti i što rade danas. Čitaj više . Kad mu je napokon dopušteno korištenje Interneta, to je bio televizijski prikazan na Lau Laporteu Čuvari zaslona.

Na kraju je otišao zakonit. Sada vodi vlastitu konzultantsku tvrtku za računalnu sigurnost i napisao je niz knjiga o socijalnom inženjeringu i hakiranju. Možda najviše cijenjena je "Umjetnost obmane". To je u biti antologija kratkih priča koje gledaju kako se napadi socijalnog inženjeringa mogu povući i kako to učiniti zaštiti se od njih Kako se zaštititi od napada socijalnog inženjeringaProšli tjedan pogledali smo neke od glavnih prijetnji socijalnog inženjeringa na koje biste trebali gledati vi, vaša tvrtka ili vaši zaposlenici. Ukratko, socijalni inženjering je sličan ... Čitaj više , i dostupna je za kupnju u Amazonu.

Što se može učiniti s prijevarama izvršnog direktora?

Pa, rezimirajmo Znamo da je prijevara predsjednika uprave grozna. Znamo da je to koštalo mnogo kompanija puno novca. Znamo da je nevjerojatno teško ublažiti, jer je napad na ljude, a ne na računala. Posljednje što nam preostaje je da se borimo protiv toga.

To je lakše reći nego učiniti. Ako ste zaposlenik i primili ste sumnjiv zahtjev za plaćanje od svog poslodavca ili šefa, možda biste se željeli prijaviti s njima (koristeći drugi način osim e-pošte) da biste vidjeli je li to originalan. Možda će vas malo iznervirati zbog toga što im smetate, ali vjerojatno će biti više uznemiren ako na kraju pošaljete 100.000 američkih sredstava tvrtke na račun u inozemstvu.

AnonDollar

Postoje tehnološka rješenja koja se također mogu koristiti. Microsoft nadolazeće ažuriranje za Office 365 sadržavat će neke zaštite protiv ove vrste napada provjeravanjem izvora svake poruke e-pošte da li je došao iz pouzdanog kontakta. Microsoft smatra da su postigli 500% poboljšanje u načinu na koji Office 365 identificira krivotvorene ili krivotvorene e-poruke.

Nemoj biti zaudaran

Najpouzdaniji način zaštite od ovih napada je biti skeptičan. Kad god dobijete poruku e-pošte u kojoj se od vas traži izvršavanje velikog novca, nazovite šefa da provjeri je li to zakonito. Ako imate ikakvih poteškoća s IT odjelom, razmislite da ih zatražite pređite na Office 365 Uvod u Office 365: Treba li se kupiti u novom poslovnom modelu Officea?Office 365 paket koji se temelji na pretplati nudi pristup najnovijem paketu Office Office, Office Online, pohrani u oblaku i premium mobilnim aplikacijama. Daje li Office 365 dovoljnu vrijednost da bi bio vrijedan novca? Čitaj više , koji je vodeća osoba u borbi protiv prevare sa CEO-om.

Svakako se nadam da nije, ali jeste li ikad bili žrtva novčanog prijevara e-pošte? Ako je tako, želim čuti za to. Ispiši komentar ispod i reci mi što je propalo.

Foto-krediti: AnonDollar (Vaš Anon), Miguel The Entertainment CEO (Jorge)

Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.