Što su lažni zahtjevi za hitnim podacima?

Hakeri uvijek traže nove načine za krađu povjerljivih informacija. Ponekad žele ukrasti određene informacije. Ali čak su i osobni podaci slučajnih ljudi potencijalno vrijedni za preprodaju na dark webu.

Zbog toga gotovo sve tvrtke imaju nešto što bi se hakeri htjeli dočepati. Bilo da se radi o preprodaji, uznemiravanju ili jednostavno zabavi, sve tvrtke sada su potencijalne mete za krađu podataka.

U tu svrhu često se koriste lažni zahtjevi za hitnim podacima. Dakle, što su hitni zahtjevi za podacima i kako ih hakeri koriste?

Što su zahtjevi za hitne podatke?

Zahtjev za hitne podatke ono je što vlada koristi kada želi dohvatiti informacije od privatne tvrtke. Ovi zahtjevi su legitimne pravne obavijesti koje šalju policijske uprave diljem zemlje.

Većina poduzeća ih je primila i zakonski su dužna na njih odgovoriti. Dok zakoni o privatnosti sprječavaju objavljivanje osobnih podataka u drugim okolnostima, tvrtke nemaju izbora kada im se dostavi nalog, što ovu tehniku ​​čini privlačnom za hakere.

Kako hakeri koriste lažne "hitne zahtjeve za podacima"?

Problem sa zahtjevima za hitne podatke je taj što ih nije nužno teško lažirati. U većini poduzeća također ne rade pravni stručnjaci.

Primatelj će jednostavno pogledati odakle je zahtjev došao. Ako se čini da je iz policijske uprave, često će dati tražene podatke.

Zbog toga hakeri sada šalju lažne zahtjeve za hitnim podacima bilo kojoj tvrtki kojoj žele ukrasti informacije.

Adrese e-pošte mogu se lažirati, ali ova metoda je toliko učinkovita da mnogi hakeri idu dalje. Oni hakiraju policijske uprave, a zatim koriste policijske poslužitelje za slanje zahtjeva za podacima. Ovi zahtjevi izgledaju legitimno jer su legitimni.

Problem eskalira jer mreže policijskih uprava nisu uvijek tako sigurne koliko bi ljudi željeli. Hakeri mogu slati zahtjeve za podacima iz bilo koje policijske uprave, uključujući male odjele s ograničenim IT resursima.

Zašto su lažni zahtjevi za hitne podatke tako učinkoviti?

Lažni zahtjevi za hitnim podacima vrlo su učinkoviti. Također je lako razumjeti zašto bi se tvrtka pridržavala jednog takvog. Za ignoriranje valjanog zahtjeva postoje ozbiljne pravne posljedice. Većina tvrtki također nije svjesna prijevare, pa nemaju razloga sumnjati da razgovaraju s bilo kim osim s policijom.

Kao i mnoge prijevare, lažni zahtjevi za hitnim podacima također se oslanjaju na osjećaj hitnosti žrtve. Zahtjevi često uključuju bilješku u kojoj se navodi da je osoba koja se istražuje ozbiljna prijetnja i da može naštetiti drugima. To potiče žrtvu da udovolji zahtjevu čak i ako sumnja u njegovo podrijetlo.

Koje su posljedice ovih prijevara?

Poduzeća koja padaju na te prijevare obično se ne gone, jer nisu dobrovoljno objavila povjerljive podatke, već su se pokoravali onome za što su vjerovali da je zakonit zahtjev.

Međutim, primarne žrtve ove prijevare su vlasnici osobnih podataka koji su objavljeni. Ovisno o vrsti objavljenih podataka, mogu pretrpjeti krađu identiteta, uznemiravanje na mreži i moguću otmicu računa.

Ugled poduzeća također može nastradati ako se uspješan napad objavi. Osoba čiji su podaci ukradeni vjerojatno ne mari kako se to dogodilo.

Što Vlada čini da spriječi lažne EDR-ove?

Ova vrsta napada postaje toliko uobičajena da vlada pokušava donijeti zakon koji bi zahtijevao da se svi zahtjevi za hitne podatke biti digitalno potpisan. Prijevara je moguća jer je te obavijesti lako replicirati. To bi potencijalno olakšalo provjeru svakog zahtjeva.

Osim što još nije implementiran, problem ovakvog pristupa je i to što bi poduzeća i dalje trebala biti svjesna novog zakona. Digitalni potpisi nisu od koristi ako ih nitko ne traži.

Drugo moguće rješenje je zahtijevati da se svi zahtjevi za hitne podatke šalju iz jednog upravljačkog tijela. Držanjem svega u jednom odjelu, bilo bi puno lakše provoditi jake sigurnosne standarde i spriječiti neovlašteni pristup.

Problem s ovakvim pristupom je što bi uzrokovao značajno kašnjenje kad god bi policijski službenik želio poslati takav zahtjev u legitimnu svrhu. S obzirom na važnost ovih obavijesti i činjenicu da je hitnost često stvarno prisutna, ni ovo možda nije prihvatljivo rješenje.

Kako se zaštititi od lažnih zahtjeva za hitnim podacima

Umjesto da se oslanjaju na zakone koji još nisu doneseni, poduzeća bi trebala dati sve od sebe da se zaštite. Oni mogu ostati sigurni slijedeći ove dvije preventivne mjere:

Pažljivo pročitajte sve zahtjeve

Lažni zahtjevi za hitnim podacima uvelike se razlikuju u pogledu kvalitete. Ako dobijete EDR, uvijek tražite pogreške. E-mail adresa je očito mjesto. Provjerite ima li manjih varijacija pravopisa koje bi upućivale na lažiranje e-pošte.

Ako ste u prošlosti primali istinske zahtjeve za hitnim podacima, usporedite ih. Potražite čudnu frazu koja može ukazivati ​​na to da je e-poruku napisao neki govornik koji nije maternji jezik. Također, provjerite ima li pogrešaka u formatiranju ili logotipa loše kvalitete koji bi mogao biti rezultat Photoshopa.

Svatko tko šalje EDR mora navesti svoje ime i mjesto rada. Obratite se izravno njihovom odjelu i provjerite je li netko tamo doista podnio zahtjev. Time se prijevara odmah zaustavlja.

Problem je u tome što mnoge tvrtke automatski pretpostavljaju da je zahtjev valjan i ne vide razloga za to. Važno je napomenuti da su napadači svjesni ove mogućnosti i uključit će svoje podatke za kontakt. Stoga morate pretraživati ​​na internetu i sami pronaći podatke za kontakt.

Tvrtke bi ovu prijetnju trebale shvatiti ozbiljno

Mnoge online prijevare ne privlače pozornost vlade. Činjenica da državni dužnosnici sada raspravljaju o lažnim EDR-ovima snažan je pokazatelj njihove sposobnosti da prouzrokuju štetu.

Bilo koja tvrtka koja posjeduje privatne informacije, a koja je sada gotovo sve tvrtke, stoga bi trebala biti svjesna problema i postupiti u skladu s tim kada se primi EDR. Za to je potrebno strpljenje i može se činiti nepotrebnim, ali to je jedini način da izbjegnete nasjedanje na ovu prijevaru.

Sve što trebate znati o operaciji Aurora

Pročitajte dalje

O autoru