Hirdetés

Az e-mail egy általános támadási vektor, amelyet csalók és számítógépes bűnözők használnak. De ha úgy gondolja, hogy azt csak a rosszindulatú programok, az adathalász és az Nigériai előzetes díjcsalások A nigériai átverés e-mailek rejtenek-e rettenetes titkot? [Vélemény]Másnap egy újabb spam e-mail esik be a postafiókomba, valamilyen módon megkerülve a Windows Live spam szűrőjét, amely olyan jó munkát végez, hogy megvédi a szemeimet minden más kéretlen ... Olvass tovább , gondolj újra. Van egy új e-mail alapú csalás, ahol a támadó úgy tesz, mintha a főnöke lenne, és arra készteti Önt, hogy több ezer dolláros vállalati pénzeszközt utaljon át az általuk ellenőrzött bankszámlára.

Ezt vezérigazgatói csalásnak vagy bennfentes hamisításnak hívják.

A támadás megértése

Szóval, hogyan működik a támadás? Nos, ahhoz, hogy a támadó sikeresen levonja azt, sok információnak tudnia kell a megcélzott társaságról.

Ezen információk nagy része a megcélzott vállalat vagy intézmény hierarchikus struktúrájáról szól. Tudnod kell

instagram viewer
WHO megszemélyesítik őket. Noha az ilyen típusú csalásokat „vezérigazgatói csalásoknak” nevezik, a valóságban azokat célozzák bárki vezető szerepet tölt be - bárki, aki képes fizetéseket kezdeményezni. Tudnia kell a nevüket és az e-mail címüket. Segíthetne az ütemterv megismerésében, utazásukkor vagy nyaralásukkor is.

vezérigazgató

Végül meg kell tudniuk, hogy ki tudja a szervezetben átutalásokat kiadni, például könyvelő vagy valaki, aki a pénzügyi osztály alkalmazottja.

Ezen információk nagy része szabadon megtalálható a kérdéses társaság weboldalán. Számos közép- és kisvállalkozásnak van „Rólunk” oldala, ahol felsorolják alkalmazottaikat, szerepeiket és felelősségüket, valamint elérhetőségeiket.

Valaki menetrendjének megtalálása kicsit nehezebb lehet. Az emberek túlnyomó többsége nem hirdeti naptárát online. Sokan azonban mozgásukat nyilvánosságra hozzák a közösségi média oldalain, például a Twitter, a Facebook és a Facebook Swarm (korábban Foursquare) A Foursquare újjáéled az Ön ízlése alapján felfedező eszközkéntA Foursquare úttörője volt a mobil bejelentkezésnek; egy helyalapú állapotfrissítés, amely pontosan megmondta a világnak, hogy hol voltál, és miért - tehát a tiszta felfedező eszközre való váltás egy lépés előre? Olvass tovább . A támadónak csak meg kell várnia, amíg elhagyják az irodát, és sztrájkolhatnak.

A St George's Marketben vagyok - @ stgeorgesbt1 Belfastban, Co. Antrim https://t.co/JehKXuBJsc

- Andrew Bolster (@Bolster) 2016. január 17

Amint a támadó megszerezte a puzzle-darabot, amelyre szüksége van a támadás végrehajtásához, e-mailben küldik el a pénzügyet alkalmazott, aki állítólag vezérigazgatóvá válik, és kéri, hogy kezdeményezzen pénzátutalást az általuk átvitt bankszámlára ellenőrzés.

Ahhoz, hogy működjön, az e-mailnek valódinak kell lennie. Vagy e-mail fiókot fognak használni, amely „legitimnek” vagy hihetőnek tűnik (Például [email protected]), vagy annak ellenére, hogy „hamisítja” a vezérigazgató eredeti e-mailjét. Itt küldünk módosított fejlécű e-mailt, tehát a „Feladó:” mező tartalmazza a vezérigazgató eredeti e-mailjét. Egyes motivált támadók megkísérlik a vezérigazgatót e-mailben megkérdezni, hogy másolatot készítsenek e-mail stílusukról és esztétikájáról.

A támadó azt reméli, hogy a pénzügyi alkalmazottat nyomást fogják gyakorolni az átutalás elindítására anélkül, hogy először a célzott végrehajtóval ellenőriznék. Ez a tét gyakran megtérül, néhány társaság szándékosan több százezer dollárt fizetett ki. Egy franciaországi társaság volt profilozta a BBC elvesztette 100 000 eurót. A támadók 500 000-et próbáltak beszerezni, de az egyik kivételével a bank blokkolta a csalást.

Hogyan működnek a szociális mérnöki támadások

A hagyományos számítógépes biztonsági fenyegetések általában technológiai jellegűek. Ennek eredményeként technológiai intézkedéseket alkalmazhat ezeknek a támadásoknak a legyőzésére. Ha rosszindulatú programokkal fertőzött meg, telepíthet egy vírusvédelmi programot. Ha valaki megpróbálta feltörni a webszervert, felvehet valakit penetrációs teszt elvégzésére, és tanácsot adhat arra, hogyan lehet „megkeményíteni” a gépet más támadásokkal szemben.

Társadalmi mérnöki támadások Mi a szociális mérnöki munka? [MakeUseOf magyarázat]Telepítheti az iparág legerősebb és legdrágább tűzfalat. Oktathatja az alkalmazottakat az alapvető biztonsági eljárásokról és az erős jelszavak kiválasztásának fontosságáról. A szerverhelyiséget akár bezárhatja - de hogyan ... Olvass tovább - amire példa a vezérigazgatói csalás - sokkal nehezebb enyhíteni, mert nem támadnak meg rendszereket vagy hardvereket. Támadnak embereket. Ahelyett, hogy a kód sebezhetőségét kihasználnák, kihasználják az emberi természet előnyeit és ösztönös biológiai szükségszerűségünket, hogy másokba bízzunk. A támadás egyik legérdekesebb magyarázata a DEFCON konferencián történt 2013-ban.

A legjobban állkapcsosító és legszembetűnőbb csapdák a szociális mérnöki termékek termékei.

2012-ben Mat Honan, az egykori vezetékes újságíró egy online számítógépes bűnözői határozott káderek általi támadása alá került, akik eltökélt szándékukban álltak meg az internetes életében. A szociális mérnöki taktikák alkalmazásával képesek voltak meggyőzni az Amazonot és az Apple-t, hogy biztosítsák számukra a távoli törléshez szükséges információkat. a MacBook Air és az iPhone, törölje e-mail fiókját, és ragadja meg befolyásos Twitter fiókját a faji és homofób jelzőket. te itt olvashatja a hűvös meset.

A szociális mérnöki támadások alig jelentenek újdonságot. A hackerek évtizedek óta használják őket annak érdekében, hogy évtizedek óta hozzáférjenek a rendszerekhez, az épületekhez és az információkhoz. Az egyik leghírhedtebb társadalmi mérnök Kevin Mitnick, aki a 90-es évek közepén számítógépes bűncselekmények sorozatát követve elrejtette a rendőrséget. Öt évig börtönbe vették, és 2003-ig tilos volt számítógép használata. Ahogy a hackerek mennek, Mitnick olyan közel volt, amennyire csak tudott elérni rokkársági státusza van A világ legismertebb és legjobb hackereinek tízike (és izgalmas történeteik)Fehér kalap hackerek versus fekete kalap hackerek. Itt vannak a történelem legjobb és leghíresebb hackerei, és mit csinálnak ma. Olvass tovább . Amikor végül megengedték neki, hogy használja az internetet, azt Leo Laporte-n keresztül közvetítették A képernyővédők.

Végül legitimált. Most saját számítógépes biztonsági tanácsadó cégét működteti, és számos könyvet írt a szociális mérnöki tevékenységről és a hackelésről. Talán a legelterjedtebb a „Megtévesztés művészete”. Ez lényegében egy olyan novellák antológiája, amely azt vizsgálja, hogy miként lehet levonni a szociális mérnöki támadásokat, és hogyan védje meg magukat ellen Hogyan lehet megvédeni magát a társadalmi mérnöki támadások ellenA múlt héten áttekintettük azokat a főbb társadalmi mérnöki fenyegetéseket, amelyeket Önnek, a vállalatának vagy az alkalmazottainak figyelniük kell. Dióhéjban, a szociális technika hasonló egy ... Olvass tovább , és az Amazonon megvásárolható.

Mit lehet tenni a vezérigazgatói csalásokkal kapcsolatban?

Tehát nézzük újra. Tudjuk, hogy a csalás vezérigazgatója borzasztó. Tudjuk, hogy sok vállalatnak sok pénzbe kerül. Tudjuk, hogy hihetetlenül nehéz enyhíteni, mert támadás ember, nem számítógépek ellen. Az utolsó dolog, amit meg kellett fedeznünk, az, hogyan harcolunk ellene.

Ezt könnyebben lehet mondani, mint megtenni. Ha alkalmazott vagy, és gyanús fizetési kérelmet kapott munkaadójától vagy főnökétől, érdemes lehet velük bejelentkeznie (nem e-mailen keresztül), hogy megbizonyosodjon arról, hogy az eredeti-e. Lehet, hogy kissé bosszantanak téged, hogy zavarja őket, de valószínűleg ők több bosszantott, ha 100 000 dollár vállalati pénzt küldött egy külföldi bankszámlára.

AnonDollar

Vannak technológiai megoldások, amelyek szintén felhasználhatók. Microsoft az Office 365 közelgő frissítése tartalmaz bizonyos védelmet az ilyen típusú támadásokkal szemben, ellenőrizve minden e-mail forrását, hogy megbizonyosodjon arról, hogy az megbízható kapcsolattartóktól származik-e. A Microsoft úgy gondolja, hogy 500% -kal javultak abban, hogy az Office 365 hamis vagy hamis e-maileket azonosít.

Ne légy lelkes

A támadások elleni védekezés legmegbízhatóbb módja szkeptikus. Ha olyan e-mailt kap, amelyben nagy pénzátutalást kér, hívja fel főnökét, hogy megbizonyosodjon arról, hogy ez legit-e. Ha bármilyen befolyással van az informatikai osztályra, érdemes megkérdezni tőle lépjen az Office 365-hez Bevezetés az Office 365-be: Vásároljon az új Office üzleti modellbe?Az Office 365 előfizetésen alapuló csomag, amely hozzáférést biztosít a legújabb asztali Office csomaghoz, az Office Online alkalmazáshoz, a felhőalapú tároláshoz és a prémium mobil alkalmazásokhoz. Elegendő értéket nyújt-e az Office 365 ahhoz, hogy megéri a pénzt? Olvass tovább , amely vezető szerepet játszik a csalás vezérigazgatójaként.

Bizonyára remélem, hogy nem, de vajon áldozatul esett-e valami pénz-motivált e-mail csalásnak? Ha igen, szeretnék hallani róla. Dobj egy megjegyzést az alábbiakban, és mondd el, mi ment le.

Fotók: AnonDollar (az Ön anonja), Miguel The Entertainment vezérigazgatója (Jorge)

Matthew Hughes szoftverfejlesztő és író, az angliai Liverpoolból. Ritkán talál egy csésze erős fekete kávé nélkül a kezében, és teljesen imádja a MacBook Pro-t és a kameráját. A blogját a következő címen olvashatja el: http://www.matthewhughes.co.uk és kövesse őt a Twitteren a @matthewhughes oldalán.