Peter Holmes
0 
2103
141
E-pošta je uobičajeni vektor napada koji koriste prevaranti i računalni kriminalci. Ali ako ste mislili da se koristi samo za širenje zlonamjernog softvera, krađe identiteta i nigerijske akontacije unaprijed Da li nigerijske e-poruke prijevara skrivaju neku strašnu tajnu? [Mišljenje] Sakrivaju li nigerijske prijevare e-pošte strašnom tajnom? [Mišljenje] Neki dan, još jedna neželjena e-pošta upada u moj pretinac, nekako se snalazeći se putem filtra neželjene pošte Windows Live koji čini tako dobar posao zaštite očiju od svih ostalih nepoželjnih ..., razmislite ponovo. Nova je prevara usmjerena putem e-pošte na kojoj će se napadač pretvarati da je vaš šef i omogućiti vam da prenesete tisuće dolara fondova tvrtke na bankovni račun koji kontroliraju.
Zove se CEO Fraud, ili “Unutrašnje podmetanje”.
Razumijevanje napada
Pa kako funkcionira napad? Pa, da bi ga napadač mogao uspješno ukloniti, moraju znati puno informacija o tvrtki kojoj cilja.
Veći dio ovih podataka odnosi se na hijerarhijsku strukturu poduzeća ili institucije na koju ciljaju. Morat će to znati tko oni će se lažno predstavljati. Iako je ova vrsta prijevara poznata kao “Prevara s izvršnim direktorom”, u stvarnosti cilja bilo tko sa višom ulogom - svakoga tko bi mogao pokrenuti isplate. Morat će znati svoje ime i svoju adresu e-pošte. Takodje bi pomoglo znati njihov raspored i kada bi putovali ili bili na odmoru.
Konačno, oni moraju znati tko u organizaciji može izdati novčane transfere, poput računovođe ili nekoga tko je zaposlen u odjelu za financije.
Većina tih podataka može se slobodno naći na web stranicama tvrtke o kojoj je riječ. Mnoge tvrtke srednje i male veličine imaju “O nama” stranice na kojima su navedeni zaposlenici, njihove uloge i odgovornosti i njihovi kontakt podaci.
Pronalaženje nečijeg rasporeda može biti malo teže. Velika većina ljudi svoj kalendar ne objavljuje na mreži. Međutim, mnogi ljudi objavljuju svoje pokrete na web stranicama društvenih medija, poput Twittera, Facebooka i Swarma (ranije Foursquare) četverokutka se ponovo pokreće kao alat za otkrivanje na temelju vaših ukusa. ažuriranje statusa na temelju lokacije koje je svijetu točno znalo gdje ste i zašto - je li prelazak na čisti alat za otkrivanje korak naprijed? , Napadač bi trebao pričekati dok ne napuste ured i mogu udariti.
Ja sam na tržnici St. George - @ stgeorgesbt1 u Belfastu, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17. siječnja 2016
Nakon što napadač posjeduje svaki dio slagalice koji mu je potreban za provođenje napada, on će poslati e-poštom financijskom zaposleniku, smatrajući se izvršnim direktorom, i tražiti da pokrene prijenos novca na bankovni račun koji kontroliraju.
Da bi funkcionirao, e-pošta mora izgledati originalno. Oni će ili koristiti račun e-pošte koji izgleda 'legitimno' ili vjerodostojno (na primjer [email protected]) ili "lažiranje" originalne poruke e-pošte predsjednika uprave. Ovdje će se poslati e-pošta s modificiranim zaglavlja, pa “Iz:” polje sadrži originalnu e-poštu izvršnog direktora. Neki će motivirani napadači pokušati natjerati generalnog direktora da im šalje e-poštu, tako da može duplicirati stil i estetiku svoje e-pošte..
Napadač će se nadati da će financijski zaposlenik biti pod pritiskom da pokrene prijenos bez da prvo provjeri ciljano izvršno tijelo. Ova se oklada često isplati, a neke su tvrtke nehotice platile stotine tisuća dolara. Jedna tvrtka u Francuskoj koju je profilirao BBC izgubila je 100.000 eura. Napadači su pokušali dobiti 500.000, ali banka je blokirala sva plaćanja osim jedne, a sumnjala je na prijevaru.
Kako djeluju napadi na socijalni inženjering
Tradicionalne prijetnje računalnoj sigurnosti obično su tehnološke prirode. Kao rezultat, možete upotrijebiti tehnološke mjere za poraz ovih napada. Ako se zarazite zlonamjernim softverom, možete instalirati antivirusni program. Ako netko pokušava hakirati vaš web poslužitelj, možete angažirati nekoga da izvrši penetracijski test i savjetovati vas kako možete "očvrsnuti" stroj protiv drugih napada.
Napadi socijalnog inženjeringa Što je socijalni inženjering? [MakeUseOf objašnjava] Što je socijalni inženjering? [MakeUseOf Explains] Možete instalirati najjači i najskuplji firewall u industriji. Možete educirati zaposlenike o osnovnim sigurnosnim postupcima i važnosti odabira jakih lozinki. Možete čak i zaključati poslužiteljsku sobu - ali kako ... - čiji je primjer prijevara izvršnog direktora - mnogo je teže ublažiti, jer oni ne napadaju sustav ili hardver. Napadaju ljude. Umjesto da iskoriste ranjivosti u kodu, oni koriste ljudsku prirodu i naš instinktivni biološki imperativ da vjerujemo drugim ljudima. Jedno od najzanimljivijih objašnjenja ovog napada dan je na konferenciji DEFCON 2013. godine.
Neki od najsmiljnijih hakova bili su proizvod društvenog inženjeringa.
U 2012. godini, bivši Wired novinar Mat Honan našao se pod napadom odlučnog kadra cyber-kriminalaca, koji su bili odlučni uništiti njegov internetski život. Pomoću taktike društvenog inženjeringa uspjeli su uvjeriti Amazon i Apple da im daju potrebne informacije za daljinsko brisanje MacBook Air-a i iPhone-a, brisanje njegovog računa e-pošte i zaplijenjeni njegov utjecajni račun na Twitteru kako bi mogli objavljivati rasne i homofobne epitete , Tu ohrabrujuću priču možete pročitati ovdje.
Napadi na socijalni inženjering jedva su nova inovacija. Hakeri ih koriste desetljećima kako bi dobili pristup sustavima, zgradama i informacijama desetljećima. Jedan od najozloglašenijih socijalnih inženjera je Kevin Mitnick, koji je sredinom 90-ih godina proveo skrivajući se od policije, nakon što je počinio niz računalnih zločina. U zatvoru je bio pet godina, a zabranjeno mu je korištenje računala do 2003. Dok su hakeri prolazili, Mitnick je bio što je bliže moguće da imate status zvijezde 10 najpoznatijih i najboljih hakera na svijetu (i njihove fascinantne priče) 10 od najpoznatiji i najbolji svjetski hakeri (i njihove fascinantne priče) hakeri s bijelim šeširima nasuprot crnim šeširima. Evo najboljih i najpoznatijih hakera u povijesti i onoga što danas rade. , Kad mu je napokon dopušteno korištenje Interneta, to se prenosio na televiziji na Lau Laporteu Čuvari zaslona.
Na kraju je otišao zakonit. Sada vodi vlastitu konzultantsku tvrtku za računalnu sigurnost i napisao je niz knjiga o socijalnom inženjeringu i hakiranju. Možda je najviše cijenjena “Umjetnost obmane”. Ovo je u biti antologija kratkih priča koje gledaju kako se napadi socijalnog inženjeringa mogu povući i kako se zaštititi od njih Kako se zaštititi od napada socijalnog inženjeringa Kako se zaštititi od napada socijalnog inženjerstva Prošli tjedan pogledali smo neke od glavnih prijetnji socijalnim inženjeringom na koje biste trebali paziti vi, vaša tvrtka ili vaši zaposlenici. Ukratko, socijalni inženjering sličan je…, a dostupan je za kupnju u Amazonu.
Što se može učiniti s prijevarama izvršnog direktora?
Dakle, preispitajmo. Znamo da je prijevara predsjednika uprave grozna. Znamo da je to koštalo puno kompanija puno novca. Znamo da je nevjerojatno teško ublažiti, jer je napad na ljude, a ne na računala. Posljednje što preostaje da prikrijemo je kako se borimo protiv toga.
To je lakše reći nego učiniti. Ako ste zaposlenik i primili ste sumnjiv zahtjev za plaćanje od svog poslodavca ili šefa, možda biste se željeli prijaviti kod njih (koristeći drugu metodu osim e-pošte) da biste vidjeli je li to originalan. Možda će vas malo iznervirati zbog toga što im smetate, ali vjerojatno će biti više uznemiren ako na kraju pošaljete 100.000 američkih sredstava tvrtke na račun u inozemstvu.
Postoje tehnološka rješenja koja se također mogu koristiti. Microsoftovo nadolazeće ažuriranje sustava Office 365 sadržavat će neke zaštite protiv ove vrste napada provjeravanjem izvora svake poruke e-pošte da li je došlo od pouzdanog kontakta. Microsoft smatra da su postigli 500% poboljšanje u načinu na koji Office 365 identificira krivotvorene ili krivotvorene e-poruke.
Ne budi ukočen
Najpouzdaniji način zaštite od ovih napada je biti skeptičan. Kad god dobijete e-poštu u kojoj se od vas traži izvršavanje velikog novca, nazovite šefa da provjeri je li zakonito. Ako imate ikakvih poteškoća s IT odjelom, razmislite o tome da zatražite prelazak na Office 365 Uvod u Office 365: Trebate li kupiti novi poslovni model tvrtke? Uvod u Office 365: Treba li se kupiti u novom poslovnom modelu Officea? Office 365 paket koji se temelji na pretplati nudi pristup najnovijem paketu Office Office, Office Online, pohrani u oblaku i premium mobilnim aplikacijama. Daje li Office 365 dovoljnu vrijednost da bi bio vrijedan novca? , koji je vodeća osoba u borbi protiv prevare sa CEO-om.
Svakako se nadam da nije, ali jeste li ikad bili žrtva novčanog prijevara e-pošte? Ako je tako, želim čuti za to. Ispiši komentar ispod i reci mi što je propalo.
Foto-krediti: AnonDollar (Vaš Anon), Miguel The Entertainment CEO (Jorge)