William Charles
0 
955
67
E-mail je běžný vektor útoku používaný podvodníky a počítačovými zločinci. Ale pokud jste si mysleli, že se používá pouze k šíření malwaru, phishingu a podvodů s nigerijským poplatkem, skrývají nigerijské podvodné e-maily strašlivé tajemství? [Stanovisko] Skryjí nigerijské podvodné e-maily hrozné tajemství? [Stanovisko] Další den další spamový e-mail spadne do mé schránky, nějakým způsobem se prochází kolem spamového filtru Windows Live, který dělá tak dobrou práci na ochraně mých očí před všemi ostatními nevyžádanými ..., zamyslete se znovu. Existuje nový e-mailový podvod, kdy útočník předstírá, že je vaším šéfem, a přiměje vás převést tisíce dolarů podnikových prostředků na bankovní účet, který ovládají..
Říká se tomu generální ředitel Fraud, nebo “Insider Spoofing”.
Porozumění útoku
Jak tedy útok funguje? Aby to útočník mohl úspěšně stáhnout, musí znát spoustu informací o společnosti, na kterou cílí.
Většina těchto informací se týká hierarchické struktury společnosti nebo instituce, na kterou cílí. Budou to potřebovat vědět kdo budou se vydávat. Přestože je tento typ podvodů známý jako “Podvod generálního ředitele”, ve skutečnosti to zacílí kdokoliv s hlavní rolí - každý, kdo by byl schopen iniciovat platby. Budou potřebovat znát své jméno a e-mailovou adresu. Pomohlo by to také zjistit jejich rozvrh a kdy byli na cestách nebo na dovolené.
A konečně musí vědět, kdo v organizaci je schopen vydávat převody peněz, jako je účetní nebo někdo, kdo zaměstnává finanční oddělení..
Většinu těchto informací lze volně najít na webových stránkách příslušné společnosti. Mnoho středních a malých společností má “O nás” stránky, kde uvádějí seznam svých zaměstnanců, jejich role a odpovědnosti a kontaktní informace.
Najít něčí plány může být o něco těžší. Převážná většina lidí svůj kalendář online nezveřejňuje. Mnoho lidí však propaguje své hnutí na sociálních sítích, jako jsou Twitter, Facebook a Swarm (dříve Foursquare). aktualizace stavu podle polohy, která řekla světu přesně, kde jste a proč - takže je přechod na čistě objevovací nástroj krok vpřed? . Útočník by musel počkat, dokud neopustí kancelář, a mohou zasáhnout.
Jsem na trhu St George's - @ stgeorgesbt1 v Belfastu, Co. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17. ledna 2016
Jakmile má útočník všechny části skládačky, které potřebuje k provedení útoku, pošle e-mailovému zaměstnanci e-mail, který chce být generálním ředitelem, a požádá, aby zahájil převod peněz na bankovní účet, který ovládá..
Aby e-mail fungoval, musí vypadat pravě. Budou používat e-mailový účet, který vypadá „legitimně“ nebo hodnověrně (například jmé[email protected]) nebo „spoofing“ pravého e-mailu generálního ředitele. Zde bude odeslán e-mail s upravenými záhlavími, takže “Z:” pole obsahuje skutečný e-mail generálního ředitele. Někteří motivovaní útočníci se pokusí přimět generálního ředitele, aby jim poslal e-mail, aby mohli duplikovat styly a estetiku svého e-mailu..
Útočník doufá, že finanční zaměstnanec bude pod tlakem, aby zahájil převod, aniž by nejprve zkontroloval u cílového manažera. Tato sázka se často vyplácí, přičemž některé společnosti nevědomky vyplatily stovky tisíc dolarů. Jedna společnost ve Francii, která byla profilována BBC, ztratila 100 000 EUR. Útočníci se pokusili získat 500 000, ale všechny platby kromě jedné byly blokovány bankou, která měla podezření z podvodu.
Jak útoky sociálního inženýrství fungují
Tradiční hrozby počítačové bezpečnosti bývají technologické povahy. Jako výsledek, můžete použít technologická opatření k porážce těchto útoků. Pokud se nakazíte malwarem, můžete nainstalovat antivirový program. Pokud se někdo pokoušel hacknout váš webový server, můžete si najmout někoho, kdo provede penetrační test a poradí vám, jak můžete „zatvrdit“ stroj proti jiným útokům.
Útoky sociálního inženýrství Co je sociální inženýrství? [MakeUseOf vysvětluje] Co je sociální inženýrství? [MakeUseOf vysvětluje] Můžete nainstalovat nejsilnější a nejdražší firewall tohoto odvětví. Můžete zaměstnance poučit o základních bezpečnostních postupech a důležitosti výběru silných hesel. Můžete dokonce zamknout serverovou místnost - ale jak… - proti kterému je podvod CEO příkladem - je mnohem těžší se proti ní zmírnit, protože neútočí na systémy ani hardware. Útočí na lidi. Spíše než využívají zranitelnosti v kódu, využívají lidské povahy a našeho instinktivního biologického imperativu, aby věřili jiným lidem. Jedno z nejzajímavějších vysvětlení tohoto útoku bylo na konferenci DEFCON v roce 2013.
Některé z nejodvážnějších drsných hacků byly produktem sociálního inženýrství.
V roce 2012 se bývalý kabelový novinář Mat Honan ocitl pod útokem odhodlaného kádru kybernetických zločinců, kteří byli rozhodnuti rozebrat svůj online život. Pomocí taktiky sociálního inženýrství dokázali přesvědčit Amazon a Apple, aby jim poskytli informace, které potřebovali k dálkovému vymazání jeho MacBook Air a iPhone, smazání jeho e-mailového účtu a zabavení jeho vlivného Twitter účtu za účelem zveřejnění rasových a homofobních epithetů. . Zde si můžete přečíst chladicí příběh.
Útoky v oblasti sociálního inženýrství jsou stěží novou novinkou. Hackeři je používají po celá desetiletí, aby získali přístup k systémům, budovám a informacím po celá desetiletí. Jedním z nejznámějších sociálních inženýrů je Kevin Mitnick, který v polovině 90. let strávil úkryty před policií poté, co spáchal řadu počítačových zločinů. Pět let byl uvězněn a bylo mu zakázáno používat počítač až do roku 2003. Jak hackeři chodí, Mitnick byl tak blízko, jak jste se mohli dostat ke stavu rockové hvězdy 10 nejznámějších a nejlepších hackerů na světě (a jejich fascinující příběhy) 10 nejznámější a nejlepší hackeři na světě (a jejich fascinující příběhy) Hackeři s bílými klobouky proti hackerům s černými klobouky. Zde jsou nejlepší a nejslavnější hackeři v historii a to, co dnes dělají. . Když mu bylo konečně dovoleno používat internet, bylo to vysíláno na Leo Laporte Spořiče obrazovky.
Nakonec se stal legitimním. Nyní řídí vlastní poradenskou firmu v oblasti počítačového zabezpečení a napsal řadu knih o sociálním inženýrství a hackování. Snad nejuznávanější je “Umění podvodu”. Toto je v podstatě antologie povídek, které se zabývají tím, jak mohou být útoky sociálního inženýrství staženy a jak se proti nim chránit. Jak se chránit před útoky sociálního inženýrství Jak se chránit proti útokům sociálního inženýrství Minulý týden jsme se podívali na některé z hlavních hrozeb sociálního inženýrství, které byste měli vy, vaše společnost nebo vaši zaměstnanci hledat. Stručně řečeno, sociální inženýrství je podobné jako… a je k dispozici ke koupi v Amazonu.
Co se dá udělat s podvodem generálního ředitele?
Takže pojďme shrnout. Víme, že generální ředitel Fraud je hrozný. Víme, že to stálo mnoho společností spoustu peněz. Víme, že je neuvěřitelně těžké se proti nim zmírnit, protože je to útok na lidi, nikoli na počítače. Poslední věcí, kterou musíme pokrýt, je to, jak proti němu bojujeme.
To se snadněji říká, než udělá. Pokud jste zaměstnanec a od vašeho zaměstnavatele nebo šéfa jste obdrželi podezřelou žádost o platbu, možná byste se měli u nich zkontrolovat (pomocí jiné metody než e-mailu) a zjistit, zda byla skutečná. Možná by vás trochu obtěžovali za to, že je obtěžují, ale pravděpodobně budou více naštvaný, pokud jste nakonec odeslali 100 000 $ podnikových prostředků na účet zahraniční banky.
Existují technologická řešení, která lze také použít. Nadcházející aktualizace společnosti Microsoft pro Office 365 bude obsahovat určité ochrany před tímto typem útoku tím, že zkontroluje zdroj každého e-mailu a zjistí, zda pocházel od důvěryhodného kontaktu. Společnost Microsoft počítá s tím, že dosáhli 500% zlepšení v tom, jak Office 365 identifikuje padělky nebo falešné e-maily.
Nebuď Stung
Nejspolehlivější způsob ochrany před těmito útoky musí být skeptický. Kdykoli dostanete e-mail, který vás požádá o provedení velkého převodu peněz, zavolejte svého šéfa a zkontrolujte, zda je to legitimní. Máte-li nějaké zkušenosti s IT oddělením, zvažte, zda by se neměli přestěhovat do Office 365 Úvod do Office 365: Měli byste si koupit nový obchodní kancelářský model? Úvod do Office 365: Měli byste si koupit nový obchodní model Office? Office 365 je balíček založený na předplatném, který nabízí přístup k nejnovějším sadám Office Office, Office Online, cloudovému úložišti a prémiovým mobilním aplikacím. Poskytuje Office 365 dostatečnou hodnotu, aby stálo za to peníze? , který vede smečku, pokud jde o boj s generálním ředitelem Fraud.
Určitě doufám, že ne, ale už jste někdy byli oběťmi podvodného e-mailu? Pokud ano, chci o tom slyšet. Drop být komentář níže, a řekni mi, co šlo dolů.
Foto Kredity: AnonDollar (Váš Anon), Miguel The Entertainment CEO (Jorge)