Sadržaj
- 01. Socijalni inženjering
- 02. Unutarnja prijetnja niske tehnologije
- 03. Vabanje
- 04. Gumbi za otkazivanje pretplate
- Nabavite odmah kartu za Generate New York
Iako je istina da napadači cijelo vrijeme razvijaju složenije viruse i zlonamjerni softver, sve češće i često zaboravljane, najveća sigurnosna prijetnja tvrtkama zapravo ne dolazi od softvera, već od samih ljudskih bića.
Tvrtke mogu izgraditi najsigurniju infrastrukturu na svijetu kako bi zaštitile svoje podatke od vanjskih prijetnji, s rješenjima poput vatrozida, VPN-ova i sigurnih pristupnih prolaza, ali to ne umanjuje rizik od prijetnji, zlonamjernih ili drugih, iz same organizacije. Ovaj niskotehnološki način hakiranja postao je sve popularniji posljednjih godina, a poznati brendovi postaju žrtvama prevaranata kontaktirajući mlađe financijske administratore tražeći sredstva nakon što su malo istražili LinkedIn.
- Najbolji VPN-ovi 2019
Uz to, s obzirom da internet čini toliko svakodnevnice većine ljudi, a mnogi se zaposlenici prijavljuju na osobne račune na radnom mjestu, važno je imati na umu da postoji i križanje između osobnih podataka i podataka o vašem poslu kada je u pitanju sigurnost na mreži. Ako haker dobije vaše osobne podatke, i oni mogu pristupiti vašim profesionalnim.
Evo, dakle, četiri načina na koji hakeri mogu zaobići vašu sigurnost i ukrasti vaše podatke.
01. Socijalni inženjering
Geneza svake prijetnje kibernetske sigurnosti koju vode ljudi socijalni je inženjering; čin manipuliranja povjerljivim podacima pojedinca. Sigurno je da bi hakeri mogli zaraziti mrežu zlonamjernim softverom i ući na stražnja vrata, ili još bolje, mogli bi samo prevariti zaposlenika da izda lozinku i ušetati točno kroz prednju stranu, ne dižući zvona za uzbunu. Jednom kada haker ima lozinku pojedinca, malo možete učiniti da ga zaustavite jer će se čini da su njegove aktivnosti odobrene.
Tehnike socijalnog inženjeringa tijekom godina morale su postati sofisticiranije jer je prosječni korisnik postao pametniji od tradicionalnih metoda koje koriste hakeri. Dakle, hakeri sada moraju biti pametniji na način na koji dolaze do podataka. U poslovnom smislu, tako jednostavno poput prijevare korisnika da klikne zlonamjernu vezu može napadaču dati pristup cijeloj mreži. Ljudi znaju ignorirati e-poštu molećivih stranaca kojima su očajnički potrebni bankovni podaci, no kad taj e-mail dolazi od nekoga koga poznajete, mnogo je manja vjerojatnost da ćete kliknuti ‘Označi kao neželjenu poštu’.
Hakeri se lako mogu kretati Facebook računom potencijalne mete kako bi pronašli ime prijatelja žrtve. Tada mogu žrtvi poslati e-mail pretvarajući se da je taj prijatelj, a žrtva će vjerojatnije pasti na nju ako misle da je došla od nekoga koga poznaju.
SAVJET: Na temu društvenih mreža budite oprezni s osobnim podacima koje odajete. Ono što se može činiti bezazlenom igrom u kojoj je „Vaše rap ime je ime vašeg prvog ljubimca plus djevojačko prezime vaše majke“, zapravo mogla biti prijevara kojom se pronalaze odgovori na uobičajena pitanja za oporavak računa.
02. Unutarnja prijetnja niske tehnologije
Umjesto bezličnog neprijatelja, većinu prijetnji internetske sigurnosti zapravo donose trenutni ili bivši zaposlenici. Ti zaposlenici mogu dobiti neovlašteni pristup povjerljivim podacima ili zaraziti mrežu nečim zlonamjernim. Te unutarnje prijetnje mogu imati različite oblike:
- Surfanje ramenima
‘Surfanje ramenima’ jednostavan je čin jedne osobe koja promatra nekoga tko upisuje lozinku. To je presedan. Nezadovoljni ili uskoro napuštajući zaposlenik mogao bi ležerno stajati iza radnog stola i promatrati druge zaposlenike kako upisuju lozinke. Ovaj jednostavan postupak mogao bi dovesti do neovlaštenog pristupa, što bi moglo biti pogubno za tvrtku. - Lozinke za bilješke nakon objavljivanja
Čak i lakše od pamćenja lozinke uočene preko ramena, unutarnje prijetnje mogu doći od zaposlenika koji zapisuju lozinke i lijepe ih na svoje računalne monitore - da, to se zapravo događa. Očito to nekome nevjerojatno olakšava dobivanje podataka za prijavu koji bi se potom mogli koristiti za prevaru ili zarazu tvrtke. Dobra vijest je da je tu nepažnju lako ispraviti. - Pogonski uređaji umetnuti u računala
Strojevi zaposlenika mogu se zaraziti softverom za prijavu ključeva učitanim na jednostavni USB pogon. Napadač bi samo morao uvući USB pogon u stražnji dio računala i imao bi pristup osobnim podacima i lozinkama korisnika.
SAVJET: Da bi se izbjegle ove unutarnje prijetnje, tvrtke bi trebale educirati svoje zaposlenike sigurnosnim tečajevima i komunikacijama o važnosti opreza sa svojim lozinkama. Softver za upravljanje lozinkama poput KeePass ili Dashlane može sigurno pohraniti lozinke, tako da ih ne morate pamtiti. Također možete zaključati USB priključke svojih radnih stanica kako biste spriječili da neovlaštenim uređajima u potpunosti pristupite putem USB-a. Ovaj pristup ipak treba pažljivo razmotriti, jer svaku radnu stanicu čini mnogo manje fleksibilnom i povećava opterećenje za IT odjel, jer će svaki novi USB uređaj trebati odobrenje prije nego što se može koristiti.
03. Vabanje
Slično socijalnom inženjerstvu, metode mamčenja zavaraju korisnike koristeći podatke dobivene o toj osobi. Na primjer, haker bi mogao provjeriti web stranice društvenih mreža i saznati da meta zanima Game of Thrones. To znanje napadaču daje mamac. Umjesto generičke e-pošte, napadač bi mogao cilju poslati e-poruku koja kaže 'Kliknite ovdje da biste pogledali najnoviju epizodu Game of Thrones'. Vjerojatnije je da će korisnik kliknuti gumb koji je, naravno, zapravo veza do zlonamjernog softvera, a ne najnovija epizoda Game of Thrones.
Slično tome, s toliko informacija koje su javno navedene na LinkedInu, napadačima također može biti lako istražiti strukturu izvještavanja, ciljati na mlađeg uzraza koji se pretvara da je izvršni direktor i zatražiti prijenos sredstava na određeni račun. Koliko god se to čini daleko, postoje poznati slučajevi koji se događaju. Prisluškivanje je slična metoda, jer napadači slušaju poslovne razgovore u kafićima, u javnom prijevozu, pa čak i kao dobavljači u uredskom okruženju.
04. Gumbi za otkazivanje pretplate
Drugi način na koji napadači prijevaruju korisnike da preuzmu zlonamjerni softver s e-maila je putem gumba za odjavu pretplate. Po zakonu, svaka marketinška e-pošta mora sadržavati vezu za odjavu kako bi potrošači mogli odbiti primanje komunikacije. Napadač bi mogao korisniku ponoviti e-poštu koja izgleda kao posebna marketinška ponuda odjevne tvrtke (ili slične). E-poruke izgledaju dovoljno bezopasno, ali ako korisnika ne zanima tvrtka ili ako misli da su e-adrese prečeste, može pritisnuti gumb za otkazivanje pretplate da bi prestao primati e-poštu. Osim u phishing e-poruci ovog hakera, klikom na gumb za odjavu pretplate zapravo se preuzima zlonamjerni softver.
SAVJET: Ispravno konfigurirani filtar za zaštitu od neželjene pošte trebao bi zaustaviti ove e-poruke, ali opet, najbolje je biti na oprezu.
Ključno rješenje je biti na oprezu i biti u toku s nizom metoda koje hakeri mogu koristiti za krađu vaših podataka. Educirajte svoje zaposlenike kako bi bili svjesni tehnika navedenih u ovom članku koje se mogu koristiti za stjecanje sadržaja, poput njihovih podataka za prijavu ili osobnih podataka. Potaknite zaposlenike da ispituju svakoga koga ne prepoznaju i da budu svjesni bilo koga tko sluša razgovore ili surfa ramenom.
No, sve ovo po strani, vrijedi zapamtiti da Internet ostaje nadasve pozitivno i kreativno mjesto za biti, a svijet je za njega znatno bogatiji. Ako ste budni, svi možemo i dalje uživati u njegovim prednostima.
Ovaj je članak izvorno objavljen u broju 303 od neto, najprodavaniji svjetski časopis za web dizajnere i programere. Kupi izdanje 303 ili pretplatite se ovdje.
Nabavite odmah kartu za Generate New York
Najbolji događaj u web dizajnu u industrijiGenerirajte New Yorkje natrag. Od 25. do 27. travnja 2018., među glavnim govornicima su Dan Mall iz SuperFriendlyja, savjetnik za web animaciju Val Head, JavaScript programer Wes Bos i mnogi drugi.
Tu su i cjelodnevne radionice i dragocjene mogućnosti umrežavanja - ne propustite.Nabavite svoju Generate kartu odmah.
