Διαφήμιση
Το ηλεκτρονικό ταχυδρομείο είναι ένας κοινός φορέας επίθεσης που χρησιμοποιείται από απατεώνες και εγκληματίες υπολογιστών. Αλλά αν σκεφτήκατε ότι χρησιμοποιήθηκε μόνο για την εξάπλωση κακόβουλου λογισμικού, phishing και Νιγηριανές απάτες προκαταβολής Do Nigerian Scam Emails Απόκρυψη ένα φοβερό μυστικό; [Γνώμη]Μια άλλη μέρα, ένα άλλο ηλεκτρονικό ταχυδρομείο ανεπιθύμητης αλληλογραφίας πέφτει στα εισερχόμενά μου, κάνοντας το δρόμο του γύρω από το φίλτρο ανεπιθύμητης αλληλογραφίας του Windows Live που κάνει τόσο καλή δουλειά να προστατεύει τα μάτια μου από όλα τα άλλα ανεπιθύμητα ... Διαβάστε περισσότερα , ξανασκέψου το. Υπάρχει μια νέα απάτη με ηλεκτρονικό ταχυδρομείο, όπου ένας εισβολέας θα προσποιείται ότι είναι ο προϊστάμενός σας και σας επιτρέπει να μεταφέρετε χιλιάδες δολάρια εταιρικών κεφαλαίων σε έναν τραπεζικό λογαριασμό που ελέγχουν.
Ονομάζεται Απάτη CEO ή "Insider Spoofing".
Κατανόηση της επίθεσης
Λοιπόν, πώς λειτουργεί η επίθεση; Λοιπόν, για έναν επιτιθέμενο να το τραβήξει με επιτυχία, πρέπει να γνωρίζουν πολλές πληροφορίες σχετικά με την εταιρεία που στοχεύουν.
Πολλές από αυτές τις πληροφορίες αφορούν την ιεραρχική δομή της εταιρείας ή του ιδρύματος που στοχεύουν. Πρέπει να το ξέρουν που θα μιμηθούν. Αν και αυτός ο τύπος απάτης είναι γνωστός ως "απάτη CEO", στην πραγματικότητα στοχεύει ο καθενας με ανώτερο ρόλο - οποιοσδήποτε θα μπορούσε να ξεκινήσει πληρωμές. Θα πρέπει να γνωρίζουν το όνομά τους και τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους. Θα βοηθήσει επίσης να γνωρίζει το πρόγραμμά τους, και όταν θα ταξιδεύουν ή σε διακοπές.
Τέλος, πρέπει να γνωρίζουν ποιος στην οργάνωση είναι σε θέση να εκδίδει μεταφορές χρημάτων, όπως ένας λογιστής, ή κάποιος που απασχολείται στο τμήμα οικονομικών.
Πολλές από αυτές τις πληροφορίες μπορούν να βρεθούν ελεύθερα στους ιστότοπους της εν λόγω εταιρείας. Πολλές εταιρείες μεσαίου και μικρού μεγέθους έχουν σελίδες "Σχετικά με εμάς", όπου απαριθμούν τους υπαλλήλους τους, τους ρόλους και τις ευθύνες τους καθώς και τα στοιχεία επικοινωνίας τους.
Η εύρεση χρονοδιαγραμμάτων κάποιου μπορεί να είναι λίγο πιο δύσκολη. Η συντριπτική πλειοψηφία των ανθρώπων δεν δημοσιοποιεί το ημερολόγιό τους στο διαδίκτυο. Ωστόσο, πολλοί άνθρωποι δημοσιοποιούν τις κινήσεις τους σε ιστότοπους κοινωνικής δικτύωσης, όπως το Twitter, το Facebook και το Swarm (πρώην Foursquare) Foursquare relaunches ως εργαλείο ανακάλυψης με βάση τις γεύσεις σαςFoursquare πρωτοστάτησε στο κινητό check-in. μια ενημερωμένη κατάσταση κατάστασης που βασίζεται σε τοποθεσία που έλεγε στον κόσμο ακριβώς πού ήσαστε και γιατί - έτσι είναι η μετάβαση σε ένα εργαλείο καθαρού εντοπισμού ένα βήμα μπροστά; Διαβάστε περισσότερα . Ένας επιτιθέμενος θα χρειαστεί να περιμένει μόνο μέχρι να φύγει από το γραφείο και μπορεί να χτυπήσει.
Είμαι στην Αγορά του Αγίου Γεωργίου - @ stgeorgesbt1 στο Μπέλφαστ, Κο. Antrim https://t.co/JehKXuBJsc
- Andrew Bolster (@Bolster) 17 Ιανουαρίου 2016
Μόλις ο επιτιθέμενος έχει κάθε κομμάτι του παζλ που χρειάζεται για να διεξάγει την επίθεση, τότε θα στείλει ηλεκτρονικά τα χρήματα υπάλληλος, ισχυριζόμενος ότι είναι ο Διευθύνων Σύμβουλος και ζητώντας να ξεκινήσουν μια μεταφορά χρημάτων σε έναν τραπεζικό λογαριασμό έλεγχος.
Για να λειτουργήσει, το ηλεκτρονικό ταχυδρομείο πρέπει να φαίνεται γνήσιο. Θα χρησιμοποιήσουν είτε έναν λογαριασμό ηλεκτρονικού ταχυδρομείου που φαίνεται "νόμιμος" είτε αληθοφανής (Για παράδειγμα [email protected]), ή αν και «spoofing» το αυθεντικό email του CEO. Αυτό θα είναι όπου ένα μήνυμα ηλεκτρονικού ταχυδρομείου αποστέλλεται με τροποποιημένες κεφαλίδες, οπότε το πεδίο "Από:" περιέχει το αυθεντικό email του CEO. Μερικοί επιτιθέμενοι επιτιθέμενοι θα προσπαθήσουν να πάρουν τον διευθύνοντα σύμβουλο για να τους στείλουν μήνυμα ηλεκτρονικού ταχυδρομείου, ώστε να μπορούν να αντιγράψουν τα στυλ και την αισθητική του μηνύματος ηλεκτρονικού ταχυδρομείου τους.
Ο επιτιθέμενος θα ελπίζει ότι ο οικονομικός υπάλληλος θα πιεστεί να ξεκινήσει τη μεταφορά χωρίς να ελέγξει πρώτα με το στοχευμένο εκτελεστικό. Αυτό το στοίχημα συχνά πληρώνει, με ορισμένες εταιρείες που έχουν αβίαστα καταβληθεί εκατοντάδες χιλιάδες δολάρια. Μια εταιρεία στη Γαλλία που ήταν το BBC έχασε 100.000 ευρώ. Οι επιτιθέμενοι προσπάθησαν να πάρουν 500.000, αλλά όλες εκτός από μία από τις πληρωμές μπλοκαρίστηκαν από την τράπεζα, οι οποίοι υποψιάστηκαν απάτη.
Πώς λειτουργούν οι επιθέσεις κοινωνικής μηχανικής
Οι παραδοσιακές απειλές για την ασφάλεια των υπολογιστών τείνουν να είναι τεχνολογικού χαρακτήρα. Ως αποτέλεσμα, μπορείτε να χρησιμοποιήσετε τεχνολογικά μέτρα για να νικήσετε αυτές τις επιθέσεις. Εάν προσβληθείτε από κακόβουλο λογισμικό, μπορείτε να εγκαταστήσετε ένα πρόγραμμα προστασίας από ιούς. Αν κάποιος προσπαθεί να χάσει τον διακομιστή ιστού σας, μπορείτε να μισθώσετε κάποιον για να εκτελέσετε μια δοκιμή διείσδυσης και να σας συμβουλέψει για το πώς μπορείτε να "σκληρύνετε" το μηχάνημα από άλλες επιθέσεις.
Επιθέσεις κοινωνικής μηχανικής Τι είναι η κοινωνική μηχανική; [Επεξηγήσεις MakeUseOf]Μπορείτε να εγκαταστήσετε το ισχυρότερο και πιο ακριβό τείχος προστασίας της βιομηχανίας. Μπορείτε να εκπαιδεύσετε τους εργαζομένους σχετικά με τις βασικές διαδικασίες ασφαλείας και τη σημασία της επιλογής ισχυρών κωδικών πρόσβασης. Μπορείτε ακόμη και να κλειδώσετε το δωμάτιο server - αλλά πώς ... Διαβάστε περισσότερα - εκ των οποίων η απάτη του CEO είναι ένα παράδειγμα - είναι πολύ πιο δύσκολο να μετριαστεί, επειδή δεν επιτίθενται συστήματα ή υλικό. Επιτίθενται σε ανθρώπους. Αντί να αξιοποιούν τις ευπάθειες στον κώδικα, εκμεταλλεύονται την ανθρώπινη φύση και την ενστικτώδη μας βιολογική επιταγή να εμπιστευόμαστε άλλους ανθρώπους. Μία από τις πιο ενδιαφέρουσες εξηγήσεις αυτής της επίθεσης έγινε στη διάσκεψη της DEFCON το 2013.
Ορισμένες από τις πιο αλλόκοτες αγκάθες ήταν ένα προϊόν κοινωνικής μηχανικής.
Το 2012, ο πρώην ενσύρματος δημοσιογράφος Mat Honan βρέθηκε υπό επίθεση από ένα καθορισμένο στέλεχος εγκληματιών στον κυβερνοχώρο, οι οποίοι ήταν αποφασισμένοι να αποσυναρμολογήσουν την ζωή του στο διαδίκτυο. Χρησιμοποιώντας τακτικές κοινωνικής μηχανικής, κατάφεραν να πείσουν την Amazon και την Apple να τους παράσχουν τις πληροφορίες που χρειάζονταν για την απομάκρυνση από απόσταση του MacBook Air και του iPhone, να διαγράψει τον λογαριασμό ηλεκτρονικού ταχυδρομείου του και να εκμεταλλευτεί τον σημαντικό λογαριασμό του Twitter για να δημοσιεύσει φυλετικές και ομοφοβικές επιθέματα. Εσείς μπορεί να διαβάσει την ψυχρή ιστορία εδώ.
Οι επιθέσεις κοινωνικής μηχανικής δεν αποτελούν μια νέα καινοτομία. Οι χάκερς τους έχουν χρησιμοποιήσει εδώ και δεκαετίες για να αποκτήσουν πρόσβαση σε συστήματα, κτίρια και πληροφορίες εδώ και δεκαετίες. Ένας από τους πιο γνωστούς κοινωνικούς μηχανικούς είναι ο Kevin Mitnick, ο οποίος στα μέσα της δεκαετίας του '90 πέρασε χρόνια κρυμμένος από την αστυνομία, αφού διέπραξε μια σειρά από εγκλήματα πληροφορικής. Έμεινε φυλακισμένος για πέντε χρόνια και απαγορεύθηκε η χρήση υπολογιστή μέχρι το 2003. Καθώς οι χάκερ πηγαίνουν, ο Μίτνικ ήταν όσο πιο κοντά μπορούσες να φτάσεις με status rockstar 10 από τους πιο διάσημους και καλύτερους χάκερ στον κόσμο (και τις συναρπαστικές ιστορίες τους)Λευκοί καπετάνιοι χάκερ έναντι μαύρων καπέλων χάκερ. Εδώ είναι οι καλύτεροι και πιο διάσημοι χάκερ στην ιστορία και τι κάνουν σήμερα. Διαβάστε περισσότερα . Όταν επιτράπηκε τελικά να χρησιμοποιήσει το Διαδίκτυο, μεταδόθηκε στο Leo Laporte's Οι αποθηκευτές οθόνης.
Τελικά πήγε νόμιμος. Τώρα διαχειρίζεται τη δική του εταιρεία παροχής συμβουλών στον τομέα της ασφάλειας υπολογιστών και έχει γράψει πολλά βιβλία σχετικά με την κοινωνική μηχανική και την πειρατεία. Ίσως το πιο θεωρημένο είναι η "Τέχνη της Εξαπάτησης". Αυτό είναι ουσιαστικά μια ανθολογία των διηγήσεων που εξετάζουν πώς οι επιθέσεις της κοινωνικής μηχανικής μπορούν να τραβηχτούν και πώς προστατέψτε τον εαυτό σας από αυτά Πώς να προστατεύσετε τον εαυτό σας από επιθέσεις κοινωνικής μηχανικήςΤην περασμένη εβδομάδα, ρίξαμε μια ματιά σε μερικές από τις κύριες απειλές κοινωνικής μηχανικής που εσείς, η εταιρεία σας ή οι υπάλληλοί σας πρέπει να προσέξετε. Με λίγα λόγια, η κοινωνική μηχανική είναι παρόμοια με μια ... Διαβάστε περισσότερα , και είναι διαθέσιμο για αγορά στο Amazon.
Τι μπορεί να γίνει για την απάτη των CEO;
Έτσι, ας ανακεφαλαιώσουμε. Γνωρίζουμε ότι η Απάτη του CEO είναι απαίσια. Γνωρίζουμε ότι κοστίζει πολλές εταιρείες πολλά χρήματα. Γνωρίζουμε ότι είναι απίστευτα δύσκολο να μετριαστεί, γιατί είναι μια επίθεση εναντίον ανθρώπων, όχι εναντίον υπολογιστών. Το τελευταίο πράγμα που πρέπει να καλύψουμε είναι το πώς θα πολεμήσουμε εναντίον του.
Αυτό είναι πιο εύκολο να αναφερθεί παρά να γίνει. Αν είστε υπάλληλος και έχετε λάβει ύποπτο αίτημα πληρωμής από τον εργοδότη ή τον προϊστάμενό σας, ίσως θελήσετε να κάνετε check-in μαζί τους (χρησιμοποιώντας μια μέθοδο διαφορετική από το ηλεκτρονικό ταχυδρομείο) για να δείτε αν ήταν αυθεντικό. Μπορεί να είναι λίγο ενοχλημένοι μαζί σας για να τους ενοχλείτε, αλλά πιθανότατα θα είναι περισσότερο ενοχλημένος αν καταλήξατε να στέλνετε 100.000 δολάρια από τα κεφάλαια της εταιρείας σε ξένο τραπεζικό λογαριασμό.
Υπάρχουν τεχνολογικές λύσεις που μπορούν επίσης να χρησιμοποιηθούν. Η Microsoft ενημερωμένη έκδοση του Office 365 θα περιέχει κάποιες προστασίες κατά αυτού του τύπου επίθεσης, ελέγχοντας την πηγή κάθε email για να δείτε αν προέρχεται από μια αξιόπιστη επαφή. Η Microsoft εκτιμά ότι έχουν επιτύχει βελτίωση κατά 500% όσον αφορά τον τρόπο με τον οποίο το Office 365 εντοπίζει πλαστά ή πλαστογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου.
Μην τραυματίζετε
Ο πιο αξιόπιστος τρόπος προστασίας από αυτές τις επιθέσεις είναι να είστε δύσπιστοι. Κάθε φορά που λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που σας ζητάει να κάνετε μια μεγάλη μεταφορά χρημάτων, καλέστε το αφεντικό σας για να δείτε αν είναι νόμιμο. Εάν έχετε κάποια εξουσία με το τμήμα πληροφορικής, σκεφτείτε να τους ζητήσετε μετακινήστε στο Office 365 Εισαγωγή στο Office 365: Πρέπει να αγοράσετε το νέο επιχειρηματικό μοντέλο του Office;Το Office 365 είναι ένα πακέτο που βασίζεται σε συνδρομές και προσφέρει πρόσβαση στην πιο πρόσφατη σουίτα γραφείου του Office, στο Office Online, στο cloud storage και στις κινητές εφαρμογές premium. Παρέχει το Office 365 αρκετή αξία για να αξίζει τα λεφτά; Διαβάστε περισσότερα , η οποία οδηγεί το πακέτο όταν πρόκειται για την καταπολέμηση της απάτης CEO.
Σίγουρα δεν ελπίζω, αλλά ποτέ υπήρξατε θύμα μιας απάτης ηλεκτρονικού ταχυδρομείου με κίνητρο για χρήματα; Εάν ναι, θέλω να το ακούσω. Αφήστε ένα σχόλιο παρακάτω και πείτε μου τι συνέβη.
Φωτογραφία Credits: AnonDollar (το Anon), Ο Miguel The Entertainment Διευθύνων Σύμβουλος (Jorge)
Ο Matthew Hughes είναι προγραμματιστής και συγγραφέας λογισμικού από το Λίβερπουλ της Αγγλίας. Αυτός σπάνια βρίσκεται χωρίς ένα φλιτζάνι ισχυρό μαύρο καφέ στο χέρι του και λατρεύει απολύτως το Macbook Pro και την κάμερά του. Μπορείτε να διαβάσετε το ιστολόγιό του στο http://www.matthewhughes.co.uk και τον ακολουθήστε στο twitter στο @ matthewhughes.