Miközben sokan aggódnak a vírusok, rosszindulatú programok és hackerek miatt, gyakran elfelejtik, hogy a legnagyobb sebezhetőség bennünk, az emberekben rejlik.
A social engineering pszichológiai manipuláción alapul, hogy Önt bizalmas információk felfedésére vagy a vállalat biztonságát veszélyeztető lépések megtételére csábítsa.
Mi a social engineering és hogyan ismerjük fel?
A social engineering nem új keletű, de a technológiával együtt fejlődött.
Képzeljünk el egy hackert, akinek nem kell kódokat feltörnie vagy rendszereket feltörnie. Ehelyett manipulálja a vállalat alkalmazottait, hogy hozzáférjen érzékeny információkhoz.
Ez a megközelítés kihasználja a bizalmat, a kíváncsiságot vagy akár a félelmet.
Felismerheti a social engineering kísérletet, ha valaki érzékeny adatokat kér Öntől, vagy hamis ürüggyel gyanús linkre való kattintásra szólítja fel.
Az adathalász e-mailek, a csaló telefonhívások és a közösségi médiában közzétett bejegyzések gyakori módszerek.
Ön és vállalata védelme érdekében elengedhetetlen, hogy mindig éber legyen, mindig ellenőrizze az információkéréseket, és soha ne osszon meg érzékeny adatokat anélkül, hogy teljesen biztos lenne a kérvényező hitelességében.
Vállalati sebezhetőségek esetei
- A munkavállalókat célzó adathalászat: Egy nagyvállalatot támadás ért, amikor egy hacker az informatikai igazgatónak kiadva magát e-mailt küldött több alkalmazottnak. Az e-mailben arra kérte az alkalmazottakat, hogy változtassák meg jelszavaikat egy hamis webhelyen, ami lehetővé tette a hacker számára, hogy hozzáférjen a vállalat fiókjaihoz.
- Adathalász támadásEgy másik vállalatnál egy hacker a vállalat rendszeres beszállítójának adta ki magát, és a kifizetésekhez bankszámlaváltást kért. A vállalat nagy összegű pénzt utalt át a hacker számlájára, mielőtt rájött volna a csalásra.
- Social engineering a közösségi hálózatokon keresztül: Egy alkalmazott megosztotta a közösségi médiában a munkájával és az általa használt rendszerekkel kapcsolatos részleteket. Egy hacker ezeket az információkat felhasználva becsapta a vállalat műszaki támogatási osztályát, és hozzáférést szerzett a munkavállaló fiókjaihoz.
Sikertörténetek olyan vállalatokról, amelyek megakadályozták a social engineering támadásokat
1. Az adathalász kísérletet a személyzet tudatossága állította meg
Amit a hackerek megpróbáltak: Kiberbűnözők egy csoportja megpróbált megtámadni egy pénzügyi szolgáltató vállalatot, amikor adathalász e-maileket küldött több alkalmazottnak. Az e-mailek látszólag a vállalat pénzügyi vezetőjétől érkeztek, és arra kérték az alkalmazottakat, hogy adják meg a hitelesítő adataikat egy olyan weboldalon, amely a vállalat bejelentkezési oldalát utánozta. A cél az volt, hogy hozzáférést szerezzenek az alkalmazottak fiókjaihoz, és veszélyeztessék a belső rendszereket.
Hogyan kerülték el: A folyamatos kiberbiztonsági képzési programnak köszönhetően az egyik alkalmazott felismerte, hogy az e-mail gyanús. Ahelyett, hogy rákattintott volna a linkre, értesítette a vállalat biztonsági csapatát. Ez a csapat elemezni tudta az e-mailt, és megerősítette, hogy adathalász kísérletről van szó. Ezután riasztották az egész szervezetet, és megerősítették a biztonsági intézkedéseket, megakadályozva a támadás sikerét.
2. A megszemélyesítés megakadályozása szigorú ellenőrzéssel
Amit a hackerek megpróbáltak: Egy másik esetben egy hacker egy gyártó vállalat rendszeres beszállítójának adta ki magát, és e-mailt küldött a fizetendő számlák osztályának, amelyben a kifizetések bankszámlájának megváltoztatását kérte. A hacker terve az volt, hogy nagy összegű pénzt irányít át egy általa ellenőrzött számlára.
Hogyan kerülték el: A vállalat politikája megkövetelte, hogy a fizetési adatok megváltoztatására irányuló minden kérést a szállító közvetlen telefonhívásával ellenőrizzék. A kérelem ellenőrzésére tett kísérlet után a számviteli osztály kapcsolatba lépett a tényleges szállítóval, aki tagadta, hogy kérte volna a módosítást. Ez riasztást jelentett, és a megszemélyesítési kísérletet még azelőtt meghiúsították, hogy bármilyen pénz átutalására sor került volna.
3. A közösségi médián keresztüli social engineering megzavarása proaktív megfigyeléssel
Amit a hackerek megpróbáltak: Egy behatolási kísérlet során a hackerek egy technológiai vállalat alkalmazottját azonosították a közösségi hálózatain keresztül. Ezután az alkalmazott által közzétett információk alapján hamis profilt hoztak létre, és megszemélyesítették őt. A terv az volt, hogy hozzáférési problémákra hivatkozva felveszik a kapcsolatot a vállalat technikai támogatásával, és jelszó-visszaállítást kérnek.
Hogyan kerülték el: A vállalat proaktív közösségi médiafigyelő rendszerrel rendelkezett, amelynek célja a social engineeringgel kapcsolatos potenciális biztonsági kockázatok észlelése volt. A hamis profil létrehozásának észlelésekor a biztonsági csapat azonnal intézkedett az alkalmazott fiókjainak védelme érdekében, és értesítette a technikai támogató személyzetet a csalási kísérletről. Ennek eredményeként a hacker nem jutott hozzá egyetlen fiókhoz sem, és a vállalat biztonsága sértetlen maradt.
Ezek az esetek azt mutatják, hogy a felkészülés, a képzés és a világos irányelvek mennyire sokat számítanak a sikeres social engineering támadások megelőzésében. A kulcs az éberség, és a szilárd biztonsági protokollok megléte.
Összefoglaló
A social engineering összetett kihívás, mivel nem a technológiára, hanem az emberi manipulációra épül. A vállalatoknak oktatniuk kell alkalmazottaikat, hogy felismerjék a potenciális támadás jeleit, és egyértelmű eljárásokat kell kialakítaniuk az információkérések kezelésére. A tudatosság, a képzés és a biztonsági protokollok kombinációja lehet a kulcs az ilyen fenyegetések elleni védelemhez.
