Włamania komputerowe to nie tylko stukanie w klawiaturę i wpisywanie dziwnych poleceń. To także rozmowa i manipulacja
Cyberprzestępczość to nie tylko łamanie zabezpieczeń i wymyślne wirusy komputerowe. Popularną metodą zdobywania poufnych informacji jest zwykła manipulacja.
Kevin Mitnick, jeden z najbardziej znanych hakerów, przyznał się kiedyś, że jego główną metodą pracy jako komputerowego włamywacza była inżynieria społeczna. Wykorzystując niewiedzę oraz łatwowierność użytkowników, stworzył zestaw metod, dzięki którym pozyskiwał hasła i inne niejawne informacje. Również dzisiaj internetowa przestępczość opiera się w dużej mierze na socjotechnikach.
Jak wygląda atak socjotechniczny
Zawodowi cyberprzestępcy potrafią manipulować użytkownikami dzięki znajomości psychiki. Założeniem jest tutaj, że człowiek jest najsłabszym elementem systemu zabezpieczeń. Jedną z najczęściej stosowanych metod jest phishing, który można opisać jako cyfrowy odpowiednik niesławnej metody "na wnuczka". Hakerzy, aby zdobyć dane logowania, mogą podszywać się np. pod pracowników banku, lub przesyłać użytkownikom adresy stron, których loyout łudząco przypomina stronę placówki.
Jak wygląda socjoatak? Specjaliści opisują przykładową sytuację, w której ktoś sprawia wrażenie jakby chciał nienaturalnie i bardzo szybko podjąć jakąś decyzję.
- Bądź nieufny, jeśli czujesz na sobie presję lub gdy ktoś prosi o informacje, do których dostępu mieć nie powinien. Również wszystko, co wydaje się zbyt piękne, by mogło być prawdziwe powinno wzbudzać pewne podejrzenia – przestrzega Robert Strzelecki., wiceprezes TenderHut.
Niezależnie ile firma zainwestuje w zapory i bezpieczeństwo oraz najlepszych administratorów, może to wszystko okazać się bezużyteczne jeżeli pracownicy nie będą świadomi zagrożeń, oraz technik obrony przed inżynierią społeczną.
Jak się bronić?
W każdym przedsiębiorstwie powinny obowiązywać przepisy dotyczące bezpieczeństwa danych. Poza sposobami klasyfikacji informacji, powinny znaleźć się tam także zasady związane z bezpieczeństwem IT, które będą dotyczyć stosowania haseł systemowych o odpowiedniej złożoności, konieczności regularnej zmiany haseł czy informacji dotyczących sposobu ich przechowywania. Musi zostać wypracowane także porozumienie o zachowaniu poufności informacji. Rzecz jasna, użytkownicy muszą także wiedzieć, że nigdy nie należy się dzielić hasłami i poufnymi informacjami.
- W ostatnim czasie ofiarami hakerów były takie firmy jak SONY czy Linkedin – posiadające dane milionów, a może i miliardów osób na całym świecie. Łupem ataków może paść nie tylko nasz e–mail i hasło, ale także dane do karty kredytowej i kody zabezpieczające jej użycie. Oczywiście, jeśli firma przestrzega norm bezpieczeństwa określonych przez PCI Security Standard Council to jest mało prawdopodobne – dodaje Robert Strzelecki.
Źródło: TenderHut, Pixabay
Komentarze
3