Świadomość pracowników w zakresie inżynierii społecznej jest niezbędna do zapewnienia bezpieczeństwa cybernetycznego w firmie. Jeśli użytkownicy końcowi znają główne cechy tych ataków, jest o wiele bardziej prawdopodobne, że unikną oni upadku. Dzisiejsze zagrożenia danych nie dyskryminują; przedsiębiorstwa każdej wielkości są podatne na ataki. Jednak małe i średnie przedsiębiorstwa (MŚP) są często mniej przygotowane do radzenia sobie z zagrożeniami bezpieczeństwa niż ich więksi odpowiednicy. Przyczyny tego różnią się w zależności od firmy, ale ostatecznie sprowadza się to do tego, że małe i średnie firmy często mają mniej zasobów, aby poświęcić się bezpieczeństwu cybernetycznemu.
$config[code] not foundOto kilka Oszustw socjotechnicznych, które warto poznać
- Wyłudzanie informacji: Wiodąca taktyka wykorzystywana przez dzisiejszych hakerów ransomware, zazwyczaj dostarczana w postaci e-maila, czatu, reklamy internetowej lub witryny zaprojektowanej do podszywania się pod prawdziwy system i organizację. Często tworzone w celu zapewnienia poczucia pilności i znaczenia, wiadomość w tych e-mailach często wydaje się pochodzić od rządu lub dużej korporacji i może zawierać logo i branding.
- Przynęty: Podobnie jak w przypadku phishingu, przynęty obejmują oferowanie czegoś zachęcającego użytkownikowi końcowemu w zamian za prywatne dane. "Przynęta" ma wiele postaci, zarówno cyfrowych, takich jak pobieranie muzyki lub filmów, jak i fizycznych, takich jak markowy dysk flash oznaczony "Executive Salary Summary Q3 2016", który jest pozostawiony na biurku, aby użytkownik końcowy mógł znaleźć. Po wykonaniu przynęty złośliwe oprogramowanie jest dostarczane bezpośrednio do komputera ofiary.
- Coś za coś: Podobnie jak przynęta, quid pro quo obejmuje prośbę o wymianę prywatnych danych, ale o usługę. Na przykład pracownik może odebrać telefon od hakera, który jest ekspertem technologicznym oferującym bezpłatną pomoc IT w zamian za dane logowania.
- Preteksting: Gdy haker tworzy fałszywe poczucie zaufania między sobą a użytkownikiem końcowym podszywając się pod współpracownika, profesjonalnego kolegę lub osobę w organizacji w celu uzyskania dostępu do prywatnych danych. Na przykład haker może wysłać wiadomość e-mail lub wiadomość na czacie, podając się za szefa działu pomocy technicznej, który potrzebuje prywatnych danych w celu wykonania audytu korporacyjnego - to nie jest rzeczywiste.
- Tailgating: Nieupoważniona osoba fizycznie podąża za pracownikiem do ograniczonego obszaru korporacyjnego lub systemu. Najczęstszym tego przykładem jest sytuacja, gdy haker wydzwania do pracownika, aby otworzył dla nich drzwi, ponieważ zapomnieli o swojej karcie RFID. Innym przykładem tailgatingu jest sytuacja, w której haker prosi pracownika o "pożyczenie" prywatnego laptopa na kilka minut, podczas którego przestępca może szybko ukraść dane lub zainstalować złośliwe oprogramowanie.
Graj ostrożnie
Upewnij się, że wszyscy pracownicy są nieufni wobec wiadomości e-mail zawierających załącznik, którego się nie spodziewają, szczególnie jeśli wymieniony załącznik jest plikiem Microsoft Office. Przed kliknięciem czegokolwiek, upewnij się, że potwierdzają one przez nadawcę (przez telefon, tekst, oddzielną wiadomość e-mail), co to jest przed otwarciem lub kliknięciem czegokolwiek. Dzisiejsi pracownicy są podłączeni do Internetu przez cały dzień każdego dnia, komunikując się z internetem koledzy i interesariusze, dzieląc się krytycznymi informacjami i przeskakując z witryny na stronę. W obliczu wzrostu liczby włamań, naruszeń bezpieczeństwa danych i ataków ransomware, konieczne jest, aby wszystkie firmy planowały najgorsze, z obowiązkowymi szkoleniami z zakresu bezpieczeństwa cybernetycznego dla wszystkich pracowników oraz z zalecanymi rozwiązaniami w zakresie ograniczania ryzyka.
Zdjęcie za pośrednictwem Shutterstock