Τι είναι η Κοινωνική Μηχανική;

Η κοινωνική μηχανική περιγράφει τον τρόπο με τον οποίο τα θύματα χειραγωγούνται ώστε να μοιράζονται πληροφορίες, να κατεβάζουν κακόβουλο λογισμικό και να στέλνουν χρήματα σε εγκληματίες. Σε αντίθεση με τα κακόβουλα πακέτα λογισμικού, ο ανθρώπινος εγκέφαλος δεν μπορεί να διορθωθεί - σε βασικό επίπεδο, όλοι είναι εξίσου ευάλωτοι στην κοινωνική μηχανική. Και ενώ η αντίληψη του κοινού για την κοινωνική μηχανική δεν έχει αναπτυχθεί πολύ από την εποχή της απάτης του Νιγηριανού πρίγκιπα, οι επιτιθέμενοι μπόρεσαν να επωφεληθούν από τα υψηλά επίπεδα παραβιάσεων δεδομένων για να δοκιμάσουν το άγχος μερικές από τις πιο άθλιες και χειραγωγικές τεχνικές μέχρι τώρα.

Πώς λειτουργεί η Κοινωνική Μηχανική;

Η κοινωνική μηχανική μπορεί να λάβει διάφορες μορφές, ανάλογα με την προσέγγιση των επιτιθέμενων. Για επιθέσεις εναντίον οργανισμών, η παρουσίαση ως αξιόπιστη επωνυμία ή συνεργάτης είναι ένα από τα πιο προσοδοφόρα. Το 2019, εγκληματίες του κυβερνοχώρου εισέβαλαν λογισμικό που βασίζεται σε τεχνητή νοημοσύνη για να υποδυθούν τη φωνή ενός διευθύνοντος συμβούλου. 

Ο Διευθύνων Σύμβουλος μιας εταιρείας ενέργειας με έδρα το Ηνωμένο Βασίλειο έλαβε ένα τηλεφώνημα από το αφεντικό του – ή έτσι νόμιζε – ζητώντας του να μεταφέρει επειγόντως ένα ποσό € 220,000 ($ 243,000) σε έναν Ούγγρο προμηθευτή. Αν και αυτό αντιπροσωπεύει μια σπάνια περίπτωση επιτιθέμενων που χρησιμοποιούν τεχνητή νοημοσύνη, οι περισσότεροι κοινωνικοί μηχανικοί εξακολουθούν να γνωρίζουν τη δύναμη του να παρουσιάζονται ως ένας αξιόπιστος οργανισμός. Στο ίδιο μήκος κύματος κινούνται και επιθέσεις που στοχεύουν να μιμηθούν κυβερνητικά πρόσωπα και πρόσωπα εξουσίας. Η εμπιστοσύνη που χορηγείται σε κυβερνητικούς θεσμούς προσφέρει μια γόνιμη ευκαιρία για τους επιτιθέμενους να κάνουν κατάχρηση: το να υποδυθούν το IRS μπορεί επίσης να δώσει στις επιθέσεις κοινωνικής μηχανικής ένα χρονικά περιορισμένο ή τιμωρητικό πλεονέκτημα, ωθώντας τα θύματα να δράσουν χωρίς τη δέουσα σκέψη. 

Οι μέθοδοι κοινωνικής μηχανικής επηρεάζουν σε μεγάλο βαθμό δύο ομάδες συναισθημάτων. Το πρώτο συνεπάγεται φόβο και επείγουσα ανάγκη. Δεκαετίες εξέλιξης έχουν δει τους εγκληματίες του κυβερνοχώρου να ακονίζουν τις τεχνικές τους που προκαλούν φόβο. Ένα απροσδόκητο email που δηλώνει ότι μια πρόσφατη συναλλαγή με πιστωτική κάρτα δεν εγκρίθηκε, για παράδειγμα, βάζει τον εγκέφαλο υπό υψηλότερα επίπεδα άγχους καθώς το θύμα υποθέτει ότι η κάρτα του χρησιμοποιήθηκε με δόλια. Αυτός ο πανικός τους βλέπει να κάνουν κλικ στον σχετικό σύνδεσμο, να εισάγουν τα διαπιστευτήριά τους στην πειστική σελίδα σύνδεσης της τράπεζας, για να ανακατευθυνθούν μόνο σε μια νόμιμη σελίδα. Καθόλου σοφότερο, το θύμα μόλις παρέδωσε τα τραπεζικά του διαπιστευτήρια σε απατεώνες. Αν και είναι κερδοφόρα για τους εισβολείς, τα οικονομικά δεν είναι ο μόνος τρόπος πρόκλησης πανικού: οι ιδιοκτήτες μικρών ιστότοπων και επιχειρήσεων ενδέχεται να λάβουν ένα μήνυμα που ισχυρίζεται ψευδώς ότι μια εικόνα στον ιστότοπό τους παραβιάζει τη νομοθεσία περί πνευματικών δικαιωμάτων, με την οποία παραδίδουν προσωπικά στοιχεία – ή ακόμα και χρήματα στη μορφή του προστίμου. Ορισμένες επιθέσεις που βασίζονται σε επείγοντα περιστατικά χρησιμοποιούν ακόμη και την πρόσοψη συμφωνιών περιορισμένου χρόνου, προκειμένου να πιέσουν τα θύματα να κάνουν κλικ το συντομότερο δυνατό.

Η άλλη μορφή επίθεσης κοινωνικής μηχανικής απευθύνεται στην απληστία. Η επίθεση του Νιγηριανού Πρίγκιπα είναι το παραδοσιακό παράδειγμα αυτού. Εδώ, το θύμα λαμβάνει ένα email από ένα άτομο που ισχυρίζεται ότι είναι μέλος μιας βασιλικής οικογένειας της Νιγηρίας σε φυγή. Ο αποστολέας χρειάζεται τον τραπεζικό λογαριασμό κάποιου για να στείλει τα εκατομμύρια του, αλλά πρώτα απαιτεί τα τραπεζικά στοιχεία του θύματός του. Το θύμα, που επιθυμεί να επωφεληθεί από τα εκατομμύρια που θα κατατεθούν, μπορεί να πειστεί να στείλει μια σχετικά μικρή προκαταβολή ή τα στοιχεία του. Στη βιομηχανία του εγκλήματος στον κυβερνοχώρο, αυτή η επίθεση είναι αρχαία – αλλά το 2018 εξακολουθούσε να κερδίζει εκατοντάδες χιλιάδες δολάρια.

Τύποι επιθέσεων κοινωνικής μηχανικής

Η κοινωνική μηχανική καλύπτει ένα ευρύ φάσμα μοτίβων επιθέσεων, καθένα από τα οποία ακολουθεί τη δική του προσέγγιση για τη χειραγώγηση των θυμάτων. 

Επιθέσεις Phishing

Το phishing περιλαμβάνει έναν από τους πιο διαβόητους τύπους επιθέσεων κοινωνικής μηχανικής. Αυτές οι επιθέσεις βλέπουν ένα θύμα να λαμβάνει μηνύματα που στοχεύουν να το χειραγωγήσουν ώστε να μοιράζονται ευαίσθητες πληροφορίες ή να κατεβάζουν κακόβουλα αρχεία. Οι απατεώνες αναγνωρίζουν ότι τα εισερχόμενα είναι η πιο ευάλωτη περιοχή κάθε οργανισμού και τα μηνύματα δημιουργούνται με αυξανόμενη νομιμότητα, μιμούμενοι γνωστούς οργανισμούς, φίλους του παραλήπτη ή αξιόπιστους πελάτες. 

Υπάρχουν πέντε κύριες μορφές επίθεσης phishing. το πιο επικίνδυνο από τα οποία είναι η τεχνική του spear phishing. Αυτή η τακτική στοχεύει ένα συγκεκριμένο άτομο – συνήθως σε αυτό που έχει προνομιακή πρόσβαση σε ευαίσθητες πληροφορίες και δίκτυα. Ο εισβολέας θα διεξάγει μια μακρά έρευνα για το άτομο που στοχεύει, χρησιμοποιώντας συχνά τα μέσα κοινωνικής δικτύωσης για να παρακολουθεί τις συμπεριφορές και τις κινήσεις του. Ο στόχος είναι να δημιουργηθεί ένα μήνυμα που κατά πάσα πιθανότητα στάλθηκε από κάποιον που ο στόχος γνωρίζει και εμπιστεύεται – ή που κάνει αναφορές σε καταστάσεις που ο στόχος είναι εξοικειωμένος. Η φαλαινοθηρία αναφέρεται στη μόχλευση αυτής της διαδικασίας ενάντια σε άτομα υψηλού προφίλ, όπως CEO. Το Spear phishing μπορεί να ενισχυθεί σε σχεδόν αλάθητο με το Business Email Compromise (BEC) – επιτρέποντας την αποστολή κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου από τον αυθεντικό λογαριασμό email της αρχής.  

Οι επόμενοι δύο τύποι phishing αναφέρονται στο μέσο μέσω του οποίου έγινε επαφή με το θύμα. Ενώ το ηλεκτρονικό ψάρεμα φέρνει γενικά στο μυαλό τα email, οι επιτιθέμενοι είναι περισσότερο από πρόθυμοι να χρησιμοποιήσουν οποιαδήποτε μορφή πιθανής επαφής με τα θύματα. Αυτό μπορεί να περιλαμβάνει το vishing – όπως η προαναφερθείσα φωνητική απάτη του Διευθύνοντος Συμβούλου – και η συμπερίληψη ενός (φαινομενικού) ατόμου στην άλλη άκρη της γραμμής μπορεί να ενσταλάξει περαιτέρω την αίσθηση του επείγοντος στα θύματα. 

Η IBM δημοσίευσε δεδομένα που έδειξε ότι η συμπερίληψη του Vishing σε μια καμπάνια αύξησε τις πιθανότητες επιτυχίας του έως και 300%. Ο Smishing, από την άλλη πλευρά, βλέπει τους εισβολείς να χρησιμοποιούν μηνύματα κειμένου για να επιτύχουν τον ίδιο στόχο. Ο τρόπος με τον οποίο αυτά τα διάφορα μηνύματα και email φτάνουν στα θύματά τους είναι τόσο πολύπλευρος όσο και οι ίδιοι οι επιτιθέμενοι: η πιο βασική μορφή του οποίου είναι το μαζικό phishing. Πολύ παρόμοια μηνύματα ηλεκτρονικού ταχυδρομείου – συνήθως εκτός προτύπου – αποστέλλονται σε εκατομμύρια παραλήπτες ταυτόχρονα. Οι μαζικοί εισβολείς γνωρίζουν ότι το phishing είναι απλώς ένα παιχνίδι αριθμών – στείλτε τους σε αρκετούς ανθρώπους και τελικά κάποιος θα πέσει θύμα. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι όσο το δυνατόν πιο γενικά, και φαίνεται ότι προέρχονται από παγκόσμιες τράπεζες και μεγάλες διαδικτυακές εταιρείες. Συνήθη θέματα είναι τα ψεύτικα email επαναφοράς κωδικού πρόσβασης και τα αιτήματα για ενημερώσεις πιστωτικής φροντίδας. Το phishing στις μηχανές αναζήτησης, από την άλλη πλευρά, επιχειρεί να δημιουργήσει «οργανικά» θύματα. οι εισβολείς κατασκευάζουν κακόβουλους ιστότοπους που στη συνέχεια κατατάσσονται αρκετά ψηλά στα αποτελέσματα αναζήτησης Google που τα θύματα θεωρούν ότι είναι νόμιμοι. Στις πλατφόρμες μέσων κοινωνικής δικτύωσης, οι ψαράδες ψαράδες μαζεύουν θύματα μεταμφιεσμένοι στους επίσημους λογαριασμούς αξιόπιστων εταιρειών. Μόλις ένας πελάτης επικοινωνήσει μαζί τους, αυτοί οι ψεύτικοι λογαριασμοί θα εκμεταλλευτούν τα ερωτήματα και τις ανησυχίες τους για να συλλέξουν τα προσωπικά τους στοιχεία και τα στοιχεία της πιστωτικής τους κάρτας. 

Επιθέσεις δολώματος

Ενώ το phishing συχνά βασίζεται σε τακτικές επείγουσας ανάγκης υψηλής πίεσης, οι επιθέσεις με δόλωμα παρασύρουν τα θύματα να ενεργήσουν ενάντια στα συμφέροντά τους. Το 2020, το FBI εξέδωσε προειδοποίηση σε οργανισμούς που εδρεύουν στις ΗΠΑ· ανακαλύφθηκε ότι η διαβόητη ομάδα εγκλήματος στον κυβερνοχώρο FIN7 χρησιμοποιούσε κακόβουλες μονάδες USB για την παράδοση ransomware σε πολλούς οργανισμούς. Αυτά τα USB είχαν σταλεί ως πακέτα ειδοποιήσεων δημοσίων σχέσεων και δημόσιας ασφάλειας. Ένα πακέτο που κατασχέθηκε βρέθηκε να μιμείται το Υπουργείο Υγείας των ΗΠΑ, αναφερόμενο στις οδηγίες του Covid-19, και ένα άλλο επιχειρούσε να μιμηθεί ένα πακέτο δώρου της Amazon, γεμάτο με ψεύτικη δωροκάρτα και το κακόβουλο USB.

Επιθέσεις ουράς

Το tailgating, ή piggybacking, πηγάζει από ιδέες γύρω από τη φυσική περιμετρική ασφάλεια. Εδώ, ένας εισβολέας ακολουθεί στενά ένα νόμιμο και εξουσιοδοτημένο άτομο στην περιοχή που περιέχει πολύτιμα περιουσιακά στοιχεία. Το ψηφιακό tailgating είναι μια από τις απλούστερες μορφές κυβερνοεπίθεσης, που βασίζεται σε μεγάλο βαθμό στην απροσεξία των εργαζομένων. Αυτό μπορεί να μοιάζει σαν ένας υπάλληλος που αφήνει τη συσκευή του χωρίς επίβλεψη ενώ τσιμπάει στην τουαλέτα της τοπικής βιβλιοθήκης – έτσι είναι θεμιτό το Το FBI κατέλυσε τον Ross Ulbricht, ιδιοκτήτης του ιστότοπου πώλησης ναρκωτικών Silk Road, το 2013.

Προσχήματα επιθέσεων

Οι επιθέσεις με προσχήματα περιλαμβάνουν τον εισβολέα που δημιουργεί μια πιστευτή αλλά ψεύτικη κατάσταση για το θύμα. Μόλις καταλάβουν το ψέμα, τα θύματα γίνονται πολύ πιο εύχρηστα. Για παράδειγμα, πολλές επιθέσεις προσχηματισμού επικεντρώνονται γύρω από το θύμα που επηρεάζεται από μια παραβίαση ασφαλείας – στη συνέχεια προσφέρεται να επιλύσει το πρόβλημα, είτε μέσω της «υποστήριξης πληροφορικής» του λαμβάνοντας απομακρυσμένο έλεγχο της συσκευής του θύματος, είτε με την αναζήτηση ευαίσθητων πληροφοριών λογαριασμού. Τεχνικά, σχεδόν κάθε προσπάθεια κοινωνικής μηχανικής θα περιλαμβάνει έναν βαθμό προσχηματισμού, χάρη στην ικανότητά της να κάνει ένα θύμα πιο εύπλαστο.

Quid pro quo επιθέσεις

Οι επιθέσεις Quid pro quo χρησιμοποιούν τη μέθοδο του δολώματος – κρεμώντας ένα επιθυμητό αγαθό ή υπηρεσία – μπροστά στο πρόσωπο του θύματος – αλλά μόνο όταν το θύμα δίνει προσωπικές πληροφορίες ως αντάλλαγμα. Είτε πρόκειται για ψεύτικα κέρδη σε διαγωνισμούς είτε για ένα κουίζ «ποια πριγκίπισσα της Disney είσαι», οι πληροφορίες που δίνονται από αυτές τις επιθέσεις μπορούν να συμβάλουν σε πιο σοβαρές επιθέσεις στη συνέχεια. 

Επιθέσεις Scareware

Το Scareware περιγράφει κάθε μορφή κακόβουλου λογισμικού που στοχεύει να τρομάξει τα θύματά του ώστε να μοιραστούν πληροφορίες ή να κατεβάσουν περαιτέρω κακόβουλο λογισμικό. Ενώ τα πλαστά μηνύματα τεχνικής υποστήριξης είναι το παραδοσιακό παράδειγμα, οι νεότερες επιθέσεις χρησιμοποιούν πλήρως τα συναισθήματα φόβου και ντροπής. Πρόσφατα, οι διευθύνσεις email κλάπηκαν από έναν ιστότοπο προσλήψεων και στάλθηκαν ψεύτικες προσφορές εργασίας σε καθένα. κάνοντας κλικ στο συνημμένο έγγραφο θα ξεκινήσει η λήψη ενός ιού Trojan. Η επίθεση στόχευε συγκεκριμένα εταιρικές διευθύνσεις email, γνωρίζοντας ότι οι εργαζόμενοι που έπεσαν θύματα θα δίσταζαν να πουν στους εργοδότες τους ότι είχαν μολυνθεί ενώ αναζητούσαν εναλλακτική εργασία.

Επιθέσεις ποτίσματος

Τέλος, οι επιθέσεις βλέπουν τους εισβολείς να στοχεύουν δημοφιλείς νόμιμες ιστοσελίδες. Με την έγχυση κακόβουλου κώδικα σε ιστότοπους που συχνά συχνάζουν στόχοι, οι εισβολείς είναι σε θέση να πιάσουν έμμεσα τα θύματα με λήψεις μέσω οδήγησης και κλοπή διαπιστευτηρίων. 

Πώς να αναγνωρίσετε τις επιθέσεις κοινωνικής μηχανικής

Οι επιθέσεις κοινωνικής μηχανικής είναι τόσο επιτυχημένες χάρη στην ικανότητά τους να περνούν απαρατήρητες ως τέτοιες. Επομένως, η αναγνώριση μιας επίθεσης – κατά προτίμηση προτού σας παγιδεύσει – αποτελεί βασικό μέρος της πρόληψης επίθεσης. Ακολουθούν τα 6 κύρια αναγνωριστικά μιας απόπειρας επίθεσης κοινωνικής μηχανικής:

Ύποπτος αποστολέας

Ένας από τους ευκολότερους τρόπους για να υποδυθείτε μια νόμιμη επιχείρηση είναι η πλαστογράφηση email. Εδώ, η διεύθυνση του εισβολέα θα είναι σχεδόν πανομοιότυπη με αυτή του γνήσιου οργανισμού – αλλά όχι εντελώς. Ορισμένοι χαρακτήρες ενδέχεται να αλλάξουν ελαφρώς ή να παραληφθούν εντελώς. αυτό μπορεί να γίνει απίστευτα ύπουλο, όπως η αλλαγή ενός κεφαλαίου «I» σε ένα πεζό «l».

Γενικοί χαιρετισμοί και υπογραφές

Τα μαζικά μηνύματα ηλεκτρονικού ψαρέματος θα χρησιμοποιούν σχεδόν πάντα έναν γενικό χαιρετισμό, όπως κύριε ή κυρία, Γνήσιο υλικό μάρκετινγκ, ωστόσο, συνήθως ξεκινά με ένα όνομα, καθώς οι αξιόπιστοι οργανισμοί συνήθως χρησιμοποιούν τα στοιχεία επικοινωνίας που περιλαμβάνονται στη βάση δεδομένων τους. Αυτή η μορφή επικοινωνίας από αξιόπιστους οργανισμούς θα επεκταθεί και στο τέλος του μηνύματος ηλεκτρονικού ταχυδρομείου, καθώς η υπογραφή του αποστολέα θα περιλαμβάνει συχνά στοιχεία επικοινωνίας. Ο συνδυασμός γενικού χαιρετισμού και έλλειψης στοιχείων επικοινωνίας είναι ένας ισχυρός δείκτης phishing.

Παραποιημένοι υπερσύνδεσμοι και ιστότοποι

Ένας από τους ευκολότερους τρόπους παραβίασης μιας συσκευής είναι μέσω ενός ιστότοπου που είναι φορτωμένος με κακόβουλο κώδικα. Χάρη στη μορφοποίηση υπερσυνδέσμων από τις σύγχρονες συσκευές, κάθε κείμενο μπορεί να συνδεθεί με οποιαδήποτε διεύθυνση URL. Αν και είναι δυνατό να το ελέγξετε σε έναν υπολογιστή τοποθετώντας το δείκτη του ποντικιού πάνω από τον σύνδεσμο και αξιολογώντας την εγκυρότητά του, οι χρήστες κινητών και tablet κινδυνεύουν περισσότερο να κάνουν κλικ χωρίς να το θέλουν. Το να χειροτερεύει το εξάνθημα των πλαστών υπερσυνδέσμων είναι η ικανότητα των επιτιθέμενων να μιμούνται στενά νόμιμους ιστότοπους, προσθέτοντας επίπεδα αξιοπιστίας σε μια επίθεση. Ένα πλαστό URL θα ακολουθεί το ίδιο μοτίβο με μια πλαστογραφημένη διεύθυνση email: μια παραλλαγή στην ορθογραφία ή στον τομέα, όπως η αλλαγή .gov σε .net, είναι μερικές από τις πιο επιτυχημένες τεχνικές.

Δευτερεύοντες προορισμοί

Είναι πολύ συνηθισμένο υλικό μάρκετινγκ και άλλα μηνύματα να περιλαμβάνουν συνημμένα έγγραφα. Οι επιτιθέμενοι το χρησιμοποιούν αυτό κατευθύνοντας το θύμα σε ένα γνήσιο έγγραφο –ή φιλοξενώντας ιστότοπο– που με τη σειρά του κατευθύνει το θύμα σε μια κακόβουλη σελίδα. Αυτή η τεχνική επιβάλλεται συνήθως σε ομάδες εργαζομένων που συνεργάζονται τακτικά στην εργασία. Εάν ένα νόμιμο έγγραφο περιλαμβάνει έναν σύνδεσμο προς ένα κακόβουλο αρχείο, δεν είναι μόνο πιο πιστευτό για τα θύματά του, αλλά επίσης παρακάμπτει βασικούς μηχανισμούς ασφαλείας εισερχομένων.

Ορθογραφία και διάταξη

Η πιο προφανής ένδειξη επιθέσεων phishing: κακή γραμματική και ορθογραφία. Οι έγκριτοι οργανισμοί αφιερώνουν σχεδόν πάντα χρόνο στην επαλήθευση και τη διόρθωση της αλληλογραφίας των πελατών. Ταυτόχρονα, η κακή γραμματική που σχετίζεται με την τέχνη της κοινωνικής μηχανικής των ανθρώπινων επιθέσεων hacking λειτουργεί ως εγγενής μηχανισμός φιλτραρίσματος. Οι επιτιθέμενοι δεν θέλουν να σπαταλούν το χρόνο τους ασχολούμενοι με ύποπτους ανθρώπους: όσοι ερωτεύονται την κακή γραμματική και ορθογραφία είναι αρκετά ευάλωτοι ώστε να γίνουν εύκολη λεία.

Ύποπτα συνημμένα

Τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούν από τον χρήστη να κατεβάσει και να ανοίξει συνημμένα θα πρέπει να χτυπήσει το ξυπνητήρι. Όταν συνδυάζεται με έναν τόνο επείγοντος, είναι σημαντικό να ανακατευθύνετε αυτόν τον πανικό σε μια αίσθηση προσοχής. Σε περιπτώσεις συμβιβασμού του επαγγελματικού ηλεκτρονικού ταχυδρομείου, είναι πιθανό ακόμη και τα απίστευτα σύντομα μηνύματα να προκαλέσουν εκτεταμένη πανδαισία: η λήψη ενός email από ένα υψηλόβαθμο στέλεχος που δηλώνει «Χρειάζομαι αυτό το έγγραφο τυπωμένο, στο γραφείο μου σε 10 λεπτά» θα μπορούσε να ξεγελάσει έναν ασκούμενο ώστε να παραβλέψει το γραμματικό λάθος από φόβο.

Πώς να αποτρέψετε τις επιθέσεις κοινωνικής μηχανικής

Αν και είναι σύνηθες να αντιμετωπίζονται οι επιθέσεις phishing ως ένα καθαρά ατομικό πρόβλημα, υπάρχει αυξανόμενη ζήτηση να αντιμετωπίζεται η πρόληψη της κοινωνικής μηχανικής ως συλλογική προσπάθεια. Εξάλλου, οι επιτιθέμενοι απλώς οπλίζουν τις φυσικές απαντήσεις των χρηστών στον φόβο και τον πανικό. Η προστασία ενός οργανισμού – και των χρηστών του – περιορίζεται σε τρεις βασικούς τομείς.

#1. Εκπαίδευση Ευαισθητοποίησης για την Ασφάλεια

Πρώτα και κύρια: παροχή στους εργαζομένους τα εργαλεία για να αμυνθούν. Η εκπαίδευση ευαισθητοποίησης για την ασφάλεια θα πρέπει να είναι σχετική με τους χρήστες τους, δίνοντας παράλληλα έμφαση σε ορισμένους μονομερείς κανόνες. Οι εργαζόμενοι πρέπει να κατανοήσουν ότι δεν πρέπει να κάνουν κλικ σε συνδέσμους σε οποιαδήποτε μηνύματα ηλεκτρονικού ταχυδρομείου και μηνύματα. Αντίθετα, πρέπει να χτίσουν τη συνήθεια να αναζητούν απλώς μια νόμιμη εκδοχή. Οι σύγχρονες ταχύτητες Διαδικτύου το καθιστούν εύκολη λύση. 

Η υγιεινή κωδικών πρόσβασης είναι, σε αυτό το σημείο, μια υπενθύμιση που κάθε εργαζόμενος έχει ακούσει χιλιάδες φορές. Δεδομένων των δεκάδων διαδικτυακών λογαριασμών που έχει τώρα κάθε άτομο, οι μοναδικοί και σύνθετοι κωδικοί πρόσβασης είναι πραγματικά εφικτές μόνο μέσω της χρήσης ενός διαχειριστή κωδικών πρόσβασης. Η υποστήριξη των εργαζομένων με αυτόν τον τρόπο μπορεί να βοηθήσει πολύ στον περιορισμό της ακτίνας έκρηξης των επιτυχημένων επιθέσεων. 

Τέλος, οι εργαζόμενοι πρέπει να καταλάβουν ότι όλοι είναι ευάλωτοι. Η διαρροή προσωπικών πληροφοριών μέσω των μέσων κοινωνικής δικτύωσης είναι αυτό που οδηγεί την εξαιρετικά επιτυχημένη βιομηχανία phishing των φαλαινών. Αν και είναι καλό να έχετε κατά νου ότι τα σχολεία, τα κατοικίδια και οι τόποι γέννησης πρέπει να μένουν μακριά από τα φώτα της δημοσιότητας, ορισμένοι υπάλληλοι μπορεί να το βρίσκουν ευκολότερο να θέσουν ερωτήσεις ασφαλείας που είναι αξιομνημόνευτες αλλά τεχνικά αναληθή. Για παράδειγμα, ορίζοντας την ερώτηση ασφαλείας "πού πήγατε σχολείο;" με το «Χόγκουαρτς» θα μπορούσε να πετάξει εντελώς τους αδιάκριτους επιτιθέμενους. 

#2. Πολιτικές ελέγχου πρόσβασης

Ο έλεγχος της πρόσβασης σε κάθε τελικό σημείο είναι ένα ζωτικό μέρος της πρόληψης της κοινωνικής μηχανικής. Από τον χρήστη έως τις διαδικασίες ελέγχου ταυτότητας, πρέπει να υπάρχει αυστηρός έλεγχος σχετικά με το ποιος έχει πρόσβαση σε τι. Οι τελικοί χρήστες πρέπει να κλειδώνουν τους υπολογιστές και τις συσκευές κάθε φορά που απομακρύνονται – αυτό θα πρέπει να ενισχυθεί και να αυτοματοποιηθεί μέσω σύντομων χρονόμετρων ύπνου. Όταν οι συσκευές χρησιμοποιούνται σε δημόσιους χώρους, πρέπει να φυλάσσονται ανά πάσα στιγμή στην κατοχή των εργαζομένων. Όλος ο έλεγχος ταυτότητας πρέπει να ενισχυθεί με το MFA. Αυτό μπορεί να αναιρέσει εντελώς την απειλή κλοπής διαπιστευτηρίων BEC και σύνδεσης.

Τελικά, η απλή επαλήθευση της ταυτότητας με δακτυλικό αποτύπωμα ή τηλέφωνο μπορεί να κάνει τη διαφορά ανάμεσα σε ένα πλαστό email που έχει συλληφθεί – και μια επίθεση BEC που προκαλεί ζημιές εκατομμύρια.

#3. Τεχνολογίες Ασφαλείας

Οι εργαζόμενοι πρέπει να υποστηρίζονται διεξοδικά με μια ολοκληρωμένη σειρά τεχνολογιών ασφαλείας. Για παράδειγμα, εάν το φιλτράρισμα ανεπιθύμητων μηνυμάτων ενός προγράμματος ηλεκτρονικού ταχυδρομείου εξακολουθεί να επιτρέπει ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου στα εισερχόμενα, τα φίλτρα τρίτων μπορούν να βοηθήσουν στην παρακολούθηση και την πρόληψη επιθέσεων κοινωνικής μηχανικής με μια προσέγγιση μαύρης λίστας διευθύνσεων URL. Ενώ η πρόληψη που βασίζεται στα εισερχόμενα είναι σημαντική, ίσως περισσότερο είναι η εφαρμογή της υψηλής ποιότητας ασφάλεια του προγράμματος περιήγησης. Αυτό θα καταπολεμήσει ιδανικά τα rootkits, τους Trojans και τις πλαστογραφίες που κλέβουν διαπιστευτήρια, προσφέροντας προστασία πολύ βαθύτερης προσέγγισης από τη μερική αναγνώριση URL. 

Η λύση LayerX

Η πρώτη επέκταση προγράμματος περιήγησης του LayerX προσφέρει μια ενιαία, ολοκληρωμένη προσέγγιση για την καταπολέμηση των επιθέσεων κοινωνικής μηχανικής. Οι περίοδοι λειτουργίας του προγράμματος περιήγησης παρακολουθούνται στο επίπεδο εφαρμογής, προσφέροντας πλήρη ορατότητα σε όλα τα συμβάντα περιήγησης. Κάθε ιστοσελίδα μπορεί να προχωρήσει ένα βήμα πέρα ​​από τη διαδικασία «αποκλεισμός ή άρνηση», με εις βάθος ανάλυση που επιτρέπει την εξουδετέρωση απειλών σε πραγματικό χρόνο. Με αυτόν τον τρόπο, η λεπτομερής επιβολή μπορεί να αποτρέψει ακόμη και πολύ προηγμένες επιθέσεις BEC από την παράδοση ωφέλιμου φορτίου. Αντί να βασίζεται σε μια προσέγγιση βήμα πίσω μέσω λιστών αποκλεισμού DNS, η μελλοντική προσέγγιση του LayerX συνδυάζει την αιχμή της νοημοσύνης απειλών με τη βαθιά επιβολή σε κάθε τελικό σημείο.