פרסומת

דוא"ל הוא וקטור תקיפה נפוץ המשמש את רמאי פושעי המחשב. אבל אם חשבתם שזה משמש רק להפצת תוכנות זדוניות, דיוג ו- הונאות בתשלום מקדמי ניגרי האם דוא"ל הונאה ניגרי מסתיר סוד נורא? [דעה]יום אחר, דוא"ל זבל אחר נופל לתיבת הדואר הנכנס שלי, איכשהו עושה את דרכו סביב מסנן הספאם של Windows Live שעושה עבודה כל כך טובה להגן על עיניי מכל שאר הבלתי מבוקשים ... קרא עוד , תחשוב שוב. יש הונאה חדשה המופעלת באמצעות דואר אלקטרוני בה תוקף יעמיד פנים שהוא הבוס שלך, ויגרום לך להעביר אלפי דולרים של כספי חברה לחשבון בנק בו הם שולטים.

קוראים לזה הונאת מנכ"ל, או "Insider Spoofing".

הבנת ההתקפה

אז איך התקיפה עובדת? ובכן, כדי שתוקף יוכל להוריד אותו בהצלחה, הם צריכים לדעת מידע רב על החברה שאליה הם פונים.

חלק גדול ממידע זה עוסק במבנה ההיררכי של החברה או המוסד אליו הם פונים. הם יצטרכו לדעת Who הם מתחזים. למרות שתרמית מסוג זה ידועה כ"הונאת מנכ"ל ", היא למעשה מכוונת כל אחד עם תפקיד בכיר - כל מי שיוכל לבצע תשלומים. הם יצטרכו לדעת את שמם ואת כתובת הדוא"ל שלהם. זה יעזור גם לדעת את לוח הזמנים שלהם, ומתי הם נוסעים או בחופשה.

מנכ"ל

לבסוף, הם צריכים לדעת מי בארגון מסוגל להעביר העברות כספים, כגון רואה חשבון, או מישהו המועסק במחלקת הכספים.

instagram viewer

חלק ניכר ממידע זה ניתן למצוא בחופשיות באתרי החברה המדוברת. לחברות רבות בגודל בינוני-קטן יש דפי "אודותינו", שם הם מפרטים את עובדיהם, תפקידם ואחריותם ופרטי הקשר שלהם.

למצוא את לוחות הזמנים של מישהו יכול להיות קצת יותר קשה. הרוב המכריע של האנשים לא מפרסמים את לוח השנה שלהם באופן מקוון. עם זאת, אנשים רבים מפרסמים את תנועותיהם באתרי מדיה חברתית, כמו טוויטר, פייסבוק ו- נחיל (לשעבר Foursquare) Foursquare משיק מחדש ככלי גילוי על בסיס הטעמים שלךFoursquare חלוצה בתחום הצ'ק-אין הנייד; עדכון סטטוס מבוסס מיקום שאמר לעולם בדיוק היכן היית ולמה - אז האם המעבר לכלי גילוי טהור הוא צעד קדימה? קרא עוד . תוקף יצטרך לחכות רק עד שהם יעזבו את המשרד והם יוכלו לשבות.

אני בשוק סנט ג'ורג '- @ stgeorgesbt1 בבלפסט ושות 'אנטרים https://t.co/JehKXuBJsc

- אנדרו בולסטר (@ בולסטר) 17 בינואר 2016

ברגע שיש לתוקף כל פיסת חידה שהוא צריך כדי לבצע את ההתקפה, הם ישלחו בדוא"ל את הכספים עובד, המתיימר להיות המנכ"ל, ומבקש שיוזם העברת כספים לחשבון בנק אותו הם שליטה.

כדי שזה יעבוד, הדוא"ל צריך להיראות אמיתי. הם ישתמשו בחשבון דוא"ל שנראה 'לגיטימי' או מתקבל על הדעת (לדוגמה firstname.lastname.arbitrarynumber@gmail.com), או אם כי 'זייף' את הדוא"ל האמיתי של המנכ"ל. זה המקום אליו נשלחת דוא"ל עם כותרות שהשתנו, כך ששדה "מאת:" מכיל את הדוא"ל המקורי של המנכ"ל. חלק מהתוקפים בעלי מוטיבציה ינסו לגרום למנכ"ל לשלוח אותם בדוא"ל, כך שיוכלו לשכפל את הסטיילינג והאסתטיקה של הדוא"ל שלהם.

התוקף יקווה כי לחץ על עובד הכספים ליזום את ההעברה מבלי לבדוק קודם עם המנהל הממוקד. הימור זה משתלם לעיתים קרובות, כאשר חברות מסוימות שילמו באופן לא מודע מאות אלפי דולרים. חברה אחת בצרפת שהייתה פרופיל ה- BBC הפסד 100,000 יורו. התוקפים ניסו להשיג 500,000, אך כל התשלומים פרט לאחד נחסמו על ידי הבנק שחשד בהונאה.

כיצד מתקפות הנדסה חברתית עובדות

איומי אבטחת מחשבים מסורתיים נוטים להיות בעלי אופי טכנולוגי. כתוצאה מכך תוכלו להפעיל אמצעים טכנולוגיים כדי להביס את ההתקפות הללו. אם נדבקת בתוכנה זדונית, באפשרותך להתקין תוכנית אנטי-וירוס. אם מישהו ניסה לפרוץ את שרת האינטרנט שלך, אתה יכול לשכור מישהו שיבצע בדיקת חדירה ולייעץ לך כיצד תוכל 'להקשיח' את המכונה כנגד התקפות אחרות.

התקפות הנדסיות חברתיות מהי הנדסה חברתית? [MakeUseOf מסביר]אתה יכול להתקין את חומת האש החזקה והיקרה ביותר בתעשייה. אתה יכול לחנך עובדים לגבי נהלי אבטחה בסיסיים והחשיבות של בחירת סיסמאות חזקות. אתה יכול אפילו לבצע נעילה בחדר השרת - אבל איך ... קרא עוד - שמהונאה של מנכ"ל היא דוגמא ל - קשה הרבה יותר להקל עליהם מפני שהם לא תוקפים מערכות או חומרה. הם תוקפים אנשים. במקום לנצל פגיעויות בקוד, הם מנצלים את הטבע האנושי ואת הצו הביולוגי האינסטינקטיבי שלנו לבטוח באנשים אחרים. אחד ההסברים המעניינים ביותר להתקפה זו נאמר בכנס DEFCON בשנת 2013.

כמה מהפריצות הנועזות ביותר שנושאות לסתות היו תוצר של הנדסה חברתית.

בשנת 2012 מצא את עצמו העיתונאי לשעבר Wired Mat Honan תחת התקפה של קאדר נחוש פושעי סייבר, שהיו נחושים לפרק את חייו המקוונים. על ידי שימוש בטקטיקות הנדסיות חברתיות הם הצליחו לשכנע את אמזון ואפל לספק להם את המידע הדרוש בכדי למחוק מרחוק. את ה- MacBook Air והאייפון שלו, מחקו את חשבון הדואר האלקטרוני שלו, ותפסו את חשבון הטוויטר המשפיע שלו על מנת לפרסם גזעיות והומופוביות. הכינויים. אתה יכול לקרוא את הסיפור המצמרר כאן.

התקפות הנדסיות חברתיות אינן כמעט חידוש חדש. האקרים משתמשים בהם כבר עשרות שנים כדי להשיג גישה למערכות, מבנים ומידע מזה עשרות שנים. אחד המהנדסים החברתיים הידועים לשמצה ביותר הוא קווין מיטניק, שבאמצע שנות ה -90 הסתתר שנים מהמקום במשטרה, לאחר שביצע שורה של פשעי מחשב. הוא נכלא במשך חמש שנים ונאסר עליו להשתמש במחשב עד 2003. ככל שההאקרים הולכים, מיטניק היה הכי קרוב שאפשר להגיע אליו בעל מעמד של רוקסטאר 10 מההאקרים המפורסמים והטובים בעולם (והסיפורים המרתקים שלהם)האקרים עם כובע לבן לעומת האקרים עם כובע שחור. להלן ההאקרים הטובים והמפורסמים ביותר בהיסטוריה ומה הם עושים היום. קרא עוד . כאשר הותר לו סוף סוף להשתמש באינטרנט, זה שודר בטלוויזיה של לאו לפורטה שומרי המסך.

בסופו של דבר הוא הלך לגיטימי. כעת הוא מנהל חברת ייעוץ לאבטחת מחשבים משלו, וכתב מספר ספרים על הנדסה חברתית ופריצה. אולי המוערך ביותר הוא "אמנות ההטעיה". זוהי בעצם אנתולוגיה של סיפורים קצרים שבודקים כיצד ניתן לפיגוע התקפות הנדסיות חברתיות ואיך לעשות זאת הגן על עצמך מפניהם כיצד להגן על עצמך מפני התקפות הנדסה חברתיתבשבוע שעבר התבוננו בכמה מהאיומים ההנדסיים החברתיים העיקריים שאתם, החברה שלכם או העובדים שלכם צריכים להיזהר מהם. על קצה המזלג, הנדסה חברתית דומה ל ... קרא עוד , וזמין לרכישה באמזון.

מה ניתן לעשות בנוגע להונאת מנכ"ל?

אז בואו נסקור. אנו יודעים שהונאת המנכ"ל היא איומה. אנו יודעים שזה עולה להרבה חברות הרבה כסף. אנו יודעים שקשה להפליא למתן נגד, כי זו התקפה על בני אדם, לא נגד מחשבים. הדבר האחרון שנשאר לכסות הוא איך אנחנו נלחמים נגדו.

זה קל יותר לומר מאשר לעשות. אם אתה עובד וקיבלת בקשת תשלום חשודה מהמעסיק או מהבוס שלך, אולי תרצה לבצע איתם צ'ק-אין (בשיטה אחרת שאינו דוא"ל) כדי לבדוק אם זה היה אמיתי. הם עשויים להתעצבן איתך קצת בגלל שהטריד אותם, אבל הם בטח יהיו כאלה יותר עצבני אם בסוף שלחת 100,000 דולר מכספי החברה לחשבון בנק זר.

AnonDollar

ישנם גם פתרונות טכנולוגיים שניתן להשתמש בהם. של מיקרוסופט העדכון הקרוב ל- Office 365 יכיל כמה הגנות מפני התקפה מסוג זה, על ידי בדיקת מקור כל הודעת דוא"ל כדי לבדוק אם הוא בא מאיש קשר מהימן. מיקרוסופט מעריכה שהם השיגו שיפור של 500% באופן שבו Office 365 מזהה אימיילים מזויפים או מזויפים.

אל תיעץ

הדרך האמינה ביותר להתגונן מפני התקפות אלה היא להיות ספקן. בכל פעם שתקבל דוא"ל שמבקש ממך לבצע העברת כסף גדולה, התקשר אל הבוס שלך כדי לבדוק אם זה לגיטימי. אם יש לך התמודדות עם מחלקת ה- IT, שקול לבקש מהם עבור אל Office 365 מבוא ל- Office 365: האם כדאי לקנות למודל העסקי החדש של Office?Office 365 היא חבילה מבוססת מנויים המציעה גישה לסוויטת Office השולחנית האחרונה, Office Online, אחסון בענן ואפליקציות סלולריות מובחרות. האם Office 365 מספק מספיק ערך כדי להיות שווה את הכסף? קרא עוד , שמובילה את החבילה בכל הנוגע למאבק בהונאת המנכ"ל.

אני בהחלט מקווה שלא, אבל האם אי פעם היית קורבן לתרמית דוא"ל מונעת כסף? אם כן, אני רוצה לשמוע על זה. שחרר להיות תגובה למטה, וספר לי מה ירד.

קרדיט לצילום: AnonDollar (Anon שלך), מיגל מנכ"ל הבידור (חורחה)

מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.