Ingineria socială_
Pregătiți-vă angajații să recunoască și să raporteze tacticile de manipulare pe care infractorii cibernetici le utilizează folosind tehnologii și training de security awareness de nivel de companie
Cu suficient timp și resurse la dispoziție, un atacator poate păcăli pe oricine folosind ingineria socială.
Ba mai mult, numărul atacurilor de phishing a crescut cu 36% în 2018 și nu există semne de încetinire.
Fără imunizarea pe care o oferă educația în domeniul securității cibernetice, angajații sunt ținte sigure pentru atacatorii și escrocii care devin din ce în ce mai pricepuți.
A ști cum arată amenințarea este primul pas către oprirea acesteia.
Ingineria socială explicată
În securitatea informațiilor, ingineria socială include multe forme de manipulare psihologică pe care atacatorii le folosesc asupra victimelor. Obiectivul este de a face victimele să acționeze împotriva rațiunii lor, ca escrocii sau infractorii cibernetici să profite de acest lucru.
Aproape orice atac de inginerie socială implică înșelarea încrederii, care determină victima să împărtășească informații confidențiale, să ofere acces la un sistem sau să faciliteze altfel un compromis al sistemului.
Protejați-vă compania împotriva atacurilor de inginerie socială
Pe măsură ce citiți acest lucru, atacatorii elaborează email-uri de tip phishing și dezvoltă noi modalități de a ajunge la victimele lor atunci când sunt cei mai vulnerabile.
Atacurile lor de inginerie socială au forme diverse, de care mulți oameni din afara infosec-ului nu au auzit niciodată.
1. CEO Fraud
CEO fraud sunt situațiile în care escrocii pretind că sunt CEO-ul unei companii sau un important factor de decizie pentru a-i păcăli pe angajați să transfere bani neautorizați. FBI estimează pierderi de peste 12 miliarde de dolari în ultimii 5 ani cauzate doar de acest tip de atac.
2. Invoice Fraud
Invoice fraud (fraudă cu facturi false) este un alt truc care implică pretinderea unei alte identități. Infractorii cibernetici pretind că sunt clienți / furnizori și conving victimele să plătească facturile într-un cont bancar pe care îl controlează. Agenția britanică Action Fraud estimează că frauda de plată costă IMM-urile britanice o sumă de 18,9 miliarde de lire sterline.
3. Phishing/Smishing/Vishing
Phishing / Smishing / Vishing sunt toate formele de manipulare psihologică care implică câștigarea încrederii victimei, ca atacatorii să poată colecta informații personale, financiare sau de securitate. Cum dispozitivele mobile fac aproape imposibilă verificarea adreselor URL și cum distragerilor fragmentează capacitatea noastră de concentrare, aceste tactici sunt încă extrem de eficiente.
4. Spoofed websites
Spoofing de site-uri bancare sunt adesea parte a atacurilor de inginerie socială. Infractorii cibernetici le folosesc pentru a colecta informații financiare și personale pe care le folosesc ulterior pentru a frauda conturile companiei sau personale.
5. Confidential Data Theft
Furtul de date confidențiale este uneori un obiectiv mai apreciat de către atacatori decât banii. Aceștia pot să-i șantajeze pe angajații dvs. pentru a colecta aceste informații sensibile, pe care să le folosească apoi împotriva lor sau a superiorilor.
6. Ransomware
Ransomware-ul este adesea dezlănțuit în companii din cauza trucurilor de inginerie socială, cum ar fi convingerea unui angajat să deschidă un atașament dintr-un email de curiozitate.
Există mult mai multe scenarii pe care atacatorii le folosesc și nimeni nu este complet protejat, dar o pregătire adecvată ajută extraordinar de mult!
Statisticile arată că
utilizatorii finali sunt cu 70% mai puțin susceptibili să cadă în plasa unei tentative de phishing
după 12 luni de instruire.
A învăța angajații să recunoască și să raporteze atacurile de inginerie socială reduce semnificativ suprafața de atac și promovează responsabilitatea în organizația dvs.
Cum vă ajută Bit Sentinel să luptați împotriva atacurilor de inginerie socială
Tehnologia poate merge doar până într-un punct în ceea ce privește securitatea. Indiferent de combinația de instrumente pe care le utilizați, elementul uman și caracterul său imprevizibil introduc inevitabil vulnerabilități în organizația dvs.
Acesta este motivul pentru care ne îmbunătățim în mod constant abilitățile cu cele mai bune training-uri din lume, astfel încât să putem învăța echipe ca a dvs să combată eficient aceste tactici de manipulare psihologică.
Echipa noastră vă poate ajuta cu:
- Open Source Intelligence (OSINT) reprezintă datele pe care le colectăm din surse disponibile publicului. Folosim aceste date pentru a simula scenariile de inginerie socială și vă arătăm în mod practic cum poate folosi un atacator aceste informații pentru a vă înșela angajații
- Campanii de phishing în social media care învață echipele cât de ușor este să colecteze și să utilizeze în scopuri rău intenționate informațiile pe care aceștia le oferă pe aceste platforme
- Instruire cu privire la Email Phishing pentru a ajuta angajații să învețe cum să detecteze și să gestioneze potențialele încercări de compromis
- Media Drops care vă testează apărarea și capacitatea echipei dvs. de a rezista tentației de a le folosi
- Testarea securității fizice care îi ajută pe colegii dvs. să se protejeze împotriva tailgating-ului sau „piggybacking”, care presupune că un atacator accesează o zonă interzisă urmând pe cineva cu nivelul de access necesar.
- Training împotriva phishing-ului prin telefon (vishing) care permite persoanelor din întreaga organizație să recunoască înșelătorii și încercările de fraudă, astfel încât să nu fie convinși să acționeze în favoarea atacatorului
- PhishEnterprise – o platformă automatizată, auto-gestionată sau pe deplin gestionată, pe care o puteți utiliza pentru exerciții practice axate pe tactici de inginerie socială.
Ajutați-vă angajații să experimenteze consecințele acestor atacuri cu simulări realiste și învățați-i să le contracareze. Platforma dispune de:
- Un sistem de gamification
- Un set complet de atacuri de phishing care pot fi utilizate în fiecare lună
- Capacitatea de a viza un public general și flexibilitatea de a vă concentra pe anumite departamente din organizația dvs.
- Opțiunea de a descoperi modul în care echipele dvs. reduc rata de infecție pentru diferite atacuri de phishing
- Feedback și îndrumare contextualizate: atunci când angajații se ocupă de o simulare de inginerie socială, primesc un ghid complet care explică modul în care s-a întâmplat atacul și care elemente ar fi putut evita compromiterea lor.
Vă putem ajuta să dezvoltați politici interne care să vă păstreze nivelul de compliance (cu GDPR, de exemplu) și să vă asigurați că angajații dvs. știu pe cine să contacteze și cum să raporteze atacurile de inginerie socială.
6 moduri de prevenire a ingineriei sociale pentru ca afacerea dvs. să prospere
Când lucrați cu echipa noastră de specialiști în infosec:
- Înțelegeți cum reacționează organizația dvs. la exploatarea personalului
- Aflați cum percep angajații dvs. politicile de securitate, cât de profund le înțeleg și cum le urmăresc
- Arătați persoanelor din organizația dvs. modul în care greșelile mici le pot acorda criminalilor cibernetici acces privilegiat la active și date confidențiale
- Descoperiți și rezolvați potențialele vulnerabilități înainte de a se transforma într-un compromis de securitate
- Faceți securitatea relevantă și importantă pentru echipele dvs. pentru a le menține implicate și pentru a le ajuta să ia decizii de securitate mai eficiente
- Recompensați-vă angajații vigilenți și responsabili folosind un bonus pentru a promova acest tip de comportament.
Un angajat instruit să recunoască înșelătorii în inginerie socială are mai mult control asupra comportamentului său și poate deveni un atu imens pentru programul dvs. de securitate cibernetică.
Observăm acest impact pozitiv pe parcursul campaniilor ofensive și defensive pe care le derulăm pentru clienții noștri de la Bit Sentinel.
Ne-ar plăcea să facem același lucru pentru echipa dvs.!
Pregătiți-vă angajații pentru a detecta tactici de inginerie socială
Programul nostru de pregătire specializată se concentrează pe atacuri tipice și atipice de inginerie socială.
Iată o listă de 10 lucruri practice pe care angajații dvs. le pot realiza cu ajutorul nostru:
- Să-și blocheze laptopurile când părăsesc biroul
- Să folosească și să distribuie parolele într-un mod securizat
- Să cultive obiceiul de a pune la îndoială solicitări de date confidențiale, bani sau alte tipuri de active
- Să nu lase niciodată străini în clădire sau în camerele serverelor sau zonele în care sunt stocate informații confidențiale
- Să verifice linkurile din emailurile suspecte înainte de a da click pe ele
- Să descopere cum să detecteze înșelătorii și fraude pe email, pe social media, pe platforme de mesagerie instantanee, la telefon sau în poștă fizică
- Să nu divulge niciodată parole pentru servicii financiare, platforme interne ale companiei sau dispozitive utilizate pentru muncă sau activități personale (BYOD)
- Să știe la cine să apeleze pentru a verifica de mai multe ori cererile de transfer de bani pentru a le valida autenticitatea
- Să fie conștienți de punctele lor slabe și să acționeze cu precauție când lucrează cu date sau active financiare sensibile
- Să știe cum să comunice unul cu celălalt într-un mod în care să stabilească așteptările în mod corect („Vă voi trimite un email în acest sens în următoarele 2 zile”)
Sunteți gata să acționați și să reduceți riscul compromisului resursei umane?