Efni.
- 01. Félagsverkfræði
- 02. Lágtækni innri ógnin
- 03. Beiting
- 04. Afskráðu hnappa
- Fáðu þér miða á Generate New York núna
Þó að það sé rétt að árásarmenn séu að þróa flóknari vírusa og spilliforrit allan tímann, í auknum mæli og oft gleymdum, þá kemur stærsta öryggisógnin í raun ekki frá hugbúnaði heldur frá mannfólkinu sjálfu.
Fyrirtæki geta byggt upp öruggustu innviði í heimi til að vernda gögn sín fyrir utanaðkomandi ógnum, með lausnum eins og eldveggjum, VPN og öruggum hliðum, en það dregur ekki úr hættu á ógnum, illgjarn eða á annan hátt, innan stofnunarinnar sjálfrar. Þessi lágtækniháttur um tölvusnápur hefur notið sívaxandi vinsælda undanfarin ár, þar sem þekkt vörumerki verða fórnarlömb svindlara sem hafa samband við yngri fjármálastjórnendur og óska eftir fjármunum eftir að hafa gert smá LinkedIn rannsókn.
- Bestu VPN-netin 2019
Að auki, þar sem internetið myndar svo mikið af daglegu amstri fólks, og margir starfsmenn sem skrá sig inn á persónulega reikninga á vinnustaðnum, er mikilvægt að hafa í huga að það er líka víxl á milli persónuupplýsinga og fyrirtækjaupplýsinga þinna þegar kemur að öryggi á netinu. Ef tölvuþrjótur fær persónulegar upplýsingar þínar getur hann líka fengið aðgang að faglegum þínum.
Hér eru því fjórar leiðir sem tölvuþrjótar geta framhjá öryggi þínu og stolið gögnunum þínum.
01. Félagsverkfræði
Tilurð hvers konar netöryggisógn er félagsleg verkfræði; sú aðgerð að vinna með trúnaðargögn frá einstaklingi. Jú, tölvuþrjótar gætu smitað net af spilliforritum og farið inn um bakdyrnar, eða það sem betra er, þeir gætu bara platað starfsmann til að gefa upp lykilorð og rölta beint inn að framan án þess að vekja viðvörunarbjöllur. Þegar tölvuþrjótur hefur lykilorð einstaklings er lítið sem þú getur gert til að stöðva það, þar sem virkni þeirra virðist vera heimiluð.
Tækni í félagslegri verkfræði hefur þurft að verða flóknari með árunum þar sem meðalnotandi hefur orðið betri á hefðbundnar aðferðir sem tölvuþrjótar nota. Svo tölvuþrjótar þurfa nú að vera klárari að því leyti sem þeir afla gagna. Í viðskiptalegum skilningi getur eitthvað eins einfalt og að plata notanda til að smella á illgjarnan hlekk geta veitt árásarmanninum aðgang að öllu netinu. Fólk veit að hunsa tölvupósta frá því að biðja ókunnuga sem eru í sárri þörf fyrir bankaupplýsingar, en þegar þessi tölvupóstur kemur frá einhverjum sem þú þekkir, þá ertu mun ólíklegri til að smella á „Merkja sem ruslpóst“.
Tölvuþrjótar geta auðveldlega flett í gegnum Facebook reikning hugsanlegs markmiðs til að finna nafn vinar fórnarlambsins. Síðan geta þeir sent fórnarlambinu tölvupóst sem þykist vera þessi vinur og fórnarlambið er líklegra til að falla fyrir því ef það heldur að það sé frá einhverjum sem það þekkir.
RÁÐ: Um samfélagsmiðla, vertu varkár með persónulegar upplýsingar sem þú gefur upp. Það sem kann að virðast skaðlaus leikur þar sem „Rap nafnið þitt er nafn fyrsta gæludýrsins ásamt meyjarnafni móður þinnar“ gæti í raun verið svindlveiðisvindl sem notað er til að komast að svörum við algengum spurningum um endurheimt reiknings.
02. Lágtækni innri ógnin
Í stað andlitslauss óvinar koma flestar ógnanir við netöryggi frá núverandi eða fyrrverandi starfsmönnum. Þessir starfsmenn geta fengið óheimilan aðgang að trúnaðargögnum eða smitað netið með einhverju illgjarnu. Þessar innri ógnir geta verið margs konar:
- Öxlbrimbrettabrun
„Öxlbrimbrettabrun“ er einföld athöfn eins manns sem fylgist með einhverjum að slá inn lykilorð sitt. Það er fordæmi fyrir því að þetta gerist. Óánægður eða bráðum brottför starfsmaður gæti staðið frjálslega fyrir aftan skrifborðið og fylgst með öðrum starfsmönnum slá inn lykilorð. Þessi einfalda aðgerð gæti leitt til óviðkomandi aðgangs, sem gæti verið hörmulegt fyrir fyrirtæki. - Lykilorð á Post-it seðlum
Jafnvel auðveldara en að læra lykilorð sem mælst hefur um öxl, innri ógn geta komið frá starfsmönnum sem skrifa niður lykilorð og líma þau við tölvuskjáina sína - já, það gerist í raun. Augljóslega gerir þetta það ótrúlega auðvelt fyrir einhvern að fá upplýsingar um innskráningu sem hægt er að nota til að svíkja eða smita fyrirtæki. Góðu fréttirnar eru þær að auðvelt er að laga þetta kæruleysi. - Thumb drif sett í tölvur
Vélar starfsmanna geta smitast með lykilhugbúnaði sem hlaðinn er á einfalt USB drif. Árásarmaður þyrfti bara að laumast USB drifinu aftan á tölvu og þeir hefðu aðgang að persónulegum upplýsingum og lykilorðum notandans.
RÁÐ: Til að koma í veg fyrir þessar innri ógnir ættu fyrirtæki að fræða starfsmenn sína með öryggisnámskeiðum og samskiptum um mikilvægi þess að vera vakandi með lykilorðin sín. Hugbúnaður fyrir lykilorðsstjóra eins og KeePass eða Dashlane getur geymt lykilorð á öruggan hátt svo þú þarft ekki að muna þau öll. Einnig er hægt að læsa USB-tengjum vinnustöðvanna þinna til að koma í veg fyrir að óheimilt sé að nálgast tæki með USB með öllu. Þessa aðferð þarf þó að íhuga vandlega, því hún gerir allar vinnustöðvar mun minna sveigjanlegar og eykur álag fyrir upplýsingatæknideild, þar sem hvert nýtt USB tæki mun þurfa samþykki áður en hægt er að nota það.
03. Beiting
Líkt og félagsverkfræði, beita aðferðir til að plata notendur með því að nota upplýsingar sem fást um viðkomandi. Til dæmis gæti tölvuþrjótur skoðað samfélagsmiðla og lært að skotmarkið hefur hagsmuni af Game of Thrones. Sú vitneskja gefur árásarmanninum agn. Í stað almenns tölvupósts gæti árásarmaðurinn sent miða tölvupóst sem segir „Smelltu hér til að horfa á nýjasta þáttinn í Game of Thrones“. Notandinn er líklegri til að smella á hnappinn sem að sjálfsögðu er í raun malware hlekkur og ekki síðasti þátturinn af Game of Thrones.
Á sama hátt, með svo mikið af upplýsingum sem skráðar eru opinberlega á LinkedIn, getur það líka verið auðvelt fyrir árásarmenn að rannsaka skýrslugerð, miða á yngri sem þykist vera forstjóri og óska eftir millifærslu á tilteknum reikningi. Svo fjarstæðukennd sem það kann að virðast eru vel þekkt atvik af því að þetta á sér stað. Hlustun er svipuð aðferð, þar sem árásarmenn hlusta á viðskiptasamtöl á kaffihúsum, í almenningssamgöngum og jafnvel sem birgir í skrifstofuumhverfi.
04. Afskráðu hnappa
Önnur leið til þess að árásarmenn eru að plata notendur til að hlaða niður spilliforritum frá tölvupósti er í gegnum afskráningarhnappa. Samkvæmt lögum þarf hvert markaðsnetfang að vera með áskriftartengil svo að neytendur geti afþakkað móttöku samskipta. Árásarmaður gæti sent endurtekin tölvupóst til notanda sem líta út eins og sérstök markaðstilboð frá fatafyrirtæki (eða álíka). Tölvupósturinn lítur nógu skaðlaus út, en ef notandinn hefur ekki áhuga á fyrirtækinu, eða telur tölvupóstinn of tíðan, getur hann ýtt á afskráningarhnappinn til að hætta að fá tölvupóst. Nema í tölvupósti tölvusnápur tölvusnápur, að smella á afskráningarhnappinn halar í raun niður spilliforritið.
RÁÐ: Rétt stillt ruslpóstsía ætti að stöðva þessa tölvupósta, en aftur er best að vera vakandi.
Lykilatriðið er að vera vakandi og vera uppfærður á fjölda aðferða sem tölvuþrjótar geta notað til að stela gögnum þínum. Fræddu starfsmenn þína svo þeir séu meðvitaðir um aðferðirnar sem taldar eru upp í þessari grein og hægt er að nota til að afla sér efnis, svo sem innskráningarupplýsingar þeirra eða persónuleg gögn. Hvetjum starfsmenn til að spyrja hvern þann sem þeir þekkja ekki og vera meðvitaðir um alla sem hlusta á samtöl eða brimbrettabrun.
Þegar þetta er tekið til hliðar er þó vert að muna að internetið er áfram yfirþyrmandi jákvæður og skapandi staður og heimurinn er verulega ríkari fyrir það. Ef við erum vakandi getum við öll haldið áfram að njóta ávinnings þess.
Þessi grein var upphaflega birt í hefti 303 af net, söluhæsta tímarit heims fyrir vefhönnuði og forritara. Kaupa tölublað 303 eða gerast áskrifandi hér.
Fáðu þér miða á Generate New York núna
Besti vefhönnunarviðburður iðnaðarinsBúðu til New Yorker kominn aftur. Fyrstu hátalararnir eiga sér stað á tímabilinu 25. - 27. apríl 2018, en þeir eru SuperFriendly's Dan Mall, ráðgjafi vefhugmynda, Val Head, JavaScript-verktaki Wes Bos og fleiri.
Það er líka heill dagur af vinnustofum og dýrmætum netmöguleikum - ekki missa af því.Fáðu þér Generate miðann núna.
