«Потерянная» флешка
Один из проверенных временем трюков — «случайно» обронить флешку на офисной парковке с расчетом, что любопытный сотрудник подберет ее и вставит в корпоративный компьютер, тем самым запустив вредонос. Несмотря на то что тактика далеко не новая, судя по статистике, она имеет хорошие шансы на успех. Хотя в Microsoft уже давно отключили в Windows автозапуск приложений с портативных накопителей, заманчивого имени файла нередко хватает, чтобы склонить сотрудника к запуску вредоноса. В компании, разумеется, могут совсем отключить порты USB на компьютерах, но разумнее будет обязательное прохождение всеми служащими курса компьютерной безопасности. |
Убедительные фишинговые письма Большинство фишинговых сообщений электронной почты плохо отформатированы и написаны на ломаном английском, но нет недостатка и во вполне убедительных письмах, отправляемых от имени банков, страховых компаний или кадровых отделов. Всего одна ошибка невнимательного сотрудника может поставить под угрозу всю локальную сеть и компанию. Чтобы защититься от фишинговых писем, нужно помнить, что обычно они составляются так, чтобы убедить вас перейти по ссылке или передать личную информацию. Поэтому будьте внимательны, раскрывая любые сведения, сообщить которые вас просят в электронном письме, и не нажимайте на ссылки — всегда набирайте адрес в браузере сами. |
Сообщения от друзей и коллег Направленный фишинг — это сообщения, адресованные определенной группе людей или конкретному человеку. Популярность социальных сетей сделала для хакеров как никогда простым доступ к информации, которую можно использовать, чтобы ввести человека в заблуждение. Типичные примеры — фальшивая ведомость по зарплате с названием вашей компании или прикрепленный файл, отправленный будто бы вашим бывшим одноклассником. Стоит настороженно относиться к вложениям в электронные письма и, вообще, хорошо бы блокировать вредоносные прикрепленные файлы непосредственно на почтовом сервере. |
Телефонные звонки Социальный хакер с даром красноречия способен добиться немалого. Позвонив вам, он может получить личную информацию о вас или проверить уже известные сведения для проведения более широкомасштабной атаки. Один из лучших способов защиты от подобных звонков — предложить перезвонить, записав номер звонящего. Еще можно спросить у собеседника какие-нибудь сведения о вас, которые он должен знать, если не прикидывается кем-то. И конечно, никогда не сообщайте по телефону пароли и другую подобную информацию. |
Защищайте свой аккаунт электронной почты Ящики электронной почты — привлекательная мишень для хакера, так как их можно использовать для сброса пароля и получения доступа к огромному количеству сведений о вас. Ящики нередко взламывают, подбирая ответы на секретные вопросы с использованием открытой информации или путем обмана провайдера электронной почты. От атак на электронную почту, совершаемых с помощью социальной инженерии, мелким компаниям защититься трудно, разве что стоит выбирать провайдера с надежной репутацией. А в организациях, самостоятельно управляющих своим доменом, можно защищаться путем установки запретов на передачу владения им и внесение изменений в DNS. |
Физическая безопасность в офисе Исследователи, нанимаемые для проверки безопасности, сообщали о получении практически неограниченного доступа в помещения в крупных организациях — достаточно надеть рубашку с логотипом компании или пристроиться к сотрудникам, возвращающимся из курилки. Риски физического доступа невозможно переоценить: хакер, пробравшийся в офис, сможет размещать вирусные программы на корпоративных рабочих станциях в обход межсетевого экрана. Если у вас не мелкая компания, в которой все друг друга знают, сотрудникам имеет смысл носить бейджи с радиометками и фотографиями. Естественно, со служащими надо проводить инструктаж по поводу выявления фальшивых бейджей и предотвращения прохода в помещения «паровозиком». |
Ложные звонки из службы поддержки Windows О фальшивых звонках из службы технической поддержки Windows написано немало, но пользователи продолжают «вестись». Мошенник звонит жертве, представляясь сотрудником Microsoft, который исследует вирусную атаку, и пытается убедить пользователя предоставить удаленный доступ к своему рабочему столу. Получив его, взломщик делает вид, что обнаружил серьезную инфекцию, — при этом обычно он сам же устанавливает программу-вымогатель, а потом требует денег за «устранение» проблемы. Решение относительно простое: объясните сотрудникам, что Microsoft никогда не звонит конечным пользователям. |
- Paul Mah. 7 Social Engineering Scams and How to Avoid Them. CIO. Feb 16, 2015