Киберпреступники ставят на человеческий фактор
06 апр 2022 02:40 #109006
от ICT
ICT создал тему: Киберпреступники ставят на человеческий фактор
Как подчеркнул со-основатель и генеральный директор компании "Антифишинг" Сергей Волдохин, в ходе современных цифровых атак, как на частных лиц, так и на компании, сложные инструменты если и применяются, то крайне редко. Злоумышленники добиваются своего с помощью телефонных звонков, сообщений по электронной почте и в мессенджерах, а также с помощью нехитрых способов добиваются от потенциальных жертв того, чтобы они открыли нужную им ссылку или открыли специальным образом составленный документ. И эти методы принципиально не меняются уже в течение многих лет, но они продолжают работать. Примером тому компрометация данных клиентов "Фридом Финанс", вызванная успешной фишинговой атакой на одного из сотрудников. При этом в 2020 году в ходе перехода на удаленный режим работы ситуация, как отметил Сергей Волдохин, существенно ухудшилась, и только в 2021 году начались изменения в лучшую сторону. А в последний месяц фишинг активно применяется в качестве средства доставки шифровальщиков в ходе политически мотивированных атак на российские компании, в том числе и те, которые раньше никогда не подвергались такого рода посягательствам. Как правило, злоумышленники эксплуатируют страх, невнимательность, раздражение, любопытство, жадность или желание помочь. В качестве своего рода усилителей используют срочность или авторитет (например, известных компаний и банков, под видом акций которых пользователей социальных сетей заманивали на фишинговые сайты, медийных персон, руководителей компаний, представителей правоохранительных органов или служб безопасности). Тут, как отметил Сергей Волдохин, в ряде случаев злоумышленники использовали технологию дипфейк. Так, в ходе одной из своих кампаний использовался ролик с участием якобы Олега Тинькова. Также в ОАЭ имела место кража $35 млн, когда преступники подделали голос руководителя компании. При этом большая часть технических средств и политик безопасности против методов фишинга малоэффективна или вовсе не дает никаких результатов. Сотрудников необходимо обучать, причем делать это правильно. Если подходить к обучению формально, то результатов оно не даст. Необходима ориентация на реальную практику. Хороших результатов позволяют добиться и киберучения, особенно если они проходят в условиях, максимально приближенных к реальной атаке. Именно так до сотрудников проще всего донести то, какие ошибки они допускают и как нужно поступать правильно.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.