Czym jest blagging w cyberbezpieczeństwie?

Czym jest blagging w cyberbezpieczeństwie?
Czytelnicy tacy jak Ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską. Czytaj więcej.

Blagging może wydawać się skomplikowaną techniką hakowania, ale jest o wiele prostszy. Jednak choć nie jest tak „zaawansowana technologicznie” jak inne cyberprzestępstwa, zblazowanie może wyrządzić poważne szkody, jeśli firmy nie będą na to przygotowane.





MUO Film dnia PRZEWIŃ, ABY KONTYNUOWAĆ TREŚĆ

Czym więc jest blagging i jak działa?



Co to jest blagging i jak działa?

zakapturzony facet na iPhonie
Źródło obrazu: freepik

Zblazowanie ma miejsce wtedy, gdy podstępni oszuści próbują oszukać ludzi lub zmanipulować ich, aby przekazali poufne informacje, do których nie powinni mieć dostępu.





Ci blaggerzy wymyślą dowolną historię, której potrzebują, aby przekonać swój cel do ujawnienia danych, które można wykorzystać do podejrzanych celów, takich jak kradzież tożsamości, szpiegowanie firm lub szantażowanie ludzi.

Jak to dokładnie działa? Oto kilka typowych technik blaggingu:



  1. Personifikacja : Oszust udaje kogoś innego, na przykład współpracownika, przedstawiciela banku lub funkcjonariusza policji. Buduje to zaufanie i zwiększa prawdopodobieństwo, że ofiara udostępni poufne informacje. Mogą na przykład zadzwonić podając się za technika IT potrzebującego hasła, aby rozwiązać problem z komputerem.
  2. Tworzenie fałszywego poczucia pilności : Oszust wywiera presję na cel, sprawiając, że żądanie wydaje się zależne od czasu. Groźby zamknięcia konta lub podjęcie kroków prawnych mają na celu szybkie uzyskanie informacji, zanim ofiara zdąży zweryfikować zasadność żądania.
  3. Wyłudzanie informacji : Blaggery to zrobią korzystaj z e-maili lub linków phishingowych zawierających złośliwe oprogramowanie do infekowania systemów docelowych i kradzieży danych. E-maile są tworzone tak, aby sprawiały wrażenie, jakby pochodziły z zaufanego źródła, aby zachęcić ofiarę do kliknięcia lub pobrania.
  4. Atak z powodu upuszczenia USB : Ta taktyka pozostawia zarażonych urządzenia obciążone złośliwym oprogramowaniem, takie jak dyski USB w miejscach publicznych gdzie cele prawdopodobnie je znajdą i podłączą, umożliwiając dostęp blaggerowi. Parkingi i windy to popularne miejsca, w których można zwabić niczego niepodejrzewające osoby.
  5. Rzucanie nazwisk : oszust będzie wymieniał nazwiska legalnych menedżerów, dyrektorów lub osoby kontaktowe, aby sprawiać wrażenie, że są oni upoważnieni do posiadania poufnych informacji. To dodaje wiarygodności ich podejrzanej prośbie.
  6. Proszę o współczucie : Oszust odwoła się do współczucia ofiary, wymyślając łzawe historie, aby nią manipulować. Mówienie na przykład, że jest samotnym rodzicem i potrzebuje pieniędzy na koncie, aby wyżywić rodzinę, może zadziałać.
  7. Coś za coś : Oszust obiecuje coś w zamian za informacje, na przykład premię, czas wolny lub gotówkę. Oczywiście są to puste obietnice, służące do osiągnięcia tego, czego chcą.
  8. Ogon : Blagger fizycznie podąża za pracownikiem do budynku lub obszaru zastrzeżonego, aby uzyskać do niego dostęp. Liczą na to, że ludzie otworzą drzwi innym i nie kwestionują ich obecności.
  9. Wywołanie : Blaggerzy będą próbować zaangażować się w przyjacielską pogawędkę, aby nakłonić cele do przypadkowego ujawnienia informacji o systemach, procesach lub lukach w zabezpieczeniach. Jest to niebezpieczne, ponieważ wydaje się takie nieszkodliwe.

Najważniejszą rzeczą do zapamiętania jest to, że ci napastnicy są mistrzami oszustwa i powiedzą lub zrobią wszystko, czego potrzeba, aby osiągnąć to, czego chcą.

Jak się bronić przed atakami typu blagging

Skoro blaggerzy stosują tak wiele podstępnych taktyk, jak możesz chronić siebie i swoją firmę przed ich oszustwami? Oto kilka kluczowych sposobów obrony przed atakami blaggingu.



Zweryfikuj roszczenia

Pracownik dzwoniący w celu weryfikacji roszczeń

Nie bierz nikogo za dobrą monetę — zawsze potwierdzaj jego historię.

Jeśli ktoś zadzwoni, podając się za pomoc techniczną potrzebującą dostępu lub współpracownika potrzebującego informacji, rozłącz się i oddzwoń, korzystając z oficjalnego numeru, aby potwierdzić, że jest to zgodne z prawem.



Sprawdź dokładnie adresy e-mail, nazwiska i dane kontaktowe, aby upewnić się, że również się zgadzają.

Zweryfikuj żądania

Jako pracownik firmy przyjrzyj się wszelkim nietypowym prośbom, nawet jeśli wydają się pilne lub historia jest wiarygodna. Załóżmy, że musisz przekazać sprawę przełożonemu lub przesłać zgłoszenie odpowiednimi kanałami.

Spowolnij interakcję, aby móc dokładniej zbadać sprawę przed przekazaniem poufnych danych.

Ogranicz dostęp do konta

Właściciele firm powinni zapewnić pracownikom minimalny dostęp niezbędny do wykonywania pracy i nic więcej. Na przykład przedstawiciele obsługi klienta prawdopodobnie nie potrzebują dostępu do systemów finansowych. Obejmuje to wszelkie szkody powstałe w przypadku naruszenia bezpieczeństwa konta.

najlepsza aplikacja poczty głosowej na Androida 2018

Wdrażanie zasady najmniejszych przywilejów może uniemożliwić blaggerowi zarobienie zbyt wiele, jeśli oszuka jedną osobę.

Zgłaszaj podejrzenia

przeglądanie dokumentów za biurkiem

Nie wahaj się zabrać głosu, jeśli prośba wydaje się dziwna lub historia nie pasuje. Jeśli podejrzewasz, że interakcja jest próbą znęcania się, powiadom natychmiast ochronę lub kierownictwo.

Należy także uważnie monitorować systemy i zachowania użytkowników, aby wychwycić wszelkie nietypowe działania, które mogą wskazywać na próbę blagowania. Poszukaj takich rzeczy jak:

  • Próby uzyskania dostępu do nieautoryzowanych systemów lub poufnych danych.
  • Zdalne logowanie z nieznanych adresów IP lub lokalizacji.
  • Duże ilości danych przesyłane na zewnątrz.
  • Anomalie w typowych wzorcach użytkowników, takie jak uruchamianie nowych procesów lub nieprawidłowe godziny pracy.
  • Wyłączone narzędzia bezpieczeństwa, takie jak pakiety antywirusowe lub monity logowania.

Im szybciej nietypowe zachowanie zostanie oznaczone, tym szybciej eksperci będą mogli zbadać potencjalny atak blagging i złagodzić jego skutki.

Szkolenie w zakresie świadomości bezpieczeństwa

Dobrze wyszkolonych pracowników znacznie trudniej oszukać blaggerom. Ciągła edukacja wzmacnia ludzką zaporę ogniową i daje ludziom pewność, że mogą powstrzymać inżynierię społeczną.

Kiedy pracownicy wiedzą, jak przechytrzyć taktykę blaggingu, firmy zyskują znaczną przewagę. Szkolenie powinno obejmować przykłady i scenariusze z życia codziennego, aby pracownicy mogli przećwiczyć odpowiednie reagowanie. Przetestuj je za pomocą symulowanych e-maili phishingowych i nieoczekiwanych gości, aby zobaczyć ich reakcje. Powinien także wyjaśnić powszechne techniki blaggingu, takie jak preteksty , phishing i oferty quid pro quo. Im lepiej pracownicy rozumieją taktykę, tym lepiej potrafią ją rozpoznać.

Naucz pracowników, jak prawidłowo weryfikować wnioski, weryfikować tożsamość, zgłaszać incydenty i postępować z wrażliwymi danymi zgodnie z zasadami. Podaj jasne wytyczne dotyczące oczekiwanych działań. Utrzymuj zainteresowanie, korzystając z wciągających filmów, interaktywnych modułów i konkursów, aby skupić się na bezpieczeństwie. Często odświeżaj trening.

Zapewnij także udział przywódców wyższego szczebla, aby wykazać zaangażowanie organizacyjne w zwiększanie świadomości.

Użyj zabezpieczeń warstwowych

przyjęcie do biura przy użyciu identyfikatora twarzy

Polegaj na wielu nakładających się mechanizmach bezpieczeństwa, a nie na pojedynczym punkcie awarii.

Niektóre warstwy, które możesz wdrożyć, obejmują:

  • Fizyczne kontrole bezpieczeństwa, takie jak identyfikatory, zabezpieczone obiekty i monitorowanie CCTV, aby zapobiec nieupoważnionemu dostępowi i nieautoryzowanemu dostępowi.
  • Zabezpieczenia obwodowe, takie jak zapory ogniowe, IPS i filtry sieciowe, które blokują znane zagrożenia i ryzykowne witryny przed wejściem do Twojej sieci.
  • Bezpieczeństwo punktów końcowych za pomocą programu antywirusowego, wykrywanie i reagowanie na punkty końcowe oraz szyfrowanie, aby zapobiec naruszeniom i utrudnić kradzież danych.
  • Bezpieczeństwo poczty e-mail dzięki bramom do filtrowania złośliwych wiadomości e-mail i piaskownicy w celu izolowania zagrożeń.
  • Kontrola dostępu, np uwierzytelnianie wieloskładnikowe oraz uprawnienia oparte na rolach, aby ograniczyć niewłaściwe użycie konta, nawet jeśli dane uwierzytelniające zostaną naruszone.
  • Narzędzia do zapobiegania utracie danych, które zatrzymują duże transfery poufnych danych.

Im więcej przeszkód dla blaggerów, tym większe prawdopodobieństwo, że zostaną zauważeni.

Zachowaj czujność przed blaggingiem

Choć celem ataków często są firmy, każdy jest na nie narażony. Każdy z nas może zostać oszukany przez pozornie niewinną rozmowę telefoniczną lub e-mail od oszusta podającego się za pomoc techniczną, przedstawiciela banku lub nawet członka rodziny potrzebującego pomocy. Dlatego wszyscy musimy nauczyć się technik blaggingu i wiedzieć, jak rozpoznać czerwone flagi.

A jeśli jesteś właścicielem firmy lub prowadzisz firmę, nie powinieneś lekceważyć tego zagrożenia. Dzięki wszechstronnemu szkoleniu w zakresie świadomości bezpieczeństwa i warstwowym zabezpieczeniom technicznym możesz udaremnić działania tych oszustów.

Przy odpowiednich zabezpieczeniach blaggerzy nie mają szans.