コンテンツ
攻撃者が常により複雑なウイルスやマルウェアを開発していることは事実ですが、ますます忘れられがちですが、企業に対する最大のセキュリティ脅威は実際にはソフトウェアからではなく、人間自身から来ています。
企業は、ファイアウォール、VPN、安全なゲートウェイなどのソリューションを使用して、外部の脅威からデータを保護するために世界で最も安全なインフラストラクチャを構築できますが、組織自体からの脅威のリスクを軽減することはできません。このローテクなハッキング方法は、近年ますます人気が高まっており、有名なブランドが、LinkedInの調査を少し行った後、資金を要求するジュニア財務管理者に連絡する詐欺師の犠牲になっています。
- 最高のVPN2019
さらに、インターネットはほとんどの人の日常業務の多くを形成しており、多くの従業員が職場で個人アカウントにログインしているため、オンラインの安全性に関しては、個人情報とビジネス情報の間にもクロスオーバーがあることを覚えておくことが重要です。ハッカーがあなたの個人情報を入手した場合、彼らはあなたの専門家の詳細にもアクセスできます。
ここでは、ハッカーがセキュリティを回避してデータを盗むことができる4つの方法を紹介します。
01.ソーシャルエンジニアリング
人間主導のサイバーセキュリティ脅威の起源はソーシャルエンジニアリングです。個人からの機密データを操作する行為。確かに、ハッカーはネットワークをマルウェアに感染させて裏口から侵入する可能性があります。さらに良いことに、従業員をだましてパスワードを教えさせ、警報ベルを鳴らさずに正面を散歩することもできます。ハッカーが個人のパスワードを取得すると、その活動は許可されているように見えるため、ハッカーを阻止するためにできることはほとんどありません。
平均的なユーザーがハッカーが使用する従来の方法に精通するようになるにつれて、ソーシャルエンジニアリング技術は何年にもわたってより洗練されなければなりませんでした。そのため、ハッカーはデータを取得する方法をより賢くする必要があります。ビジネスの意味では、ユーザーをだまして悪意のあるリンクをクリックさせるような単純なことで、攻撃者はネットワーク全体にアクセスできるようになります。銀行の詳細を切実に必要としている見知らぬ人からのメールを無視することはよく知られていますが、そのメールが知り合いからのものである場合は、[スパムとしてマーク]をクリックする可能性ははるかに低くなります。
ハッカーは、潜在的なターゲットのFacebookアカウントを簡単にスクロールして、被害者の友人の名前を見つけることができます。次に、被害者にその友人になりすましたメールを送信できます。被害者は、それが知り合いからのものだと思った場合、そのメールに騙される可能性が高くなります。
ヒント: ソーシャルメディアのトピックについては、提供する個人情報に注意してください。 「ラップ名は最初のペットの名前と母親の旧姓」という無害なゲームのように見えるかもしれませんが、実際には、一般的なアカウント回復の質問への回答を見つけるために使用されるフィッシング詐欺である可能性があります。
02.ローテク内部の脅威
顔の見えない敵の代わりに、ほとんどの内部サイバーセキュリティの脅威は実際には現在または元従業員から来ています。これらの従業員は、機密データへの不正アクセスを取得したり、ネットワークを悪意のあるものに感染させたりする可能性があります。これらの内部脅威にはさまざまな形態があります。
- ショルダーサーフィン
「ショルダーサーフィン」とは、誰かがパスワードを入力するのを1人が観察するという単純な行為です。この出来事の前例があります。不満を持っている、または間もなく退職する従業員は、何気なく机の後ろに立ち、他の従業員がパスワードを入力しているのを観察する可能性があります。この単純な行為は、不正アクセスにつながる可能性があり、ビジネスに壊滅的な打撃を与える可能性があります。 - 付箋のパスワード
肩越しに観察されたパスワードを記憶するよりも簡単ですが、内部の脅威は、従業員がパスワードを書き留めてコンピューターのモニターに貼り付けることから発生する可能性があります。そうです、実際に発生します。明らかに、これにより、誰かがログインの詳細を取得するのが非常に簡単になり、それを使用して会社を詐欺したり感染させたりすることができます。幸いなことに、この不注意は簡単に修正できます。 - コンピューターに挿入されたサムドライブ
従業員のマシンは、単純なUSBドライブにロードされたキーロガーソフトウェアに感染する可能性があります。攻撃者は、USBドライブをコンピューターの背面に忍び込ませるだけで、ユーザーの個人情報とパスワードにアクセスできます。
ヒント: これらの内部脅威を回避するために、企業は、パスワードに注意することの重要性について、セキュリティコースとコミュニケーションで従業員を教育する必要があります。 KeePassやDashlaneなどのパスワードマネージャーソフトウェアはパスワードを安全に保存できるため、すべてを覚えておく必要はありません。または、ワークステーションのUSBポートをロックダウンして、許可されていないデバイスがUSB経由で完全にアクセスされないようにすることもできます。ただし、このアプローチは慎重に検討する必要があります。これは、すべての新しいUSBデバイスを使用する前に承認が必要になるため、すべてのワークステーションの柔軟性が大幅に低下し、IT部門の作業負荷が増大するためです。
03.ベイティング
ソーシャルエンジニアリングと同様に、ベイト方法は、その人について取得した情報を使用してユーザーをだまします。たとえば、ハッカーはソーシャルメディアサイトをチェックして、ターゲットがゲームオブスローンズに関心を持っていることを知ることができます。その知識は攻撃者にいくらかの餌を与えます。攻撃者は、一般的な電子メールの代わりに、「ここをクリックして最新のゲーム・オブ・スローンズのエピソードを見る」という電子メールを標的に送信する可能性があります。ユーザーはボタンをクリックする可能性が高くなりますが、これはもちろん実際にはマルウェアのリンクであり、ゲーム・オブ・スローンズの最新のエピソードではありません。
同様に、LinkedInに公開されている情報が非常に多いため、攻撃者がレポート構造を調査し、CEOになりすました後輩を標的にして、特定のアカウントへの資金移動を要求することも簡単です。とんでもないことに思えるかもしれませんが、これが起こっているというよく知られた事件があります。盗聴も同様の方法であり、攻撃者は喫茶店、公共交通機関、さらにはオフィス環境のサプライヤとしての商談を聞きます。
04.登録解除ボタン
攻撃者がユーザーをだまして電子メールからマルウェアをダウンロードさせるもう1つの方法は、購読解除ボタンを使用することです。法律により、消費者が通信の受信をオプトアウトできるように、すべてのマーケティング電子メールには購読解除リンクが含まれている必要があります。攻撃者は、衣料品会社(または同様のもの)からの特別なマーケティングオファーのように見える電子メールをユーザーに繰り返し送信する可能性があります。メールは無害に見えますが、ユーザーが会社に興味がない場合、またはメールの頻度が高すぎると思われる場合は、登録解除ボタンを押してメールの受信を停止できます。このハッカーのフィッシングメールを除いて、登録解除ボタンをクリックすると、実際にマルウェアがダウンロードされます。
ヒント: 適切に構成されたスパム対策フィルターはこれらの電子メールを停止するはずですが、繰り返しになりますが、警戒を怠らないことが最善です。
重要なポイントは、ハッカーがデータを盗むために使用する可能性のある一連のメソッドを常に最新の状態に保つことです。ログインの詳細や個人データなどのコンテンツを取得するために使用される可能性のある、この記事に記載されている手法を従業員が認識できるように、従業員を教育してください。従業員に、知らない人に質問したり、会話やショルダーサーフィンを聞いている人に注意するように促します。
しかし、これらすべてを除けば、インターネットは依然として圧倒的にポジティブで創造的な場所であり、世界はそれにとって非常に豊かであることを覚えておく価値があります。あなたが警戒していれば、私たちは皆、その恩恵を享受し続けることができます。
この記事はもともとの303号に掲載されました ネット、ウェブデザイナーと開発者のための世界で最も売れている雑誌。 303号を購入する または ここで購読する.
今すぐGenerateNewYorkのチケットを入手してください
業界最高のウェブデザインイベントニューヨークを生成する戻ってきました。 2018年4月25日から27日の間に開催されるヘッドラインスピーカーには、SuperFriendlyのDan Mall、WebアニメーションコンサルタントのVal Head、フルスタックJavaScript開発者のWesBosなどが含まれます。
丸一日のワークショップと貴重なネットワーキングの機会もあります-それをお見逃しなく。今すぐGenerateチケットを入手してください.
