Как не стать сообщником хакеров: 4 ошибки офисных сотрудников

Киберпреступники все чаще выбирают в качестве целей атак сотрудников компаний, так как люди оказываются самым слабым звеном в корпоративных системах защиты. Сегодня мы поговорим о том, какие ошибки информационной безопасности допускают офисные работники — и как их избежать, чтобы не помочь хакерам скомпрометировать инфраструктуру компании.

Невнимательность при переходе по ссылке

Согласно данным Positive Technologies, самым эффективным методом социальной инженерии при атаках, нацеленных на работников компаний, являются сообщения с фишинговой ссылкой. В рамках проведенного исследования в 27% случаев пользователи переходили по таким ссылкам.

Очень часто работники компаний при получении сообщения невнимательно читают URL-адрес содержащейся в нем ссылки. Злоумышленники специально могут регистрировать доменные имена, созвучные с адресами известных организаций или контрагентов конкретной фирмы (часто отличается не более одного-двух символов в адресе).

Затем на таком адресе создается поддельный сайт, имитирующий легитимную веб-страницу. Попадая на него, невнимательный пользователь может выдать свои данные, которые позволят провести успешную атаку на его компанию, — например, логин и пароль для входа в корпоративную IT-систему. Если вредоносные вложения могут быть заблокированы антивирусом — то способа защиты от добровольной передачи пароля пользователем не существует.

Решение: пользователям стоит быть крайне внимательными и не переходить бездумно по ссылкам в письмах. Важно анализировать, от кого именно пришло письмо, должно ли оно было попасть именно к вам, сравнить URL в сообщении с адресом сайта компании, которой в действительности принадлежит сайт. При малейших сомнениях стоит отказаться от перехода по ссылке.

Скачивание подозрительных файлов

Еще один распространенный способ проникновения хакеров в корпоративную инфраструктуру — рассылка сообщений с вредоносными вложениями. Часто после скачивания и открытия такого файла на компьютер жертвы устанавливается вирус или бэкдор, который открывает взломщику полный доступ к устройству, чтобы использовать его как плацдарм для дальнейшего заражения инфраструктуры.

Киберпреступники используют страх, жадность, надежду и другие эмоции для повышения эффективности своих атак. Поэтому в темах своих писем они используют фразы вроде «список сотрудников на увольнение», «выплаты премий за год» и т. п. Интерес к финансовым данным коллег или страх увольнения — довольно мощный фактор, заставляющий забыть об элементарных правилах безопасности. Так, в рамках эксперимента, проведенного Positive Technologies, почти 40% тестовых фишинговых писем с темой о сокращениях побудили пользователей совершить потенциально опасное действие.

Получив письмо с подозрительным файлом, пользователи часто не только пытаются сами его открыть, но и пересылают сообщение коллегам (например, из IT-департамента). Поскольку те знают переславших письмо лично, то доверяют им и также открывают файл — в итоге вирус распространяется по инфраструктуре компании очень быстро.

Решение: как и в случае с фишинговыми ссылками, противостоять рассылкам писем с вредоносными вложениями можно только сохраняя максимальную внимательность. Ни в коем случае не нужно скачивать и запускать файлы от незнакомых отправителей, как бы интригующе не звучали их названия. Не стоит и игнорировать предупреждения антивируса.

Неосторожность в телефонных разговорах

На практике оказывается, что атаки через интернет — далеко не единственный способ для злоумышленников обмануть доверчивых офисных работников. Часто в качестве инструмента социальной инженерии выступает телефонный разговор. Киберпреступники могут звонить сотрудникам компании, представляться коллегами, например, из отдела техподдержки и выпытывать важные данные или заставлять собеседника совершить нужное действие.

Классический пример — звонок рано утром в воскресенье с просьбой срочно явиться на работу. Мало кто захочет это делать, такой возможности просто может не быть, и тогда собеседник предлагает просто продиктовать свой пароль, чтобы «специалисты» разобрались во всем сами, — многие с радостью соглашаются.

Решение: ни в коем случае не стоит передавать конфиденциальные данные по телефону. Если вам звонит «сотрудник IT-департамента» и просит продиктовать пароль — это повод заподозрить неладное, поскольку в действительности таким специалистам нет необходимости узнавать эту информацию у пользователя, чтобы выполнить свои рабочие задачи.

Использование публичных Wi-Fi-сетей для работы

Еще один распространенный способ кражи конфиденциальных данных пользователей — использование для этого публичных Wi-Fi-сетей. Злоумышленники могут создавать «двойников» популярных доступных сетей, которые, к примеру, работают в радиусе офиса компании.

Названия фейковых точек доступа обычно похожи на легитимные. Если на устройстве пользователей будет активирована функция автоматического подключения, то велика вероятность подключения именно к такой поддельной точке доступа. Если при этом сотрудник будет использовать смартфон для решения рабочих задач и пересылки важных данных, эта информация окажется в руках злоумышленников.

Решение: нужно стараться не использовать публичные сети Wi-Fi для подключения к корпоративным ресурсам без использования VPN. Если по какой-то причине использовать VPN нельзя, а подключиться нужно срочно, то стоит убедиться, что целевая точка доступа использует механизмы шифрования WPA/WPA2 — оповещение об этом устройство выдает при подключении.

Небезопасное хранение паролей

Далеко не всегда атака на сотрудников инициируется извне. Во многих случаях кражу конфиденциальных данных осуществляет внутренний злоумышленник. Согласно данным исследования Positive Technologies, такие атаки позволяют захватить полный контроль над сетью в 100% случаев. Этому способствуют ошибки сотрудников в работе с паролями. В последние годы во многих компаниях были внедрены политики парольной безопасности с требованиями регулярной смены паролей, которые при этом должны быть достаточно сложными. Но не все хотят запоминать сложные пароли. Часто сотрудники записывают пароль на бумажке и оставляют ее рядом с компьютером. В таком случае для злоумышленника не составляет труда получить доступ к учетной записи сотрудника.

Решение: нельзя хранить пароли в открытом виде. Если вы хотите записать пароль, то стоит использовать метод Брюса Шнайера, который подразумевает запись не самого пароля, а подсказок, которые помогут его гарантированно вспомнить.

Заключение

Человеческий фактор — одна из основных проблем обеспечения безопасности корпоративных систем. Все чаще хакеры предпочитают не взламывать инфраструктуру напрямую из-за внешнего периметра, а проникать в корпоративную сеть, атакуя сотрудников.

Чтобы не открыть злоумышленникам путь во внутреннюю инфраструктуру вашей компании, необходимо соблюдать базовые правила информационной безопасности: не переходить по подозрительным ссылкам, внимательно подходить к скачиванию вложений электронных писем, не сообщать важные данные по телефону и не хранить пароли в открытом виде.


Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.