Κανείς δεν θέλει να σκεφτεί την ιδέα των στοιχείων των πελατών μιας εταιρείας, όπως κωδικούς πρόσβασης, IPs ή πιστωτικές κάρτες να κυκλοφορούν ελεύθερα στο διαδίκτυο. Κυβερνήσεις και εταιρείες είναι μόνιμα με τον φόβο ότι θα βρεθεί κάποιος hacker που θα ανακαλύψει ένα κενό ασφαλείας στον κώδικα της ιστοσελίδας και τα δεδομένα τους θα βρεθούν να κυκλοφορούν ελεύθερα στο διαδίκτυο.
Έτσι προσλαμβάνουν ειδικούς για να θωρακίσουν τις ιστοσελίδες τους που λειτουργούν μέσω κάποιου server 24/24/360. Συνήθως όμως οι παραβιάσεις δεν έρχονται από το σημείο που όλοι περιμένουν. Όταν οι ομάδες ασφαλείας δουλεύουν κλείνοντας κάθε κενό ασφαλείας, οι hackers γελούν και κοιτούν προς τον υπάλληλο.
Δυστυχώς, είναι αλήθεια. Το πιο ευάλωτο σημείο των εταιρειών είναι οι άνθρωποι που εργάζονται σε αυτές και που οι εταιρείες τους εμπιστεύονται την πρόσβαση στα συστήματα τους.
Η νέα έκθεση της RAND Corporation “Markets for Cybercrime Tools and Stolen Data” εξηγεί ότι εκτός από τα τρωτά σημεία που υπάρχουν στα unpatched συστήματα, το ανθρώπινο στοιχείο συνεχίζει να είναι το κυρίως αδύνατο σημείο για επιθέσεις.
Οι ενημερώσεις γίνονται, τα τρωτά σημεία μπορούν να εξαλειφθούν αλλά οι άνθρωποι … είναι άνθρωποι.
Παρακάτω παρουσιάζουμε έξι συνήθη ανθρώπινα λάθη που μπορούν να κοστίσουν πολύ ακριβά.
Η επίθεση του πρωτοσέλιδου
Αυτή τη στιγμή, το phishing είναι από τους κύριους τρόπους εξαπάτησης των εργαζομένων. Οι επιθέσεις phishing είναι σήμερα πολύ εξελιγμένες και η έκθεση του RAND αναφέρει ότι το phishing αναμένεται να γίνει ακόμα πιο εξελιγμένο, καθώς η μαύρη αγορά για το έγκλημα στον κυβερνοχώρο ωριμάζει.
Μια σημερινή τυπική επίθεση phishing είναι ένα μήνυμα ηλεκτρονικού ταχυδρομείου μεταμφιεσμένο να φανεί ότι έρχεται από κάποιον γνωστό. Ο εργαζόμενος το πιστεύει, κάνει click σε ένα σύνδεσμο ή κατεβάζει ένα συνημμένο και αυτό ήταν. Οι εγκληματίες του κυβερνοχώρου για να το επιτύχουν αυτό χρησιμοποιούν τις δημοφιλείς τάσεις, και πιο ειδικά τα πρωτοσέλιδα.
Το RAND εξηγεί ότι η είδηση σαν στοιχείο phishing, συχνά παίζει με συναισθηματικές καταστάσεις π.χ. φυσικές καταστροφές, αποκαλύψεις Wikileaks, ή παρουσιάσεις νέων λειτουργικών συστημάτων.
Τα πρωτοσέλιδα χρησιμοποιούνται συχνά σε επιθέσεις spear-phishing π.χ., “κλικ σε αυτό το σύνδεσμο για να δωρίσετε κάτι στα θύματα του σεισμού της Αϊτής.”
Το κακό Android
“Η ανάπτυξη των κινητών malware για Android συσκευές έχει φτάσει το 70% του συνόλου των κινητών επιθέσεων και θα συνεχιστεί μέχρι το Google, οι κατασκευαστές συσκευών και οι πάροχοι υπηρεσιών να συνεργαστούν και να βρουν έναν τρόπο παροχής ενημερώσεων και αναβαθμίσεων για τους χρήστες τους (μόνο το 12% των Android συσκευών έχουν ενημερωθεί για να εμποδίζουν τις χρεώσεις των premium SMS που έρχονται από κακόβουλα προγράμματα που υπάρχουν στα τηλέφωνα ανυποψίαστων χρηστών)” αναφέρει το RAND
Οι εργαζόμενοι πρέπει να προειδοποιούνται να μην ανοίγουν κανένα κείμενο ή σύνδεσμο σε browser του κινητού τους, κάτι το οποίο μπορεί να προκαλέσει εξίσου μεγάλη ζημιά με την κλοπή ενός κωδικού πρόσβασης από ένα κακόβουλο λογισμικό σε υπολογιστή. Οι Mobile browsers έχουν τα ίδια bugs, και είναι πολύ εύκολο για ένα κακόβουλο χρήστη να διαμορφώσει μια κακόβουλη ιστοσελίδα για κινητά.
Εργαζόμενοι που ταξιδεύουν: Οι εύκολοι στόχοι
Οι εργαζόμενοι που ταξιδεύουν είναι εξαιρετικά ευάλωτοι σε επιθέσεις, και συχνά δεν γνωρίζουν ότι έχουν παραβιαστεί – επειδή δεν ξέρουν πώς να διασφαλίσουν τις συσκευές τους, την πρόσβαση τους σε κάποιο δίκτυο, ή το τι ακριβώς πρέπει να εξετάζουν για να ανακαλύψουν πιθανές παραβιάσεις.
Μια τέτοια κοινή επίθεση ονομάζεται “Evil Maid Attack,” και αναφέρετε όταν ένας hacker αποκτήσει πρόσβαση στον αφύλακτο υπολογιστή ενός εργαζομένου, στο τηλέφωνο, στο tablet ή στους σκληρούς τους δίσκους, συνήθως από ένα διπλανό δωμάτιο ξενοδοχείου.
Οι συσκευές μπορούν να προσβληθούν σε λιγότερο από εξήντα δευτερόλεπτα. Να φορτωθεί ένα κακόβουλο λογισμικό που δεν αφήνει κανένα ίχνος. Αυτό το malware μπορεί να επικοινωνεί με τον hacker που το εγκατέστησε, και μπορεί να εξαπλωθεί σε περισσότερα συστήματα όταν φτάσετε στην εταιρεία σας και συνδεθείτε και πάλι στο οικιακό δίκτυο.
Παραβιασμένες Εταιρείες We Trust
Στις εξελιγμένες επιθέσεις, ο υπάλληλός δεν κάνει κλικ σε κάποιο σύνδεσμο που φαίνεται “παράξενος” αλλά κάνει άνετα κλικ σε ένα σύνδεσμο που ανήκει σε μια μεγάλη επιχείρηση της οποίας ο διακομιστής είναι hacked.
Η έκθεση της RAND αναφέρει ότι οι «πρόσφατες αυξήσεις στη χρήση επιθέσεων watering-hole (όπου οι χρήστες επισκέπτονται μια δημοφιλή, νόμιμη, αλλά μη ασφαλή ιστοσελίδα) βασίζεται σε πολύ γνωστά exploit kits που είναι διαθέσιμα προς πώληση στη μαύρη αγορά.
Την περασμένη εβδομάδα, ένας διακομιστής της EA Games αποκαλύφθηκε ότι είναι hacked και φιλοξενούσε μια ιστοσελίδα phishing στην οποία οι επισκέπτες χάριζαν τα διαπιστευτήρια σύνδεσής τους, στους hackers.
Οι υπάλληλοί είναι στόχοι έξω από το δίκτυό της εταιρείας.
Οι εργαζόμενοι θα μπορούσαν να χρησιμοποιήσουν επικίνδυνα παραβιασμένα ασύρματα δίκτυα για να έχουν πρόσβαση σε συστήματα μιας εταιρείας. Μπορούν να συνδεθούν στη συσκευή ή τον υπολογιστή κάποιου άλλου σε περίπτωση έκτακτης ανάγκης, ή να χρησιμοποιήσουν μολυσμένα USB sticks σε καθαρούς υπολογιστές.
Αν ένας εργαζόμενος εργάζεται εξ αποστάσεως, οι hackers μπορούν εύκολα να “πιάσουν” την κυκλοφορία του στο διαδίκτυο μέσω μιας απροστάτευτης πρόσβασης στο Internet (ενσύρματο ή Wi–Fi ) αν ο εργαζόμενος δεν χρησιμοποιεί ένα ασφαλές VPN για την προστασία των δραστηριοτήτων του στο Διαδίκτυο.
Φοβού τους Δαναούς και δώρα φέροντας
Και βέβαια να μην ξεχάσουμε τους hackers που υπόσχονται δώρα. Κατά καιρούς έχουμε δημοσιεύσει για διαφημίσεις προϊόντων αξίας που χαρίζονται ή κληρώνονται. Φυσικά τίποτα δεν ισχύει, και οι ευκολόπιστοι συνήθως καταλήγουν με κάποιο malware στον υπολογιστή τους.
Το άρθρο δημοσιεύτηκε από την Violet Blue στο ZDNet