glassmaster
Новорег
- Регистрация
- 13.06.2020
- Сообщения
- 6
- Реакции
- 3
- Баллы
- 3
Doug Fodeman - директор по контенту и совладелец веб-сайта The Daily Scam,
посвященного помощи частным лицам, компаниям и организациям в повышении их
понимания и осведомленности об интернет-угрозах, мошенничестве и мошеннических действиях.
Когда дело доходит до атак социальной инженерии, компании должны понимать:
Атаки социальной инженерии, нацеленные на компании или на частных лиц, наиболее легко и успешно запускаются через электронную почту. Всё зависит от электронной почты для общения даже больше, чем от социальных сетей, за которыми может следить только один или несколько сотрудников компании. Электронная почта также является инструментом, который ежедневно используют пожилые люди. Кроме того, она может принести угрозу всем в организации, включая генерального и финансового директоров.
Но вредоносные электронные письма должны быть эффективными.
Умно сформулированная сюжетная линия, которая привлечёт любопытство получателя и заставит его открыть письмо.
Некоторые из наиболее эффективных сюжетных линий часто бывают невинными и простыми, как те последние, которые я видел за последние 2 недели, нацеленные на организацию:
• Поздравьте маму в это воскресенье изысканным букетом за 29,96$
• Будьте замечены и наблюдайте за своей карьерой
• Букеты ко Дню Матери с ДИЗАЙНЕРСКИМИ ВАЗАМИ
• Подтвердите доставку
• Подтвердите перевод 3000$ до понедельника
• Письмо-уведомление ФБР [код 210]
• Входящий факс
• Я думаю тебе понравится
• Новые законы о реформе здравоохранения находятся в…
• Уведомление об оплате
• Ваша установка
• Твой номер телефона
Как только получатель открывает электронное письмо, сообщение должно быть достаточно убедительным,
чтобы спроектировать щелчок по ссылке или вложенному файлу, чтобы инициировать или провести атаку.
Многие инженерные стратегии были очень успешными, включая:
• Письма с очень профессиональным внешним видом и презентацией. Эти электронные письма могут включать поддельные адреса электронной почты законных компаний или, казалось бы, невинные предложения, такие как продажа цветов ко Дню Матери.
• Очень короткие и точные сообщения электронной почты, в которых часто указываются фиктивные счета, заблокированные платежи, доставка или факс.
• Электронные письма, предназначенные для определения поведения кликов путем запугивания, например: электронное письмо, созданное для того, чтобы выглядеть так, будто оно отправлено органом власти или банком.
К сожалению, большинство компаний прилагают все свои усилия только в области защиты программных и аппаратных решений, чтобы эти угрозы никогда не доходили до сотрудников. Использование этого подхода некорректно, поскольку сотрудники подключаются к Интернету через электронную почту, Facebook, LinkedIn, Twitter и веб-страницы из дома, с мобильных устройств и с работы. Немногие компании также включают обучение сотрудников.
Я обнаружил, что информирование сотрудников об угрозах, нацеленных на них, более важно, чем защита оборудования и программного обеспечения. И нетрудно научить сотрудников простым методам распознавания таких угроз, как навыки наведения мыши и понимание анатомии адреса электронной почты или доменного имени.
посвященного помощи частным лицам, компаниям и организациям в повышении их
понимания и осведомленности об интернет-угрозах, мошенничестве и мошеннических действиях.
Когда дело доходит до атак социальной инженерии, компании должны понимать:
Атаки социальной инженерии, нацеленные на компании или на частных лиц, наиболее легко и успешно запускаются через электронную почту. Всё зависит от электронной почты для общения даже больше, чем от социальных сетей, за которыми может следить только один или несколько сотрудников компании. Электронная почта также является инструментом, который ежедневно используют пожилые люди. Кроме того, она может принести угрозу всем в организации, включая генерального и финансового директоров.
Но вредоносные электронные письма должны быть эффективными.
Умно сформулированная сюжетная линия, которая привлечёт любопытство получателя и заставит его открыть письмо.
Некоторые из наиболее эффективных сюжетных линий часто бывают невинными и простыми, как те последние, которые я видел за последние 2 недели, нацеленные на организацию:
• Поздравьте маму в это воскресенье изысканным букетом за 29,96$
• Будьте замечены и наблюдайте за своей карьерой
• Букеты ко Дню Матери с ДИЗАЙНЕРСКИМИ ВАЗАМИ
• Подтвердите доставку
• Подтвердите перевод 3000$ до понедельника
• Письмо-уведомление ФБР [код 210]
• Входящий факс
• Я думаю тебе понравится
• Новые законы о реформе здравоохранения находятся в…
• Уведомление об оплате
• Ваша установка
• Твой номер телефона
Как только получатель открывает электронное письмо, сообщение должно быть достаточно убедительным,
чтобы спроектировать щелчок по ссылке или вложенному файлу, чтобы инициировать или провести атаку.
Многие инженерные стратегии были очень успешными, включая:
• Письма с очень профессиональным внешним видом и презентацией. Эти электронные письма могут включать поддельные адреса электронной почты законных компаний или, казалось бы, невинные предложения, такие как продажа цветов ко Дню Матери.
• Очень короткие и точные сообщения электронной почты, в которых часто указываются фиктивные счета, заблокированные платежи, доставка или факс.
• Электронные письма, предназначенные для определения поведения кликов путем запугивания, например: электронное письмо, созданное для того, чтобы выглядеть так, будто оно отправлено органом власти или банком.
К сожалению, большинство компаний прилагают все свои усилия только в области защиты программных и аппаратных решений, чтобы эти угрозы никогда не доходили до сотрудников. Использование этого подхода некорректно, поскольку сотрудники подключаются к Интернету через электронную почту, Facebook, LinkedIn, Twitter и веб-страницы из дома, с мобильных устройств и с работы. Немногие компании также включают обучение сотрудников.
Я обнаружил, что информирование сотрудников об угрозах, нацеленных на них, более важно, чем защита оборудования и программного обеспечения. И нетрудно научить сотрудников простым методам распознавания таких угроз, как навыки наведения мыши и понимание анатомии адреса электронной почты или доменного имени.