Edition: International | Greek
MENU

Αρχική » Ανάλυση

Παίρνει διαστάσεις η κλοπή εταιρικών εμπιστευτικών δεδομένων

Σε άνοδο βρίσκεται παγκοσμίως το εταιρικό doxing, η διαδικασία συγκέντρωσης εμπιστευτικών πληροφοριών σχετικά με έναν οργανισμό και τους υπαλλήλους του χωρίς τη συγκατάθεσή τους, με στόχο να τους βλάψουν ή να επωφεληθούν από αυτούς

Από: EBR - Δημοσίευση: Πέμπτη, 8 Απριλίου 2021

«Σε άνοδο το εταιρικό doxing: Οι στοχευμένες επιθέσεις μέσω email αυξάνονται.»
«Σε άνοδο το εταιρικό doxing: Οι στοχευμένες επιθέσεις μέσω email αυξάνονται.»

Σε άνοδο βρίσκεται παγκοσμίως το εταιρικό doxing, η διαδικασία συγκέντρωσης εμπιστευτικών πληροφοριών σχετικά με έναν οργανισμό και τους υπαλλήλους του χωρίς τη συγκατάθεσή τους, με στόχο να τους βλάψουν ή να επωφεληθούν από αυτούς. Μία από τις μεθόδους, που χρησιμοποιούνται για doxing οργανισμών, είναι οι επιθέσεις Business Email Compromise (BEC).

Οι επιθέσεις BEC είναι στοχευμένες επιθέσεις, στις οποίες οι εγκληματίες ξεκινούν αλυσίδες email με υπαλλήλους υποδυόμενοι κάποιον από την εταιρεία. Για παράδειγμα, οι ερευνητές της Kaspersky αναλύουν τακτικά περιπτώσεις στις οποίες οι εγκληματίες παριστάνουν έναν από τους υπαλλήλους του οργανισμού - στόχου χρησιμοποιώντας email πολύ παρόμοια με τα πραγματικά για να αποσπάσουν χρήματα.

Τον Φεβρουάριο του 2021, η Kaspersky εντόπισε 1.646 τέτοιες επιθέσεις, υπογραμμίζοντας την ευπάθεια των οργανισμών, όσον αφορά την εκμετάλλευση διαθέσιμων στο κοινό πληροφοριών. Γενικά, ο σκοπός αυτών των επιθέσεων είναι η εξαγωγή εμπιστευτικών πληροφοριών, όπως βάσεις δεδομένων πελατών ή η κλοπή χρημάτων.

Τέτοιες επιθέσεις δεν θα ήταν δυνατές σε μαζική κλίμακα χωρίς οι εγκληματίες να συλλέγουν και να αναλύουν δημόσιες πληροφορίες, που είναι διαθέσιμες στα μέσα κοινωνικής δικτύωσης και πέραν αυτών, όπως ονόματα και θέσεις υπαλλήλων, η τοποθεσία τους, η περίοδος διακοπών και οι συνδέσεις τους.

Διαρροές δεδομένων

Ωστόσο, οι επιθέσεις BEC είναι μόνο ένας τύπος επίθεσης, που εκμεταλλεύεται διαθέσιμες στο κοινό πληροφορίες για να βλάψει έναν οργανισμό. Η ποικιλομορφία των τρόπων, με τους οποίους οι οργανισμοί μπορούν να πέσουν θύμα doxing, είναι εντυπωσιακή.

Εκτός από τις πιο προφανείς μεθόδους, όπως το phishing ή η δημιουργία προφίλ σε οργανισμούς, που χρησιμοποιούν διαρροές δεδομένων, περιλαμβάνει πιο δημιουργικές, τεχνολογικές προσεγγίσεις. Ίσως μια από τις πιο δημοφιλείς εταιρικές στρατηγικές doxing είναι η κλοπή ταυτότητας.

Κατά γενικό κανόνα, οι doxers βασίζονται σε πληροφορίες για τη δημιουργία προφίλ συγκεκριμένων υπαλλήλων και στη συνέχεια εκμεταλλεύονται την ταυτότητά τους. Νέες τεχνολογίες, όπως τα deepfakes, διευκολύνουν την εκτέλεση τέτοιων πρωτοβουλιών υπό την προϋπόθεση ότι υπάρχουν δημόσια δεδομένα για να ξεκινήσουν. Για παράδειγμα, ένα βίντεο deepfake, που πιστεύεται ότι είναι υπάλληλος κάποιου οργανισμού, θα μπορούσε να βλάψει τη φήμη της εταιρείας - και να τη δημιουργήσει.

Οι doxers χρειάζονται απλώς κάποιο είδος οπτικής εικόνας του υπαλλήλου-στόχου και βασικές προσωπικές πληροφορίες. Θα μπορούσαν, επίσης, να καταχραστούν φωνές - ένα ηχητικό απόσπασμα, που εμφανίζεται στο ραδιόφωνο ή σε κάποιο podcast θα μπορούσε ενδεχομένως να καταλήξει να καταγράψει τη φωνή του και να τη μιμηθεί αργότερα - για παράδειγμα, σε μια κλήση για να ζητήσει άμεσα τραπεζική μεταφορά ή αποστολή βάσης δεδομένων πελατών.

Προστασία

Προκειμένου να αποφευχθεί ή να ελαχιστοποιηθεί ο κίνδυνος επιτυχούς επίθεσης σε έναν οργανισμό, η Kaspersky συνιστά:

“- Καθιερώστε έναν άκαμπτο κανόνα να μην συζητάτε ποτέ θέματα, που σχετίζονται με την εργασία σε εξωτερικούς messenger εκτός των επίσημων εταιρικών και εκπαιδεύστε τους υπαλλήλους σας να τηρούν αυστηρά αυτόν τον κανόνα.

- Βοηθήστε τους υπαλλήλους να αποκτήσουν μεγαλύτερη γνώση και επίγνωση των ζητημάτων ασφάλειας στον κυβερνοχώρο. Αυτός είναι ο μόνος τρόπος για την αποτελεσματική αντιμετώπιση των τεχνικών κοινωνικής μηχανικής, που χρησιμοποιούνται επιθετικά από εγκληματίες στον κυβερνοχώρο. Για να το κάνετε αυτό, θα μπορούσατε να χρησιμοποιήσετε μια διαδικτυακή πλατφόρμα εκπαίδευσης.

- Εκπαιδεύστε τους υπαλλήλους για βασικές απειλές στον κυβερνοχώρο. Ένας υπάλληλος, που έχει πείρα σε θέματα ασφάλειας στον κυβερνοχώρο, θα είναι σε θέση να αποτρέψει μια επίθεση. Για παράδειγμα, εάν λάβουν ένα e-mail από έναν συνάδελφο που ζητά πληροφορίες, θα ξέρουν πρώτα να καλέσουν τον συνάδελφο για να επιβεβαιώσουν ότι έστειλε πραγματικά το μήνυμα.

- Χρησιμοποιήστε τεχνολογίες anti-spam και anti-phishing”.

*πρώτη δημοσίευση: www.sepe.gr

ΔΙΑΒΑΣΤΕ ΑΚΟΜΗ

Γνώμη

Αν ζούσε… ο Κων. Μητσοτάκης

Από: EBR

Εάν είχε εφαρμοστεί η πολιτική του, δεν θα χρεοκοπούσαμε

Ηλεκτρονική Έκδοση Τρέχοντος Τεύχους: 04/2021 2021

Περιοδικό

Τρέχον Τεύχος

04/2021 2021

Δείτε τα παλαιά τεύχη
Συνδρομή
Διαφημιστείτε
Ηλεκτρονική Έκδοση

Ευρώπη

Εξαρθρώθηκε δίκτυο απάτης ΦΠΑ στην Ευρώπη - κατασχέθηκαν 520 εκατ. ευρώ

Εξαρθρώθηκε δίκτυο απάτης ΦΠΑ στην Ευρώπη - κατασχέθηκαν 520 εκατ. ευρώ

Κατασχέθηκαν περίπου σαράντα εντάλματα σύλληψης και περιουσιακά στοιχεία 520 εκατομμυρίων ευρώ

Οικονομία

Αρ. Παντελιάδης: Οι τιμές δεν θα ξαναπέσουν, μόνη λύση η αύξηση μισθών

Αρ. Παντελιάδης: Οι τιμές δεν θα ξαναπέσουν, μόνη λύση η αύξηση μισθών

Η λύση στο πρόβλημα είναι η αύξηση των μισθών, σύμφωνα με τον πρόεδρο της Ένωσης Ελληνικών Σούπερ Μάρκετ

EURACTIV.com - Feeds

All contents © Copyright EMG Strategic Consulting Ltd. 1997-2024. All Rights Reserved   |   Αρχική Σελίδα  |   Disclaimer  |   Website by Theratron