Твитнуть
Приветствую тебя.
Человеческий фактор всегда будет лазейкой для хакеров в системе безопасности даже самой крупной компании. Если предположить, что незначительный процент сотрудников запустит вредоносное ПО в сети организации (особенно это касается привилегированных сотрудников), то это будет означать компрометацию всей компании.
Как правило, успеху фишинг-атак способствует низкий уровень осведомленности пользователей о правилах работы с почтой в компании. Основной защитой от массового фишинга остаются спам-фильтры, но это не спасает от spear phishing (таргетированного фишинга). Давайте приведу самый простейший пример:
Заходим на LinkedIn, определяем ключевых сотрудников для организации атаки spear-phishing, их имена, фамилии, контактные данные (электронную почту). Используя эти данные, несложно найти аккаунты этих сотрудников в других социальных сетях, например в Facebook. При помощи различных инструментов и сервисов, мы можем собрать интересную статистику своих жертв, например где и в каких отелях они отдыхали или останавливались. Далее от имени отеля мы можем отправить сообщение с напоминанием об оплате некоторых услуг и прикрепленным инвойсом в виде PDF-документа. Profit!
Простой пример разобрали, теперь самое время поделиться очень полезным материалом, в котором собраны актуальные тактики, техники и методы известных хакерских групп. Материал является актуальным и будет крайне полезен социальным инженерам и специалистам в области информационной безопасности.
Человеческий фактор всегда будет лазейкой для хакеров в системе безопасности даже самой крупной компании. Если предположить, что незначительный процент сотрудников запустит вредоносное ПО в сети организации (особенно это касается привилегированных сотрудников), то это будет означать компрометацию всей компании.
Как правило, успеху фишинг-атак способствует низкий уровень осведомленности пользователей о правилах работы с почтой в компании. Основной защитой от массового фишинга остаются спам-фильтры, но это не спасает от spear phishing (таргетированного фишинга). Давайте приведу самый простейший пример:
Заходим на LinkedIn, определяем ключевых сотрудников для организации атаки spear-phishing, их имена, фамилии, контактные данные (электронную почту). Используя эти данные, несложно найти аккаунты этих сотрудников в других социальных сетях, например в Facebook. При помощи различных инструментов и сервисов, мы можем собрать интересную статистику своих жертв, например где и в каких отелях они отдыхали или останавливались. Далее от имени отеля мы можем отправить сообщение с напоминанием об оплате некоторых услуг и прикрепленным инвойсом в виде PDF-документа. Profit!
Простой пример разобрали, теперь самое время поделиться очень полезным материалом, в котором собраны актуальные тактики, техники и методы известных хакерских групп. Материал является актуальным и будет крайне полезен социальным инженерам и специалистам в области информационной безопасности.