Zure enpresa "SHING" erasoetatik babestuta al dago?
Partekatu
Segur aski, inolako zalantzarik gabe, zure konpainian, milaka, ehunka sufritu dituzula.SHING motako erasoak". Zer apostu egiten duzu?!
Enpresetan software, hardware, zerbitzu profesional eta neurri asko ditugu, gutxi-asko zorrotzak, gure aktibo fisiko eta digitalak babesteko. Baina, honetaz gain...
- Kontuan hartzen dugu kateko katerik ahulena?
- Ea kontuan hartzen ditugun erasoak ingeniaritza soziala?
- Kontuan hartzen dugu Giza faktorea, irudikatzen duena Gorabeheren %74, haren ustez 2023ko Datuen Urraketen Ikerketa Txostena de Verizon?
Bestalde, Zibermehatxuen %98 enpresek aurre egiten dioten posta elektroniko batekin hasten da bere langile baten postontzira iristen dena, txostenean ere islatzen den moduan. Azkenean, pertsonak dira hartzaileak eta aktibatzaileak mehatxuak.
Eta, gainera, Zibersegurtasun arazoen %95 egotzi ahal zaio giza faktorea, adierazi duenez 2022ko arriskuen txosten globala, 17. edizioa, -ren Munduko Ekonomia Foroa.
Tira, horri ere aurre egin behar diogu gure indar guztiekin, the pertsonei zuzendutako ziber erasoak, pertsonak babesteko gure aktibo korporatiboak babesteko.
Jada ez da soilik artilleria eta babes eta prebentzio tresnak edukitzea, gure langileak, bazkideak eta hornitzaileak (gure sistemak eta zerbitzuak sartu eta erabiltzen dituzten guztiak) sentsibilizatu, prestatu eta prestatu behar ditugu, iruzurretan erori ez daitezen. eta erakargarriak diren iruzurrak sentikortasuna eta giza jokabidea.
The pertsonen manipulazioa, du manipulazio psikologikoa, egoeretara erakarriz urgentzia, de elkartasuna, de elkartasuna, sozialak, etab., erabilitako teknikarik erabilien eta eraginkorrenen parte dira ziberkriminalak.
Laburbilduz, erabilera Gizarte ingeniaritza. Eta horren zati handi bat gure enpresari datorkio "SHING", bera jendea engainatzeko artea, nahi duzuna egin dezaten eta, gehienetan, erabili beharrik gabe malwarea, da ransomwarea, ez teknologia aurreratuak, ezta edozein motatako teknologiak ere, bakarrik baizik Erabili jendea erasotzeko.
Ezaguna iruditzen zaigu, ezta? berak "xafla” mehatxu ezaguna eta oso barneratua da, zeinarekin zaila, edo oso zaila den borroka egitea, bai maila indibidualean gure etxeetan eta gailu pertsonal edo familiaretan, bai mota guztietako enpresen esparru korporatiboan eta neurriak: phishing, smshing, nahiak, QRshing, CEO iruzurra, ataques BEC (Business Email Compromise) O kontuen konpromisoa. Ezagutzen ditugu, ezta? Eta, zergatik jaso ditugu (asko) gure enpresetan? Pikatu dugu? Zein ondorio izan dituzte?
Zer da phishing? Berak INCIB honela definitzen du oso labur eta argi:zure sarrera-ontziko kakoa”, baina definizio tekniko eta profesionalagoa gehitzen du:
“Berak phishing a batek mezu elektroniko bat bidaltzean datzan teknika bat da ziberkriminala erabiltzaile bati entitate legitimo baten itxurak eginez (sare soziala, bankua, erakunde publikoa, enpresa, hornitzailea, bazkidea, etab.) batera helburua de informazioa lapurtu pribatua, egin a karga ekonomikoa O kutsatu gailua, bere bidez edukia, erantsitako fitxategiak O iruzurrezko orrialdeetarako estekak posta elektronikoan”.
Eta, eraso mota horietan “xafla”, modalitate asko daude, gainera phishing posta elektronikoz iristen dena:
- Smishing, konbinatzen dituena mezuak sms eta phishing gisa horretan, erabiliz testu-mezuak biktimak webgune faltsuetara, legez kanpokoetara edo iruzurrezkoetara bideratzea, eta baita erabiltzaile hartzaileei nolabaiteko neurriak hartzeko eskatzea ere.
- desiratuz,-ren eraso batez osatua phishing baten bidez Telefono dei, zeinetan deitzailea pertsona legitimoa ordezkatzen saiatzen den, hala nola, enpresa bat, erakunde ofizial bat, administrazio publiko bat, hornitzaile bat, bezero bat, etab., eta deiaren hartzailearen eskaera pertsonal, pribatu edo informazio mota jakin batzuk egiten ditu. isilpekoa, eta baita neurriren bat hartu ere.
- QRshing, irakurketa erabiltzen duena QR kodeak faltsuak, iruzurrezkoak, legez kanpokoak edo asmo txarrekoak erabiltzaileak a webgunea o bat forma bertatik deskargatzen den malwarea, edo non aurkezpena eskatu datu pertsonalak, pribatuak edo isilpekoak.
- Spear phishing, hau da, eraso bat izanik phishing Bere edozein modalitatetan, a konpainiako pertsona bati (edo hainbati) berariaz zuzendutako erasoa, enpresako langile bati, erakunde edo administrazio publiko bati, enpresa zehatz bati, erakunde zehatz bati, politikari bati, etab. Mota bat da phishing gehiago"aztertu”, landua eta eraginkorra, ziber-kriminalek aldez aurretik erakundea, bere langileak, eraso beharreko pertsonak ikertu baitituzte, hartzaileak, haien ohiturak, eginkizunak, erantzukizunak, gaitasunak, duten sarbidea, eskura dezaketen informazioa, baimenak ezagututa. jarduera mota batzuk egitea eta, beraz, zer atera dezaketen.
- Baleen phishinga, Balearen arrantza, O irrika, zein, antzekoa izanik spear phishing, berarengandik ezberdintzen da, kasu honetan, erasoa oso altuko pertsona zehatzei zuzenduta dagoelako Goi mailako profila enpresaren edo erakundearen barruan (aarrain gizena” erakundearen, hala nola, bazkideak, presidentea, Administrazio Kontseiluko kideak, zuzendari nagusia, zuzendari nagusia, C-mailako kideak eta baita beste profil korporatibo mota batzuk ere, hala nola DPOa, etab.) isilpeko eta estrategikoko informazio zehatza eskuratzea eta kudeatzea.
- Pharming, mota batek osatzen duena phishing sofistikatuagoa, geroztik Ziberkriminalek trafikoa benetako webgune batetik birbideratzen dute, egiazkoa eta zilegia (teknika mota ezberdinen bidez), webgune faltsu batera, iruzurrezkoa edo legezkoa, non informazioaren pribatutasuna eta segurtasuna arriskuan jartzen diren.
- Klonatu phishing, batek osatua ziberkriminala atzematen eta aldez aurretik lortzen a legezko erakundearen posta elektronikoa ordezkatua, gerora aldatzen dena (Orokorrean, hartzaileak aplikatzeko argibideekin testua sartuz, edo iruzurrezko esteka edo malwarearekin erantsitako fitxategiak ere sartuz). Honekin, mezuaren fidagarritasun maila handiagoa eta, beraz, eraginkortasun handiagoa lortzen duzu.
- Arrantzalearen phishinga, O Phishing soziala, zeinaren bitartez ziberkriminalak egin a identitate iruzurra, edo besterik gabe, enpresa bateko laguntza teknikoko langile gisa planteatzen dute (adibidez, kasua Microsoften laguntza tekniko faltsua telefonoz deitzen gaituena), edo erosketa-sailetik, edo fakturazio-sailetik, edo antzekoetatik, hartzailea engainatzeko eta enpresaren zenbait informazio pertsonal eta/edo konfidentzial emateko.
- CEO iruzurra. Kasu honetan, aurreko kasuaren antzekoa bada ere, enpresa baten barruan, egoerak ere badaude. goi-kargu baten identitatea ordezkatzen da (oro har pisu espezifikoarekin, hala nola, zuzendari nagusia, zuzendari bat, saileko buru bat, etab.), mezuaren hartzaileak (langile bat) mezua benetan datorrela dirudienarengandik datorrela ziurtatzeko, zilegi izanik. eta, hortaz, langileak mezu elektroniko horretan esandakoa egiten du. Eraso mota hauek, edo eraso teknikak, izenez ere ezagutzen dira Ataques BEC (Business Email Compromise).
- Malvertising, urrunago doana, geroztik ziberkriminalak etortzen dira erosi publizitatea eta iragarkiak sare sozialetan eta plataformetan (adibidez, irudi eta pankarta animatuak eta klikagarriak), legez kanpoko eta/edo iruzurrezko guneetarako estekak barne. Eraso mota honen kasu zehatz bat da Pop-up phishinga, pop-up mezuak (oro har oharrak, iragarkiak edo iragarkiak) bistaratzen ditu web orri bat bisitatzean. Hala ere, hauek iruzurrezko iragarkiak Beste edozein modutara bistaratu ahal izango dira.
- Black Hat SEO, Bilatzaileen phishinga, O SEO intoxikazioak. Kasu honetan, gauzak konplexuagoak dira, geroztik ziberkriminalak Estrategia bat dute SEM/SEO posizionamendua manipulatzeko lan egiten dute eta dirua inbertitzen dute Interneten dituen estekak, hala nola bilatzaileen lehen postuetan beti ager daitezen helburuarekin Google, Bing, eta Yahoo.
- Wi-Fi Phishing faltsua, O Hotspot phishing faltsua, O Evil Twin Phishing, hau da ziberkriminalek WiFi faltsu bat sortzen dute zurea, beste WiFi publiko ireki baten antza duena, dagoeneko existitzen dena eta eskuragarri dagoena, leku zehatz batean, non erabiltzaileak zuzena dela pentsatuz konektatzen diren.
- SIM trukatzea, zeinaren bitartez ziberkriminalak zerbitzu hornitzaileak konbentzitu transferitu telefono zenbakia erasotu nahi duzun pertsonarena SIM txartel berri batera. Horrekin, erasotzaileek erasotutako pertsonaren mezuak eta deiak eskuratzen dituzte.
- Ureztatzeko phishinga, O ureztatzeko erasoa, enpresa edo erakunde jakin baten aurkako eraso zehatz bat dakarrena. The ziberkriminalak Enpresa zehatz bateko langileen gailuetatik gehien bisitatzen diren edo trafiko gehien duten webguneak, domeinuak edo URLak detektatzen dituzte eta URL zuzen horietatik URL maltzuretara (langileen jabetzakoak eta kudeatutakoak) birbideratzen dituzte. ziberkriminalak) ahal duena deskargatu malwarea. ren antza izan dezake pharming, baina ez da guztiz berdina.
- Hishing O Hardware phishinga zeina, aurreko kasuetan bezala iruzur-teknika bat kontenplatzen ez badu ere, hau da ziberkriminalak, hainbat metodoren bitartez, “ezkutatu” malwarea gailu ezberdinetan (ordenagailuak, ordenagailu eramangarriak, sakelako telefonoak...) beste erabiltzaile batzuei entregatuko zaizkienak (alokairua, salmenta berria, bigarren eskuko salmenta, etab.).
Eta, dudarik gabe, badira, eta izango dira, teknika, mekanismo, trikimailu eta engainuei buruzko hainbat aldaera eta ñabardura. ziberkriminalak Beren helburuak lortzen dituzte.
Eraso mota hauek phishing horrek, azken finean, kasu gehienetan erabiltzen du ingeniaritza soziala, elkarrekin bizitzen dira, konbinatzen dira eta baita ere erabiltzen duten beste eraso-taktika batzuekin konbina daitezke, hala nola:
- Berak Aitzakia egitea erasotutako pertsonari (biktima) informazio pertsonala edo/eta isilpekoa ematea bilatzen du, “aitzakia"O"aitzakiak” (aitzakiak) zure interesak, enpresarenak, negozioarenak, etab. jorratzen dituztenak eta zerbait zehatza egitera motibatzen zaituzten ustez behar den jarduteko premia, urgentzia, elkartasun alderdiak, gizarte gaiak, etab. Horrela ziberkriminalak Biktimak manipulatzen dituzte nahi dutena egitera. Kasu, mota edo adibide batzuk dira tranparik O iruzurrak ustezko bati loturiko egoerak aipatzen dituztenak Laguntza teknikoa (adibidez, kasua Microsoft-en laguntza teknikoa), kasua CEO iruzurra, ekonomikoak, hipotesiekin lotutakoak sariak, oinordetzak eta jokoa, etab.
- Berak Baita gordailuan datza utzi"abandonatu” biltegiratze gailua (USB memoria bat, disko gogor aldagarri bat, SD memoria bat edo beste gailu mota bat) malwarea duen barruan. Helburua da aurkitzen duenak, hartu, bertara sartzea, erabili eta beste gailu batzuetara konektatzea, zu kutsatzeko eta horrela hedatzeko. malwarea, masiboki eraginez. Beste aldaera batzuk izan daitezke, malware hori bizi den euskarriaren edo lekuaren arabera WiFi gune faltsua (non a WiFi sarbide puntua), kodearen irakurketa Iruzurrezko QR kodeak (QRshing), iruzurra Sare sozialak edo sare sozialak (non partekatzen diren URLak, estekak, estekak are irudiak O multimedia elementuak klikagarria, bertatik malwarea), propioa Black Hat SEO, etab.
- Berak Tailgating, hau da, tekniken multzoa ingeniaritza soziala horrekin ziberkriminalak bat lortzen dute Baimenik gabeko sarbidea, enpresaren sarera (edo baliozkotzea/saioa duen beste edozein zerbitzu edo sistema), erabiltzaile/langileen portaera aztertuz. Teknika horietako batzuk izan daitezke Keylogging (horren bidez teklak sakatzea erabiltzaileek/langileek egiten dituztenak) edo Bluetooth Hacking (edo erasoa eta komunikaziorako sarbidea Bluetooth "rentzataharrausi egiten"O atzeman bertatik pasatzen den informazioa), beste askoren artean.
Guztietan ikusi dugunez, ziberkriminalak Jarduteko hainbat kanal, bitarteko edo mekanismo erabiltzen dituzte, non nagusiak hauek izan ohi diren:
- Posta elektronikoa (phishing tradizionala).
- SMS mezuak testua (irrifarra).
- Deiak telefonoa (nahiak).
- QR kodeak (QRshing).
Eta hori guztia dago ordena, uste baino are gehiago. Infinity, gehiengo zabala, de ziber-erasoak Mekanismo edo teknika horietan oinarritzen dira enpresen, erakundeen eta haien langileen aurka egindako eraso arrakastatsuak. Informaziorako, botoi bat... 2023an zehar:
- The Posta elektronikoaren zibererasoak % 464 handitu dira, haren ustez Urte erdiko zibermehatxuen txostena de Acronis.
- Berak 41% ren ziber-gertaerak Kasu batekin hasi ziren phishing, haren ustez X-Force Threat Intelligence Indizea, de IBM.
- Berak Posta elektronikoa da mehatxu-bektore nagusia. Berak Mehatxuen % 98 posta elektroniko batekin hasten dira bidetik pertsonei zuzendutako erasoa, horietatik, 12% kasuak dira phishing eta 49% kasuak kredentzialak lapurtzea, haren ustez 2023ko Datuen Urraketen Ikerketa Txostena de Verizon.
- Posta elektronikoko lau gertakarietatik hiru (phishing eta beste batzuk) zuzenduta daude ETEak, ren arabera Coveware.
- Baina inbertsioa enpresen inguruan babesak Egoera horiei aurre egiteko aipatzen du, Haien aurrekontuen %10 apenas hartzen du, ren arabera Informazioaren Segurtasuna Mundu osoan 2019 - 2025 de Gartner.
Ikusten dugunez, eszenatoki honek eragin handia du enpresetan, edozein motatako enpresetan, kalteak bezain nabarmenak eraginez. galera ekonomikoak, ospe galerak, iruzurra finantzarioa, lege- eta arau-hausteak (dagozkien zigor, zehapen eta isunekin), sarbide desegokia, datuak galtzea, identitate iruzurra, nahiz eta negozioa etetea edo etetea aldi baterako iragankorra, edo behin betikoa, horrek esan nahi du negozioa uztea.
Badirudi enpresek ez dutela oraindik jarri haragi guztia parrillan rentzat hartu zezena adarretatik, ez baita soilik neurri teknologikoak hartzea, hala nola tresna teknologiko oso indartsuak ezartzea, ezta kontrol sistema zorrotzak, ez komunikazioen etengabeko monitorizazioa, ez kudeaketa arriskuak eta ahultasunak, ezta onena izateko ere posta-iragazkia, ezta eredu onenak bermatzeko ere autentifikazioa…pertsonei buruz ere bada.
Laburbilduz, honetaz ari da eta, horrez gain, pertsonak, langileak babestea eta ahal diren baliabide guztiak hornitzea kosk egin ez dezaten, horrela “ez erori tentazioan” (tresnak, zerbitzu profesionalak, kudeatutako zibersegurtasun zerbitzuak, sentsibilizazioa, prestakuntza, coaching, etab.).
Ez al duzu uste zure enpresa erraz aurki daitekeela, edozein unetan, azaldu ditugun egoeraren batean?
Agian zure enpresak laguntza behar du zibersegurtasun zerbitzu profesionalak eskaintzen ditugunak bezala Zerolynx: Zibersegurtasun Zerbitzuak.
Nahiago baduzu, jarri gurekin harremanetan eta hitz egin genuen.
Íñigo Ladrón Morales, edukien editorea Zerolynx.