|
«Потерянная» флешка
Хотя в Microsoft уже давно отключили в Windows автозапуск приложений с портативных накопителей, заманчивого имени файла нередко хватает, чтобы склонить сотрудника к запуску вредоноса. В компании, разумеется, могут совсем отключить порты USB на компьютерах, но разумнее будет обязательное прохождение всеми служащими курса компьютерной безопасности. |
|
Убедительные фишинговые письма
Чтобы защититься от фишинговых писем, нужно помнить, что обычно они составляются так, чтобы убедить вас перейти по ссылке или передать личную информацию. Поэтому будьте внимательны, раскрывая любые сведения, сообщить которые вас просят в электронном письме, и не нажимайте на ссылки — всегда набирайте адрес в браузере сами. |
|
Сообщения от друзей и коллег
Стоит настороженно относиться к вложениям в электронные письма и, вообще, хорошо бы блокировать вредоносные прикрепленные файлы непосредственно на почтовом сервере. |
|
Телефонные звонки
Один из лучших способов защиты от подобных звонков — предложить перезвонить, записав номер звонящего. Еще можно спросить у собеседника какие-нибудь сведения о вас, которые он должен знать, если не прикидывается кем-то. И конечно, никогда не сообщайте по телефону пароли и другую подобную информацию. |
|
Защищайте свой аккаунт электронной почты
От атак на электронную почту, совершаемых с помощью социальной инженерии, мелким компаниям защититься трудно, разве что стоит выбирать провайдера с надежной репутацией. А в организациях, самостоятельно управляющих своим доменом, можно защищаться путем установки запретов на передачу владения им и внесение изменений в DNS. |
|
Физическая безопасность в офисе
Если у вас не мелкая компания, в которой все друг друга знают, сотрудникам имеет смысл носить бейджи с радиометками и фотографиями. Естественно, со служащими надо проводить инструктаж по поводу выявления фальшивых бейджей и предотвращения прохода в помещения «паровозиком». |
|
Ложные звонки из службы поддержки Windows
Решение относительно простое: объясните сотрудникам, что Microsoft никогда не звонит конечным пользователям. |
/2015-04/03_15/13171352/Direktor_informacionnoj_sluzhby_(CIO.RU)_1_lost-flash-drive-100568414-orig_kopiya_(4851).jpg)
/2015-04/03_15/13171352/Direktor_informacionnoj_sluzhby_(CIO.RU)_2_phishing-emails-100568410-orig_kopiya_(5494).jpg)
Большинство фишинговых сообщений электронной почты плохо отформатированы и написаны на ломаном английском, но нет недостатка и во вполне убедительных письмах, отправляемых от имени банков, страховых компаний или кадровых отделов. Всего одна ошибка невнимательного сотрудника может поставить под угрозу всю локальную сеть и компанию./2015-04/03_15/13171352/Direktor_informacionnoj_sluzhby_(CIO.RU)_3_emails-friends-100568411-orig_kopiya_(6828).jpg)
Направленный фишинг — это сообщения, адресованные определенной группе людей или конкретному человеку. Популярность социальных сетей сделала для хакеров как никогда простым доступ к информации, которую можно использовать, чтобы ввести человека в заблуждение. Типичные примеры — фальшивая ведомость по зарплате с названием вашей компании или прикрепленный файл, отправленный будто бы вашим бывшим одноклассником./2015-04/03_15/13171352/Direktor_informacionnoj_sluzhby_(CIO.RU)_4_calling-in-to-fish-100568413-orig_kopiya_(842).jpg)
Социальный хакер с даром красноречия способен добиться немалого. Позвонив вам, он может получить личную информацию о вас или проверить уже известные сведения для проведения более широкомасштабной атаки./2015-04/03_15/13171352/Direktor_informacionnoj_sluzhby_(CIO.RU)_5_gunning-for-email-100568412-orig_kopiya_(5556).jpg)
Ящики электронной почты — привлекательная мишень для хакера, так как их можно использовать для сброса пароля и получения доступа к огромному количеству сведений о вас. Ящики нередко взламывают, подбирая ответы на секретные вопросы с использованием открытой информации или путем обмана провайдера электронной почты./2015-04/03_15/13171352/Direktor_informacionnoj_sluzhby_(CIO.RU)_6_walk-into-office-100568416-orig_kopiya_(8631).jpg)
Исследователи, нанимаемые для проверки безопасности, сообщали о получении практически неограниченного доступа в помещения в крупных организациях — достаточно надеть рубашку с логотипом компании или пристроиться к сотрудникам, возвращающимся из курилки. Риски физического доступа невозможно переоценить: хакер, пробравшийся в офис, сможет размещать вирусные программы на корпоративных рабочих станциях в обход межсетевого экрана./2015-04/03_15/13171352/Direktor_informacionnoj_sluzhby_(CIO.RU)_7_fake-windows-support-calls-100568415-orig_kopiya_(5653).jpg)
О фальшивых звонках из службы технической поддержки Windows написано немало, но пользователи продолжают «вестись». Мошенник звонит жертве, представляясь сотрудником Microsoft, который исследует вирусную атаку, и пытается убедить пользователя предоставить удаленный доступ к своему рабочему столу. Получив его, взломщик делает вид, что обнаружил серьезную инфекцию, — при этом обычно он сам же устанавливает программу-вымогатель, а потом требует денег за «устранение» проблемы.- Paul Mah. 7 Social Engineering Scams and How to Avoid Them. CIO. Feb 16, 2015