Taula de continguts:
Per què hi ha amenaces d’enginyeria social
Altres clàssics per emportar
Protecció contra incompliments de dades
Vídeo: C-Suite Confidential: Top Tech-execs Who Defied the Odds and How You Can Too Hosted by Verizon (Setembre 2024)
Un dels principals factors motivadors per provocar incompliments de dades és el diner senzill i senzill. Els pirates informàtics volen guanyar diners per incompliments, i aquesta va ser una conclusió clau a l'informe d'investigació d'infraccions de dades de Verizon, publicat ahir. La companyia va estudiar 41.686 incidents de seguretat i més de 2.000 incompliments de dades, i va trobar que el 71 per cent de les infraccions eren motivades econòmicament. També va revelar que un gran nombre d'aquests atacs eren intents d'enginyeria social per als executius de la suite C. Tenien dotze vegades més probabilitats de patir un incident d’enginyeria social ara que durant el període cobert a l’informe d’investigacions d’informació de dades de Verizon 2018. Una forma habitual d’aquests atacs és el phishing, en què els hackers es disfressen d’individu de confiança i prenen nom d’usuari, contrasenyes i detalls de la targeta de crèdit.
Per què hi ha amenaces d’enginyeria social
La pesca no és un intent d’obtenir informació confidencial com ara nom d’usuari, contrasenyes i detalls de la targeta de crèdit disfressant-se d’entitat fiable en enviar comunicacions electròniques. Aquests atacs de phishing podrien incloure un missatge de correu electrònic que contingui un enllaç a un lloc web fals que sembli una pàgina d’inici de sessió d’un proveïdor de correu electrònic basat en núvol. "Està realment dissenyat per robar-vos les credencials", va explicar Bassett.
Els atacs de pesca no van suposar una part del 78 per cent dels incidents d’espionatge cibernètic que van estudiar els investigadors de Verizon. Al correu electrònic, l'atac es podia dirigir a un director financer (CFO) i semblar que prové d'una oficina executiva (CEO) que demana a l'executiu que transferís una quantitat de diners a un compte. El missatge podria dir: "És realment important. Si us plau, feu-ho realment ràpidament", va dir Bassett.
Aquests atacs s'anomenen "compromisos per correu electrònic comercial". Bassett va explicar que Verizon es referia a l'informe com a "enginyeria social motivada financerament". Els atacants apunten els executius de la suite de C perquè tenen l'autoritat sobre grans transferències de diners en una corporació i pot no llegir lleugerament les comunicacions per correu electrònic.
Els atacs de pesca no fan "enganyar molta gent i, per tant, heu de ser conscients que aquest tipus de coses succeeixen i cal tenir controls secundaris al lloc per verificar qualsevol transferència de diners o fins i tot el pagament de factures", va dir Bassett. "Pot ser només un correu electrònic amb una factura falsa. Si no esteu prestant atenció, potser només el pagueu sense adonar-vos que no es tractava d'una factura legítima real."
Els atacs motivats financerament van ser un tema clau en diverses indústries de l'informe. De fet, l’informe va assenyalar que el 68 per cent dels incompliments de dades en la fabricació eren motivats econòmicament i que el 49 per cent dels 352 incidents en la fabricació implicaven credencials robades.
Un fet interessant és que tot no es perd quan es produeix un incompliment de dades. El Centre de Reclamació de Delictes d'Internet per a FBI (IC3) us pot ajudar a recuperar els fons robats durant aquest tipus d'atacs. Segons la memòria, la meitat dels incidents relacionats amb el compromís del correu electrònic empresarial van comportar una devolució o congelació del 99 per cent dels fons robats. "Si fas víctima d'un d'aquests actes, encara tens temps per actuar", va dir Bassett. "Si informe ràpidament a IC3, pot ser que et pugui ajudar".
Segons Bassett, els atacs de correu electrònic es produeixen perquè no requereixen molta habilitat tècnica. "No heu d'entendre com funcionen els ordinadors per demanar diners a algú", va dir. "I així obre ciberdelinqüència a persones potser no tècniques, però molt persuasives".
Altres clàssics per emportar
Els atacs de correu electrònic no eren els únics accessos interessants de l'informe de Verizon. A continuació, es detallen quatre principals conclusions:
1) Al costat dels atacs d'enginyeria social motivats econòmicament, hi ha amenaces per a transaccions de comerç electrònic, també conegudes com atacs de "targeta no present". L’augment dels atacs de comerç electrònic comporta una disminució de les amenaces a les transaccions puntuals de venda (POS). Les infraccions de POS han disminuït un factor de 10 des del 2015 i les infraccions d’aplicacions web ara tenen una possibilitat de 13 vegades més gran. Segons els informes, els atacants es poden dissuadir amb l'ús de targetes de xip EMV. Els atacs de POS a les indústries d'allotjament (hostaleria) i serveis alimentaris, en particular, van disminuir de 307 a l'informe de Verizon 2018 a 40 en la versió d'aquest any (vegeu la figura a continuació).
2) Més de 60 milions de registres de dades es van veure afectats per incompliments que afectaven l'emmagatzematge de fitxers basat en núvol per a les empreses. La configuració errònia dels administradors del sistema provoca aquests incompliments i exposa accidentalment informació confidencial. "Està passant cada cop més sovint, i és un d'aquests incompliments fàcils i ràpids", va dir Bassett. "No calen molts passos per anar des de trobar una base de dades fins a incomplir-la."
Aquest tipus d'incompliment pot produir-se també quan es produeix una paralització de personal. El següent administrador que treballi en un lloc web pot no adonar-se que la base de dades ha estat deixada pública per la persona que va venir abans.
3) L'informe de Verizon també va revelar que el 69 per cent dels atacs van ser realitzats per forasters, en comparació amb el 34 per cent dels atacs realitzats per persones privilegiades. Una excepció a aquesta tendència va ser en l’assistència sanitària, on les amenaces privilegiades eren més prevalents en comparació amb altres indústries. Això passa perquè sovint hi ha curiositat per mirar els registres mèdics electrònics (EMR) de celebritats o persones que coneixen els professionals mèdics.
"En l'assistència sanitària, tenen empleats sense escrúpols que podrien mirar aquesta informació i s'adonen que hi ha un valor per al frau en l'assistència sanitària", va dir Bassett. Va descriure una tendència comuna en què els atacants lliuren les dades compromeses a algú per presentar reclamacions d'assegurança mèdica fraudulentes.
4) Verizon també va trobar que sis vegades menys professionals dels recursos humans (RH) experimentaven incompliments de dades. L’informe afirma que no té motius per a aquesta baixada a més de la consciència millorada de les empreses sobre amenaces a les dades. Bassett va dir que els atacs a recursos humans poden incloure un intent de recuperar la informació fiscal dels empleats perquè els pirates informàtics puguin presentar declaracions d’impostos falsos i deixar als empleats pagant la factura.
(Crèdit d'imatge: Verizon)
Protecció contra incompliments de dades
Per protegir-se contra incompliments de dades, especialment atacs de pesca, les PIME han d'utilitzar gestors de contrasenyes per reforçar les seves pràctiques de gestió de la identitat. Una altra pràctica recomanada és utilitzar l’autenticació multifactor (MFA) per protegir els comptes d’incompliments. Aquesta pràctica consisteix en utilitzar dues o més formes d’autenticació per accedir a un sistema. Poden incloure contrasenyes, biomètrics com ara empremtes dactilars o fitxes des d’un telèfon mòbil.
Per protegir-se d’atacs com el phishing, Bassett també recomana als usuaris que obrin fitxers no sol·licitats d’entitats externes que utilitzin un sistema operatiu sandboxed (SO) només d’una tauleta i un teclat per evitar la propagació de programari maliciós. Una caixa de sorra és un entorn restringit en què es troben aïllades les aplicacions i on es pot evitar que els usuaris esborrin fitxers i canvien la informació del sistema.
- Els pirates informàtics de Marriott han robat més de 5 milions de números de passaports sense xifrar Els hackers de Marriott han robat més de 5 milions de números de passaports no xifrats
- Lloc de cites a "Coffee Meets Bagel" Colpejat per incompliment de dades
- SecurityWatch: converteix les empreses, no els clients, pateix per incomplir les dades SecurityWatch: converteix les empreses, no els clients, pateix per incompliments de dades
Pot ser de sentit comú, però un pas clau és proporcionar una manera que els empleats puguin informar de correus electrònics de phishing i incompliments de dades quan es detectin. El trasllat ràpid és essencial perquè a vegades hi ha una onada de clics en un correu electrònic de phishing dins d’una empresa que passa una setmana després d’enviar-los.
"Els informes i els clics es produeixen a taxes similars durant la primera hora, però els informes es disminueixen mentre continuen passant els clics per a la setmana que ve", va dir Bassett. "Utilitzeu els informes que rebeu a la primera hora per eliminar els correus electrònics de bústia de seguretat de les bústies de contacte perquè la gent no el faci clic un dia o una setmana després i reinicieu l'incident."
Línia bàsica: vigileu, sospiteu del vostre correu electrònic i tingueu una línia de defensa sòlida per detectar intents de frau socialment dissenyat en el vostre negoci.
