С помощью фишинга и социальной инженерии хакеры добиваются эффективности атак

Аналист информационных систем и этический хакер компании CliftonLarsonAllen Аарон Хейден (Aaron Hayden) предупреждает, что большинство компьютерных сетей практически не защищены от фишинга и социальной инженерии (СИ).

Специалист утверждает, что использование методов СИ обеспечивает почти стопроцентную гарантию взлома той или иной компании.

Об этом Хейден сообщил во время конференции 2015 AHIMA Convention.

Хакер рассказал, что недавно в ходе аудита одной из медицинских компаний смог взломать внутреннюю сеть организации, отправив ее гендиректору фишинговое письмо якобы от имени финансового директора. Пентестеру удалось получить доступ к логину и паролю руководителя.

Имея на руках учетные данные сотрудника, хакер может от его имени осуществлять в сети произвольные действия. Если злоумышленнику удалось получить доступ к аккаунту администратора, он может установить вредоносное ПО для перехвата других данных. Более того, киберпреступник сможет разослать фишинговые письма от имени пострадавшего пользователя, вследствие чего еще большее количество жертв пострадает от его действий.

Как сообщает директор по развитию бизнеса High-Tech Bridge Екатерина Хрусталева в своей статье в журнале IT Manager, противостоять социальной инженерии можно, применив три шага по обеспечению безопасности компании. При этом организация должна позаботиться не только об их интеграции, но и о своевременном их использовании.

Первый шаг заключается в четком обрисовывании и донесении до персонала протоколов безопасности. Все сотрудники должны знать, кто и в какое время и место может работать с коммерчески ценной информацией, а также какие шаги необходимо предпринять в случае инцидента информационной безопасности, возникшего вследствие применения способов СИ.

Второй шаг заключается в аудите системы безопасности компании и проведении пентестов. Хрусталева рекомендует прибегнуть к независимым сторонним «этическим хакерам», которые смогут подобрать и внедрить наиболее эффективные средства противодействия таким атакам. Заключительный шаг предусматривает проведение тренингов по безопасности для всех сотрудников без исключения