Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Milliárdos károkhoz vezet a felhasználói hiszékenység

2017. május 04. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.04.13.

https://biztonsagportal.hu/milliardos-karokhoz-vezet-a-felhasznaloi-hiszekenyseg.html

Naponta mintegy 150 millió adathalász e-mail terjed világszerte, és átlagosan 80 ezer esetben a felhasználók rá is kattintanak e levelekben található, fertőzött linkekre. 

Világszerte komoly összegeket fordítanak védelmi rendszerük erősítésére a vállalatok, miközben az alkalmazottjaik átejtésével milliárdokat csalnak ki a kiberbűnözők. Az újabbnál újabb, rendkívül hihetőnek tűnő átverésekkel szemben nagyon nehéz védekezni. A botnetek terjedésében ugyanúgy szerepet játszik a munkatársak félrevezetése, mint az üzleti e-maileket érintő visszaélésekben (BEC - Business Email Compromise) és a ransomware támadásokban. A Trend Micro szakértői szerint a hatékony védelemben továbbra is fontos szerepet játszik az alkalmazottak oktatása, de ez önmagában nem elegendő. Az egyre összetettebbé váló átverésekkel szemben olyan megoldások bevezetésére is szükség van, amelyeket kimondottan célzott támadások felismeréséhez fejlesztettek ki.

 
Social engineering
 
Elterjedt gyakorlat, hogy a támadók különféle social engineering módszerekkel csapják be a vállalati alkalmazottakat, és így jutnak értékes információkhoz, hozzáférésekhez vagy akár közvetlenül pénzhez. A leggyakoribb és legegyszerűbb social engineering forma az adathalász (phishing) e-mailek küldése. Ekkor a csalók például egy jól ismert cég hivatalos képviselőjének adják ki magukat, és így próbálják rávenni a címzetteket bizalmas információk kiadására.
 
A LinkedIn sem marad ki
 
A kiberbűnözők az elmúlt évek során felismerték, hogy kifizetődő számukra, ha a LinkedIn nevében küldenek hamis értesítéseket és rosszindulatú hivatkozásokat tartalmazó leveleket. Mivel a legtöbben a céges e-mail címükkel használják az oldalt, így a bűnözők ezzel a módszerrel könnyebben utat találnak a vállalati hálózatokba. Ez a fenyegetés hazánkban is releváns veszélynek számít.
 
A hackerek a hamis levelek mellett úgy is visszaélhetnek a közösségi oldal lehetőségeivel és a felhasználók hiszékenységével, ha másnak adják ki magukat a rendszerben. Sok felhasználó az üzleti kapcsolatépítés reményében akkor is visszaigazolja az ismeretséget az oldalon, ha nem biztos benne, hogy tényleg ismeri az illetőt. Ráadásul a nagyobb szervezeteknél, illetve multinacionális környezetben dolgozók körében még kevésbé kelt gyanút egy ilyen kapcsolatfelvétel.
 
Bárki célponttá válhat
 
A megfelelő információk birtokában a kiberbűnözők komoly összegeket csalhatnak ki a vállalatoktól. Például kiadhatják magukat egy vállalati felsővezetőnek, majd e-mailben arra utasíthatják a pénzügyekért felelős személyeket, hogy haladéktalanul teljesítsenek egy banki utalást. Az ilyen, üzleti e-maileket érintő visszaélések a Trend Micro becslése szerint az elmúlt két évben összesen 3 milliárd dolláros kárt okoztak, és idén sincs sok remény arra, hogy javulni fog a helyzet.
 

"Mivel a támadások rendkívül sokfélék, a megfelelő védelmi stratégia is nagyon összetett. Természetesen elengedhetetlen a felhasználók oktatása és rendszeres tájékoztatása a legújabb fenyegetésekről. Emellett professzionális eszközöket is bevethetnek a vállalatok annak érdekében, hogy a megtévesztő e-mailek el se jussanak a felhasználókig"

- mondta Gömbös Attila, a Trend Micro rendszermérnöke.