Хаекры используют голосовые записи с телефонов, телевизоров и ноутбуков, чтобы подделать телефонный звонок и, используя любимый слова и выражения близкого родственника или знакомого жертвы, срочно попросить денег. Такие «фокусы» обычно применяются к пожилым людям, отметили эксперты по кибербезопасности, которые участвовали в фестивале. За полученные реквизиты банковского счета хакер может выручить около € 120,за данные кредитной карты – € 35.
Ещё один метод получения информации – это не взлом слабой компьютерной системы компании, а ее сотрудники, рассказал эксперт британского провайдера кибербезопасности ECSC. Он использует секретное оружие – костюм и галстук – и мало кто думает, что это профессиональный хакер. Он использует методы социальной инженерии и «не-технологического взлома», манипулируя сотрудниками компаний, которые нанимают его для проверки систем кибербезопасности. «Ни одна система не является безопасной, если она не выключена и не похоронена в бетоне. Хакеры находят уязвимости различных систем 20 раз в день, они работают с очень подвижными целями», – считает эксперт.
«В одном проекте получили доступ к £18 млрд. на счету компании после четырех часов работы, мы использовали профиль сотрудника компании в LinkedIn, подделали его удостоверение личности и прошли через пропускную систему организации», – поделился опытом хакер. Для авторизации в финансовой системе компании мы взяли пароли с чьего-то рабочего ноутбука, они были записаны на стикере, потому что в организации все «были вынуждены использовать сложные пароли, которые никто не мог вспомнить».
Многие компании проводят начальное обучение сотрудников азам информационной безопасности. Тут можно вспомнить опыт Google, который поощряет работников проявлять бдительность и остерегаться людей, пытающихся получить информацию. Но и такое обучение можно обойти опытному хакеру.
«Если сотрудники прошли курс подготовки и знают как распознать хакеров, я провожу телефонную атаку, представляюсь аудитором и, задавая вопросы о качестве подготовки по вопросам безопасности, нахожу слабость и эксплуатирую ее», – поделился опытом эксперт. Можно эксплуатировать и традиции компании. Например, новая атака, получившая название «в пятницу вечером» направлена на юридические фирмы и используется в самый пик работы. «Большинство юридических фирм имеют иерархическую структуру и, если старший партнер пишет письмо в финансовый отдел с просьбой дать денег, поручение выполняется быстро, запрос не ставится под сомнение», – отмечает эксперт. – «Таким образом злоумышленники используют культуру компании против нее же, выдавая себя за высокопоставленных партнеров, обратившихся с просьбой о денежном переводе».
Вспомнили на Фестивале и о террористических киребатаках. Сегодня велик риск межгосударственных атак, растет число атак на негосударственный сектор США. Но не стоит недооценивать уровень жестокости хакеров. Традиционно террористические группы используют кибератаки для экономических потрясений. Но вполне вероятно, что они могут использовать их для пропаганды, чтобы люди почувствовали себя неуверенно.
.png)