БЕЗОПАСНОСТЬ В ВЕБ-ПРОСТРАНСТВЕ

54eccb9ac2d3a34afc771a76fce59b83_big

Безопасность в веб-пространстве

В последнее время в прессе и интернете всё чаще появляются сообщения о новых хакерских атаках. И фотографии обнажённых знаменитостей крадут, и данные кредитных карт пользователей, а то и целые страны становятся целью шпионских взломов.

Крупная кража паролей из социальной сети LinkedIn, с сайта знакомств eHarmony и музыкального портала Last.fm произошла в июне 2012 года. В результате взлома преступникам стали известны пароли к 6,5 миллионам аккаунтов пользователей. Хакер или группа хакеров до сих пор остаются неизвестными. Глава департамента Google, занимающегося спамом в сети, утверждает, что люди, которые использовали те же самые пароли к разным учётным записям, сами открыли хакерам «двери». Это должно послужить предостережением всем нам! Никогда не используйте один и тот же пароль для своих учётных записей.

Мы хотим рассказать Вам о культуре безопасности в веб-пространстве.

Итак, рассмотрим, где же нужно быть внимательнее:

ЛИЧНАЯ БЕЗОПАСНОСТЬ. СБОР ИНФОРМАЦИИ ИЗ ОТКРЫТЫХ ИСТОЧНИКОВ.

Социальные сети содержат огромное количество данных, которые люди и не пытаются скрыть.

Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети. Неоднократны случаи ограблений, тех людей кто радостно рассказывает в друзьям в ВК как на море отдыхает, а квартира «свистит».

Даже ограничив доступ к информации на своей странице, пользователь не может быть уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя фейсбука в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента он выбрал «жертву» и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от «жертвы».

Также хакеры любят играть на эмоциях. Если неожиданно к вам попало письмо от дяди из Венесуэллы (которого никогда небыло) с ссылкой на профиль где-либо или Вам пришло признание в любви от неизвестного адресата – задумайтесь.

фишинг (выуживание нужной информации – паролей, контрольных вопросов. Например, поддельный сайт/страничка для восстановления пароля к интернет магазину. Зачем? Допустим, вы оплатили картой в интернет магазине покупку новой пары обуви. Отлично! Это же быстро и удобно, но… Если кто-то получит данные вашей карты, он с лёгкостью может слить весь капитал. Самый простой способ нежно воровать – снимать по 2,3,5 – 70 копеек при каждой операции с вашей карты.)

Как распознать фишинг-атаку

Большинство людей может самостоятельно научиться распознавать фишинговые сообщения. Чаще всего они содержат:

  • сведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских банковских счетов;
  • обещания огромного денежного приза с минимальными усилиями или вовсе без них;
  • грамматические, пунктуационные и орфографические ошибки.ИТОГ
    От личности могут хотеть:
  • персональных данных для финансового мошенничества
  • использовать личность как канал для другой цели
  • ресурсы (место на ПК, сеть, производительность)
  • опыт (обучение на котиках)

Корпоративная безопасность

ПЛЕЧЕВОЙ СЕРФИНГ (АНГЛ. SHOULDER SURFING) ВКЛЮЧАЕТ В СЕБЯ НАБЛЮДЕНИЕ ЛИЧНОЙ ИНФОРМАЦИИ ЖЕРТВЫ ЧЕРЕЗ ЕЁ ПЛЕЧО. ЭТОТ ТИП АТАКИ РАСПРОСТРАНЕН В ОБЩЕСТВЕННЫХ МЕСТАХ, ТАКИХ КАК КАФЕ, ТОРГОВЫЕ ЦЕНТРЫ, АЭРОПОРТЫ, ВОКЗАЛЫ, А ТАКЖЕ В ОБЩЕСТВЕННОМ ТРАНСПОРТЕ.

Опрос ИТ-специалистов о безопасности показал, что:

  • 85 % опрошенных признались, что видели конфиденциальную информацию, которую им не положено было знать;
  • 72 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица;
  • 68 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц.

Клавиатурные шпионы (софт) – считываю вводимую информацию и «выбирают» самое «вкусное».
Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чём её просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда ведут на заявленные страницы.

Относитесь скептически к:
1. Вложениям в письмах.

2. Гиперссылки в документах.

3. Запросы личной или корпоративной информации от любых адресатов.

Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел с всплывающими приложениями, запрашивающими данные или предлагающими помощь.

 

В результате «червя» в корпоративной сети вероятны такие последствия:

— блокировка корпоративного сайта (а это обозначает приостановка продаж. Посмотрите фильм «Стажер» с Энн Хэтэуэй, там качественно преподносится рабочий процесс и показано какие потери несет компания при незначительных сбоях);

— прекращение работы корпоративного почтового сервера;

— полная блокировка интернета;

— вывод из строя той или иной программы (1С например. Представляете что будет??);

— финансовые потери;

— репутационные потери.

ИТОГ
От предприятия могут хотеть:

  • закрытые данных для финансового мошенничества (другие масштабы);
  • использовать предприятие как канал для другой цели;
  • ресурсы (место на ПК, сеть, производительность);
  • опыт (обучение на котиках);
  • противостоять деятельности предприятия (по разным причинам). Пример: конкуренция, защита животных.

3. Безопасное сотрудничество
Самый распространенный вид мошенничества Квид про кво. Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере «жертвы».

Взагали, практически каждый день появляются новые схемы мошенничества. Главное быть внимательным. Я советую посмотреть фильм «Кто я?» (немецкий), он дополнит всё рассказанное сегодня что-то станет понятнее.

Ну и на последок: НИКОГДА

  1. не пользуйтесь 1-м паролем к множеству сервисов;
  2. не придумывайте пароль, основываясь на эмоциях (имена любимых, даты рождения детей и пр.). Придумывайте уникальные слова, пользуйтесь генераторами;
  3. не пользуйтесь одной учетной записью с множеством пользователей, это моветон. Кто-то что-то удалит – а концов не найти.
  4. Не разглашайте пароли клиентам/исполнителям (пример с метрологией + пример с Викиным клиентом по доступу)

ВСЕГДА:

  1. меняйте 1 раз в квартал пароли к важным сервисам;
  2. обучайте своих детей веб-безопасности;
  3. будьте внимательны к письмам и их содержанию (ссылкам, вложениям);
  4. Будьте бдительны в интернет-серфинге.

 

×

Заказ обратного звонка