A continuació s’explica com els pirates informàtics us roben les dades

Content

• 01. Enginyeria social
• 02. L’amenaça interna de baixa tecnologia
• 03. Esquer
• 04. Botons de cancel·lació de la subscripció
• Aconseguiu el vostre bitllet per a Generate New York ara

Tot i que és cert que els atacants estan desenvolupant virus i programes maliciosos més complexos tot el temps, oblidats cada cop més, l’amenaça de seguretat més gran per a les empreses no prové realment del programari, sinó dels mateixos éssers humans.

Les empreses poden construir la infraestructura més segura del món per protegir les seves dades contra amenaces externes, amb solucions com tallafocs, VPN i passarel·les segures, però això no mitiga el risc d’amenaces, malicioses o no, des de la pròpia organització. Aquesta forma de pirateria de baixa tecnologia ha esdevingut cada vegada més popular en els darrers anys, ja que marques conegudes van ser víctimes d’enganys que es van posar en contacte amb administradors de finances júnior per demanar fons després d’investigar una mica LinkedIn.

• Les millors VPN 2019

A més, amb Internet que forma gran part de la rutina diària de la majoria de la gent i molts empleats que inicien sessió en comptes personals al lloc de treball, és important recordar que també hi ha un encreuament entre les dades personals i la informació de la vostra empresa quan es tracta de seguretat en línia. Si un pirata informàtic obté les vostres dades personals, també pot accedir a les vostres professionals.

A continuació, es detallen quatre maneres en què els pirates informàtics poden evitar la vostra seguretat i robar-vos les dades.

01. Enginyeria social

La gènesi de qualsevol amenaça de seguretat cibernètica dirigida per l’ésser humà és l’enginyeria social; l’acte de manipular dades confidencials d’un individu. Per descomptat, els pirates informàtics podrien infectar una xarxa amb programari maliciós i entrar per la porta del darrere, o millor encara, només podrien enganyar un empleat per donar una contrasenya i passejar-se per la part davantera sense activar cap alarma. Un cop un pirata informàtic tingui la contrasenya d’un individu, poc podeu fer per aturar-lo, ja que sembla que la seva activitat està autoritzada.

Les tècniques d'enginyeria social han hagut de ser més sofisticades al llarg dels anys a mesura que l'usuari mitjà s'ha tornat més intel·ligent respecte als mètodes tradicionals que fan servir els pirates informàtics. Per tant, ara els pirates informàtics han de ser més intel·ligents en la forma d’obtenir dades. En el sentit empresarial, una cosa tan simple com enganyar un usuari a fer clic en un enllaç maliciós pot donar accés a l'atacant a tota la xarxa. La gent sap ignorar els correus electrònics d’estranys implorants que necessiten desesperadament dades bancàries, però quan aquest correu electrònic prové d’algú que coneixeu, és molt menys probable que feu clic a "Marca com a correu brossa".

Els pirates informàtics poden desplaçar-se fàcilment pel compte de Facebook d’un objectiu potencial per trobar el nom d’un amic de la víctima. Llavors, poden enviar a la víctima un correu electrònic fent veure que és aquell amic i és més probable que la víctima s’hi enamori si creu que prové d’algú que coneix.

CONSELL: En el tema de les xarxes socials, tingueu cura amb les dades personals que proporcioneu. El que pot semblar un joc inofensiu en què "El teu nom de rap és el nom de la teva primera mascota més el cognom de soltera de la teva mare", en realitat podria ser una estafa de phishing que s'utilitza per esbrinar les respostes a les preguntes habituals sobre la recuperació del compte.

02. L’amenaça interna de baixa tecnologia

En lloc d’un enemic sense rostre, la majoria de les amenaces internes de seguretat cibernètica provenen realment d’ex-empleats actuals. Aquests empleats poden obtenir accés no autoritzat a dades confidencials o infectar la xarxa amb alguna cosa malintencionada. Aquestes amenaces internes poden adoptar diverses formes:

• Surf a l’espatlla
  La navegació a l’espatlla és el simple fet que una persona observa algú escrivint la seva contrasenya. Hi ha precedents d’aquest fet. Un empleat descontent o que sortirà aviat podria posar-se casualment darrere d’un escriptori i observar com altres empleats escrivien les seves contrasenyes. Aquest simple acte pot provocar un accés no autoritzat, que pot ser desastrós per a una empresa.
  
• Contrasenyes en notes Post-it
  Fins i tot més fàcil que memoritzar una contrasenya observada per sobre d’una espatlla, les amenaces internes poden venir dels empleats que escriuen contrasenyes i les enganxen als monitors de l’ordinador. Sí, això passa realment. Bviament, això fa que sigui increïblement fàcil per a algú obtenir dades d’inici de sessió que després es puguin utilitzar per defraudar o infectar una empresa. La bona notícia és que aquest descuit és fàcil de corregir.
  
• Unitats de polze inserides als ordinadors
  Les màquines dels empleats es poden infectar amb un programari de registre de claus carregat en una simple unitat USB. Un atacant només hauria de colar la unitat USB a la part posterior de l’ordinador i tindria accés a les dades personals i a les contrasenyes de l’usuari.

CONSELL: Per evitar aquestes amenaces internes, les empreses haurien d’educar els seus empleats amb cursos de seguretat i comunicacions sobre la importància de vigilar amb les seves contrasenyes. El programari de gestor de contrasenyes com KeePass o Dashlane pot emmagatzemar contrasenyes de manera segura, de manera que no cal que les recordeu totes. Com a alternativa, també podeu bloquejar els ports USB de les vostres estacions de treball per evitar l'accés total a dispositius no autoritzats per USB. Tanmateix, cal plantejar-se aquest enfocament amb atenció, ja que fa que cada estació de treball sigui molt menys flexible i augmenti la càrrega de treball del departament de TI, ja que tots els nous dispositius USB necessitaran aprovació abans de poder-los utilitzar.

03. Esquer

De manera similar a l’enginyeria social, els mètodes d’esquí enganyen els usuaris mitjançant la informació obtinguda sobre la persona. Per exemple, un pirata informàtic podria comprovar els llocs de xarxes socials i saber que l'objectiu té interès en Game of Thrones. Aquest coneixement proporciona a l’atacant una mica d’esquer. En lloc d’un correu electrònic genèric, l’atacant podria enviar a l’objectiu un missatge de correu electrònic que digués "Feu clic aquí per veure l'últim episodi de Game of Thrones". És més probable que l’usuari faci clic al botó que, per descomptat, és un enllaç de programari maliciós i no l’episodi més recent de Game of Thrones.

De la mateixa manera, amb tanta informació publicada públicament a LinkedIn, també pot ser fàcil per als atacants investigar una estructura d'informes, dirigir-se a un junior que faci de director general i sol·licitar una transferència de fons a un compte concret. Per molt desconcertat que sembli, hi ha incidents ben coneguts que es produeixen. L’escolta a la vista és un mètode similar, amb atacants que escolten converses comercials a les cafeteries, al transport públic i fins i tot com a proveïdor en un entorn d’oficines.

04. Botons de cancel·lació de la subscripció

Una altra forma en què els atacants enganyen els usuaris per baixar programari maliciós dels correus electrònics és mitjançant botons de cancel·lació de la subscripció. Per llei, cada correu electrònic de màrqueting ha de contenir un enllaç de cancel·lació de la subscripció perquè els consumidors puguin optar per no rebre comunicacions. Un atacant podria enviar correus electrònics repetits a un usuari que semblen ofertes especials de màrqueting d’una empresa de roba (o similar). Els correus electrònics semblen prou inofensius, però si l'usuari no està interessat en l'empresa o creu que els correus electrònics són massa freqüents, poden prémer el botó de cancel·lació de la subscripció per deixar de rebre correus electrònics. Excepte al correu electrònic de pesca d’aquest pirata informàtic, en fer clic al botó de cancel·lació de la subscripció es descarrega el programari maliciós.

CONSELL: Un filtre antispam configurat correctament hauria d’aturar aquests correus electrònics, però, de nou, és millor estar alerta.

L’objectiu principal és mantenir-vos alerta i actualitzats sobre els mètodes que els pirates informàtics poden utilitzar per robar les vostres dades. Informeu els vostres empleats perquè siguin conscients de les tècniques que s’enumeren en aquest article que es poden utilitzar per adquirir contingut, com ara les seves dades d’inici de sessió o dades personals. Animeu els empleats a qüestionar qualsevol persona que no reconeguin i a ser conscients que algú escolta converses o practica surf.

Prenent tot això de banda, però, val la pena recordar que Internet continua sent un lloc creatiu i molt positiu i creatiu, i que el món és molt més ric per a això. Si esteu vigilants, tots podrem continuar gaudint dels seus avantatges.

Aquest article es va publicar originalment al número 303 de net, la revista més venuda del món per a dissenyadors i desenvolupadors de webs. Compra el número 303 o bé subscriu-te aquí.

Aconseguiu el vostre bitllet per a Generate New York ara

El millor esdeveniment de disseny web de la indústriaGenerar Nova Yorkha tornat. Tindran lloc entre el 25 i el 27 d’abril de 2018, entre els ponents principals hi ha Dan Mall de SuperFriendly, el consultor d’animació web Val Head, el desenvolupador de JavaScript de pila completa Wes Bos i molt més.

També hi ha un dia complet de tallers i valuoses oportunitats de treball en xarxa, no us ho perdeu.Aconseguiu el vostre bitllet Generate ara.