КиберБезОскара
КиберБезОскара
Читать в Telegram

Защита граждан от мошенничества как часть ИБ

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
мошенничествофишингfakeboss

Почему я много внимания уделяю защите от мошенничества физлиц, хотя это больше относится к личной безопасности, чем корпоративной? Важно, что каждый гражданин — это ещё и сотрудник компании заказчика или моей ГК, а значит, потенциальная точка входа злоумышленника в организацию.

Рост количества атак на физических лиц с помощью социальной инженерии и стабильный доход злоумышленников от них способствует развитию применяемых методов, их комбинации между собой и в целом увеличению эффективности. Отработанный арсенал может использоваться против организации. 

  • *️⃣Популярная схема Fakeboss используется, чтобы «прогреть» жертву и убедить поверить мошеннику на другом конце с целью выманивания денег. При целевой атаке на организацию подход может быть использован и для того, чтобы провести разведку ИТ-инфраструктуры для последующей хакерской атаки, непосредственно выманить коммерческую тайну и т. д.
  • *️⃣Вместо "поджога военкомата" сотрудник, находящийся под психологическим влиянием, может самостоятельно выполнить деструктивные действия внутри организации. Вместо "перевода денег на безопасный счёт" передать свои реквизиты доступа к инфраструктуре.
  • *️⃣Личные мессенджеры содержат рабочие чаты и обсуждения с коллегами. Переписка, к которой получат доступ злоумышленники после увода аккаунта, может содержать как чувствительные данные, так и ссылки и реквизиты доступа к корпоративным системам. Это для организации серьезней, чем веерная рассылка с просьбой дать в долг.

Кроме того, мошенничество против сотрудника вызывает проблемы социального характера, которые непосредственно скажутся на производительности труда, ведь его мысли будут заняты решением личных проблем, а не рабочими задачами. 

Государственные системы антифрода не защитят от целевой атаки на сотрудника организации, потому что злоумышленник не будет использовать массовые номера и адаптирует схемы. Однако, повысить осведомленность сотрудников в области фишинга и мошенничества легче на более личном и близком каждому риску кражи личных денег. Тогда он сможет противостоять и корпоративному фишингу. 

❗️Поэтому защита граждан от киберугроз в цифровом пространстве, даже за рамками своей организации, — это часть миссии каждого специалиста по информационной безопасности.